Datatilsynet: Læk af 95.000 jobansøgeres data fra Novo Nordisk er ‘meget beklagelig’

De fornødne sikkerhedsforanstaltninger var ikke på plads, da medicinalgiganten Novo Nordisk ved en menneskelig fejl lækkede personoplysninger på 95.000 potentielle jobansøgere.

Det var ‘meget beklagelig’ at Novo Nordisk tidligere på året lagde 95.000 potentielle jobansøgeres oplysninger frit ud på nettet.

Sådan lyder melding fra Datatilsynet i en afgørelse, der har været på vej siden en borger i starten af året gjorde tilsynet opmærksom på lækket. Efterfølgende påpegede Datatilsynet det over for Novo Nordisk.

Læs også: Jobsøgendes personoplysninger blev lagt på Novo Nordisk-hjemmeside ved en fejl

De 95.000 personer er tilmeldt Novo Nordisk’ jobagent-side. Ved en menneskelig fejl blev alle oplysninger i januar gjort tilgængelige på en live testside.

»Behandlingen af personoplysninger har efter Datatilsynets opfattelse ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondataloven,« bemærker tilsynet.

Kunne findes gennem søgemaskiner

Datatilsynet hæfter sig i afgørelsen ved, at data ikke kunne tilgås ved at navigere rundt på Novo Nordisk’ hjemmeside, men kun gennem søgemaskiner, og at siden blev fjernet så snart selskabet blev bekendt med det.

Læs også: Datatilsynet fortalte Novo Nordisk om datalæk: Lagde testside online ved en fejl

Derudover har tilsynet taget med i afgørelsen, at den menneskelige fejl var i strid med de godkendte testprocedure.

Den lækkede data tæller navn, telefonnummer og mail såvel som de områder, som personen har været interesseret i en stilling i. Data'en var ifølge Novo Nordisk tilgængelig på firmaets hjemmeside mellem den 10. januar og den 31. januar i år.

Audit hos leverandører

Version2 bad i marts Novo Nordisk redegøre for lækket. Dengang svarede Charlotte Zarp-Andersson, talsperson for Novo Nordisk, at selskabets jobagent skal hente data fra websitet ved hjælp af en funktionalitet, der driftes af en ekstern IT-leverandør.

»Novo Nordisk bad i starten af januar den eksterne IT-leverandør om at rette en fejl ved denne funktionalitet. Ved en menneskelig fejl hos IT-leverandøren, og i strid med leverandørens egne procedurer og god IT-praksis, kom en ansat, som arbejdede på at løse problemet, til at teste siden på et live, dummy website,« skrev Charlotte Zarp-Andersson på det tidspunkt i en mail til Version2.

Læs også: Kan læren fra Novo bruges i IT-verdenen?

Hvorfor blev dette ikke opdaget før en Datatilsynet henvender sig?

»Fejlen blev ikke opdaget før Datatilsynet henvendte sig fordi test websitet ikke var tilgængelig fra novonordisk.com men kun findes via search engines,« skrev skrev Charlotte Zarp-Andersson til Version2.

Hvilke tiltag skal sikre, at det ikke sker igen?

»Vores eksterne IT-leverandør har forpligtet sig til en række tiltag der skal sikre at fejlen ikke sker igen, blandt andet har medarbejderne fået yderligere uddannelse i de relevante procedurer. Derudover har leverandøren begrænset antallet af medarbejdere, der kan publicere Novo Nordisks websider. Endelig vil Novo Nordisk snarest afholde en audit af den eksterne IT-leverandørs personlige databeskyttelsestiltag.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (4)

Pauli Østerø

Jamen politiofficer, jeg var ikke klar over at jeg kørte for hurtigt indtil du gjorde mig opmærksom på det. My bad.

Hvad siger du, politiofficer? Det var en menneskelig fejl at jeg trykkede for hårdt på speederen - hvorfor bliver jeg alligevel frataget mit kørekort?

Bjarne Nielsen

Fra artiklen

...kom en ansat, som arbejdede på at løse problemet, til at teste siden på et live, dummy website

Hvad er et "live, dummy website" og hvad laver næsten 100k personoplysninger i noget, som lyder som udvikling og ikke drift?

Hvordan kan man få det til at lyde som et hændeligt uheld?

Bjarne Nielsen

Så have staten fået de mistet milliarder i Skat hjem igen.

Personligt vil jeg foretrække, at skyldnere med betalingsevne bringes til at betale det skyldige, og at bøder ikke betragtes som en indtægtskilde, men derimod et adfærdsregulerende middel.

Eller i det mindste at sjusk, bevidst fusk, grov uagtsomhed, kiggen den anden vej og grovere slendrian ikke længere kan betale sig. Det skal kort sagt kunne betale sig at opføre sig ordentligt.

...men vi er vist på vej væk fra topic.

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017

Welcome to Free course to learn about the combined power of Alteryx and Qlik!

Affecto invites to a free course, where we want to share our knowledge of this self-service analysis platform together with the power of Qlik.
20. apr 2017

Robotics Process Automation (RPA) changes the way organizations think about and perform work at a reduced cost, higher efficiency and greater productivity

Join us for this exiting seminar, which Affecto hosts with our business partner SmartRPA May 3rd, 2017 at 13.00 in Copenhagen.
30. mar 2017