Jobsøgendes personoplysninger blev lagt på Novo Nordisk-hjemmeside ved en fejl

Medicinalkæmpen Novo Nordisk har ved en fejl lagt personlige oplysninger på mulige jobansøgere frit frem på selskabets hjemmeside.

Novo Nordisk blev i januar ramt af et datalæk, da data fra selskabets såkaldte jobagent havnede på virksomhedens hjemmeside ved en fejl.

Det fremgår af en mail, som Novo Nordisk har sendt til de berørte brugere, og som Version2 er i besiddelse af.

Datalækket omfatter personer, der har bedt om at blive orienteret, hvis Novo Nordisk slår et specifikt jobopslag op. I perioden 10. januar - 31. januar i år blev den data, som brugerne havde indtastet gjort tilgængelig på novonordisk.com.

Læs også: Novo vil bruge IBM's Watson til at knuse diabetes-data

Novo Nordisk skriver i mailen, at der ikke er blevet linket til siden med personoplysninger fra nogen anden del af hjemmesiden.

De lækkede oplysninger tæller navn, telefonnumre og mail - samt en række oplysninger i forhold til de job, de er interesserede i, herunder hvor mange års professionel erfaring brugeren har.

Læs også: 3 på bar bund: Kriminelle kan have fået fat i kunders hemmelige adresser

Det er åbenlyst, at det kan give problemer for personer, der er i et ansættelsesforhold, hvis deres ledere med lækket fik nys om, at de søger job. Man risikerer at få ledelsen 'imod' sig.

Fejl hos it-leverandør

Novo Nordisks egen undersøgelse viser, at datalækket skyldes en fejl hos en ekstern it-leverandør, som vedligeholder sitet. Siden med personoplysninger er siden taget ned, og selskabet har desuden sørget for, at cachede versioner af siden ikke er tilgængelige via f.eks. Google.

Novo Nordisk oplyser desuden, at selskabet sammen med en it-leverandør vil sørge for, at fejlen ikke kan gentage sig. Version2 arbejder på at få flere oplysninger i sagen.

Læs hele mailen fra Novo Nordisk her:

'We are contacting you because you submitted personal information 
through the Novo Nordisk "Job Agent" website to get updates about 
job openings in the Novo Nordisk group of companies.
 
Unfortunately, Novo Nordisk has experienced a data breach where 
the submitted non-sensitive information was inadvertently posted 
on a publicly available website on the novonordisk.com domain 
during the period of 10 January 2017 - 31 January 2017. We have 
confirmed that there was very limited access to your information 
during this period as there were no links to the website from any 
other part of Novo Nordisk's website.
 
The information includes your:
 
Full name
Telephone number
Email address
Years of professional experience
Categories of jobs you are interested in
Countries where you would be interested in working
Time and date when you submitted the information (for certain 
individuals only)
 
Novo Nordisk's investigation of the breach shows that it was due
to human error by the external IT vendor that maintains our 
websites. As soon as Novo Nordisk learned about the breach, we
took down the website and ensured that stored (cached) links to 
the website are not available through Internet search engines 
like Google. Novo Nordisk and our IT vendor have also taken 
steps to prevent such a data breach from happening again.
 
We sincerely apologise for this incident. We have taken serious
and prompt action to limit any risk to you and to prevent similar 
breaches going forward.'

Annonce:
Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes i Danmark den 3. og 4. maj 2017. 60 udstillere, 5 konferencesale og mere end 80 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

..., at Novo har mere styr på de sundhedsdata, de har til deres rådighed. Der må vel være tale om temmelig mange, nu hvor man stort set har sat sig på diabetes-forskningen og -behandlingen herhjemme?

"....external IT vendor that maintains our websites"

Er det mon også en ekstern leverandør, der står for opbevaring og behandling af diabetikeres sundhedsdata?

Og hvilke betingelser har det offentlige stillet til datasikkerheden, da man solgte diabetesområdet til NOVO?

  • 1
  • 0
Allan Astrup Jensen

Vi har lige set at folk, der viser billeder af forbrydere taget på fersk gerning på Internettet, får 5000 kr. i bøde af Politiet. Hvad sker der med NOVO? Slipper de for bøde? Læk af uskyldiges personlige oplysninger og ansøgninger burde straffes højere. Det kan koste dem deres nuværende job! Hvis dette sker, må NOVO være forpligtiget til at ansætte dem.

  • 6
  • 1
Thomas Hedberg

Naturligvis bør der være en konsekvens for virksomheder der ikke passer på persondata, men der er for mig stor forskel på, om vedkommende gør det med vilje eller, at der er sket en fejl som i NN's tilfælde.

  • 2
  • 0
Allan Astrup Jensen

Er det nu ikke mere strafbart at lave en fejl, der går ud over andre?
Selvom fejlen ikke er sket med vilje, kan den skyldes sløseri eller manglende eller utilstrækkelige sikkerhedsforanstaltninger.
Det kan også være uforsætligt at glemme at bruge bilens sikkerhedssele, men det koster alligevel en bøde.
For den skadelidte har det vel heller ikke betydning, om fejlen skete med vilje eller ikke!
Der gives bøder fx for bagatel-agtige trafikforseelser, men når myndigheder og administratorer selv laver grove fejl, så får det normalt ingen konsekvenser.

  • 2
  • 0
Thomas Hedberg

Er det nu ikke mere strafbart at lave en fejl, der går ud over andre?

Vil du ikke være venlig at læse første sætning igen.

Selvom fejlen ikke er sket med vilje, kan den skyldes sløseri eller manglende eller utilstrækkelige sikkerhedsforanstaltninger.

Det vides ikke udfra artiklen eller presse meddelsen. Jeg tvivler på at Datatilsynet undersøger det, men det giver ikke mening at gætte udfra så lidt information.

For den skadelidte har det vel heller ikke betydning, om fejlen skete med vilje eller ikke!

Det gør det naturligvis ikke, men hvis hvis vi absout skal opfinde en bil analogi til formålet, så syntes jeg også det skal straffes forskelligt, hvis du er involveret i et hændeligt uheld eller kører en ned med vilje.

Hvis det det så viser dig at du ikke har vedligeholdt bilen og du vidste det bremserne var defekte, så er det en skærpende opstændighed. Men for mig er det stadig ikke så slemt, som hvis du gjorde det med vilje.

  • 0
  • 0
Log ind eller Opret konto for at kommentere