– Jeg tenkte: "Oj, hva skal jeg gjøre nå?", fortalte studenten Jwan Mohammad til kode24 forrige uke, om da han oppdaga et stort sikkerhetshull hos tjenesten CVideo.
Tjenesten lar folk søke på jobbannonser, ved å sende søknader og laste opp CV-er og vitnemål. Mohammad fant ut at han enkelt kunne hente ut data og dokumenter fra andre brukere, ved å gjøre spørringer til API-ene deres som innlogga bruker.
Søkte jobb, fant digert hull: «Oj, hva gjør jeg nå?»
– Vi har tatt kontakt med selskapene angående jobbsøkere som utvikleren oppdaget personopplysninger til. Vi vurderer risikoen som svært lav for at annen data har kommet på avveie, men jobber fortsatt med å kvalitetssikre dette, sa daglig leder Carl Erik Thomsen i CVideo til kode24, som raskt tetta hullet.
Men det de ikke gjorde, før i går kveld, var å rapportere hullet til Datatilsynet – slik loven krever.
Ulovlig å ikke melde fra
– Datatilsynet kan så langt ikke se å ha mottatt en melding om brudd på personopplysningssikkerhet fra nevnte virksomhet. Hendelsen slik den er beskrevet vil antagelig ansees som en sak som etter GDPR artikkel 33 bør meldes tilsynsmyndigheten, forteller senioringeniør Eirik Gulbrandsen i Datatilsynet til kode24.
Han understreker samtidig at Datatilsynet altså ikke kjenner saken noe mer enn hva kode24 har skrevet, og uttaler seg her på generelt grunnlag.
Artikkel 33 i GDPR, eller personopplysningsloven, sier blant annet:
"Ved brudd på personopplysningssikkerheten skal den behandlingsansvarlige uten ugrunnet opphold og når det er mulig, senest 72 timer etter å ha fått kjennskap til det, melde bruddet til vedkommende tilsynsmyndighet (...)"
"Tilsynsmyndigheten" betyr Datatilsynet, og fristen er altså i utgangspunktet tre døgn. Det er nå omlag tre uker siden hullet ble oppdaga av Mohammad, og tetta av CVideo. Først i går kveld skal situasjonen ha blitt meldt fra om. Dette var samme dag som Datatilsynet svarte på våre spørsmål.
– Å selv ikke melde brudd som er meldepliktige, er et brudd på GDPR, sier Gulbrandsen på generelt grunnlag.
Lover å melde fra
Når kode24 spør COO Christer Hafslund i CVideo om hvorfor de ikke har meldt fra om saken til Datatilsynet, svarer han først:
– Vi melder avviket til Datatilsynet.
Etter at vi publiserte denne artikkelen, opplyser han at CVideo har meldt fra – i går kveld, samme kveld som de svarte på våre spørsmål.
– Først var det et spørsmål om meldeplikt og rollefordelinger mellom Databehandler og Behandlingsansvarlig, deretter hva meldingen skulle inneholde. Vi har opprettet kontakt med Datatilsynet og får god veiledning derfra. Akkurat nå jobber vi med å ferdigstille all dokumentasjonen. Avviket vil bli meldt inn i løpet av kort tid, sier Hafslund.
– Sikkerhet for våre kunder og brukere har øverste prioritet.
API-hull kan være brudd
kode24 fortalte om CVideo-hullet kort tid etter at det ble kjent at Gule Sider også hadde et liknende problem: Utvikleren Robert Sæther oppdaga at API-ene deres ga ut nordmenns fødselsdatoer, selv om dette ikke ble vist noe sted på nettsidene deres.
– Problemstillingen, med ikke tilstrekkelig beskyttet API, er kjent for oss, og har historisk vært gjenstand også for andre meldinger om brudd på personopplysningssikkerheten, forteller Gulbrandsen i Datatilsynet.
– Spiller det noen rolle for Datatilsynet om data er på avveie gjennom mer teknisk avanserte metoder som dette, eller helt åpent tilgjengelig for alle?
– Hvorvidt persondata ligger åpent tilgjengelig, eller det er behov for å benytte avanserte verktøy og metoder for å hente ut persondata, kan påvirke vurdering av hendelsen. Også hendelser hvor sistnevnte har vært tilfelle har tidligere vært vurdert som så alvorlige av Datatilsynet de har medført sanksjoner. Kategoriene av og omtrentlig antall registrerte som er berørt, og kategoriene av og omtrentlig antall registreringer av personopplysninger som er berørt, vil påvirke slike vurderinger.