App-tjenesten til Hafslunds strømkunder førte til lagring av mer data enn nødvendig og var derfor et avvik i forhold til personopplysningsforskriften, ifølge Datatilsynet.

MOBILAPP

– Hafslund har gått over streken

Datatilsynet avventer Hafslunds egen granskning.

Datatilsynet er usikker på hvor alvorlig sms-glippen hos Hafslund er, men understreker at reglene er brutt.

– Hovedregelen er at man ikke skal behandle mer personopplysninger enn man har behov for. Det er blitt gjort i dette tilfellet, sier teknologisk fagdirektør Atle Årnes hos Datatilsynet.

Han har gått gjennom nyhetsartikkelen på digi.no for å vurdere den skjulte lagringen av brukernes tekstmeldinger i Hafslund-appen.

Er dette et forhold som hans tilsyn bør ta tak i?

Tilsynet har ikke konkludert ennå.

– Vi skal varsles ved uautorisert spredning av personopplysninger. Om det faktisk har skjedd i denne saken, er så langt ikke avklart, sier Årnes til digi.no.

Les også: – En lærepenge for Hafslund

I grenseland

Han peker på at en loggfil med kundens sms havner på et sd-kort.

– Da vil det være et spørsmål om dette er en utlevering. Jeg ikke umiddelbart trekke det så langt. Vanligvis er det snakk om at informasjon har kommet på avveie, og da er det snakk om uautorisert utlevering, sier fagdirektøren.

For at dét skal skje, må brukeren ha gitt en annen applikasjon tilgang til denne filen.

– Og slik tilgang vil man ofte gi gjennom app-tillatelser, så i denne saken ligger man i grenseland for utlevering som bryter med personopplysningsforskriften, sier Årnes.

Må rydde selv

For å komme nærmest en fasit, må Hafslund følge forskriftens § 2-6, som krever varsling til Datatilsynet ved et såkalt avvik.

Her er det opp til Hafslund selv å avgjøre om reglene er brutt.

– Det viktige er at den ansvarlige for app-en går gjennom den og sjekker om det har vært en uautorisert utlevering av personopplysninger, sørger for å lukke dette avviket og påse å forhindre gjentakelse, sier Årnes til digi.no.

Verdt å lese: Krafttak mot dataangrep

Atle Årnes, fagdirektør teknologi, Datatilsynet.
Fagdirektør Atle Årnes i Datatilsynet mener at sms-lagringen i Hafslund-appen ligger i grenseland for utlevering som bryter med personopplysningsforskriften. Bilde: Hans Fredrik Asbj¿rnsen

Glipp

Leverandøren Shortcut har forklart at loggfilen med tekstmeldinger var en glipp.

Da en strømkunde hos Hafslund oppdaget glippen, laget Shortcut en ny versjon. Hafslund sier deres brukere vil bli varslet om oppdateringen, i tillegg til varslingsfunksjonene som ligger i Google Play.

– Har Hafslund gjort det de skal i denne saken?

– Etter hva jeg kan oppfatte nå, så har selskapet gjort det som kreves av den biten. Men i tillegg må de foreta den nevnte avviksbehandlingen for å kunne ta stilling til om avviket er håndert og at ikke vil skje igjen, svarer fagdirektøren.

3500 mobiler

– Her snakker vi om loggfiler som kan bli spredt med andre app-er på hver brukers mobil. Betyr det at Hafslund og Shortcut må granske 3500 mobiler for å få et reelt svar?

– Nei, det er ikke aktuelt. De må foreta en kvalifisert vurdering av faren for personopplysninger på avveie, sier Årnes.

Les også: Sperrer tilgangen til mobilbank-app

Ingen utlevering

Hafslund melder at avviksbehandlingen er gjennomført:

– Med en gang vi ble gjort oppmerksom på feilen, tok vi kontakt med Shortcut. De forsikrer oss om at ingen andre enn telefonens eier har, eller har hatt, tilgang til filen, med mindre eieren til telefonen eksplisitt har gitt tilgang til tredjepart. Vår vurdering er derfor at det ikke har skjedd noen uautorisert utlevering, skriver informasjonssjef Katarina Finneng i en e-post til digi.no.

Og hos utviklerselskapet har man vurdert risikoen for lekkasje av informasjon fra appen.

– Kundenes private sms-er, der disse har blitt lagret på telefonen, har ikke blitt sendt fra appen til noen tredjepart. Det er likevel svært uheldig at slike sms-er ligger lagret på telefonen, sier daglig leder John Eivind Hallén.

Flere detaljer

I den nye versjonen er tilgangene som kreves beskrevet mer detaljert.

– Vi har gått gjennom alle tilganger i Hafslund Strøm for både IOS og Android og for Hafslund Bedrift, og laget en oversikt over tilganger som brukes av appen. Deretter har vi oppdatert informasjonen i App Store og Google Play med informasjon om hvilke tilganger som kreves og hva de bruker til, dette i tråd med anbefalingene fra Datatilsynet, sier han.

Mange oppdaterer

Hafslund melder at mer enn halvparten av brukerne har oppdatert den aktuelle app-en siden den nye versjonen ble lagt ut torsdag i forrige uke.

– Og andelen øker. Vi anbefaler de kundene som ikke har gjort det til å oppdatere snarest mulig. Den nye versjonen av app’en retter feilen og sletter den lokale filen, sier Finneng.

Les også: Tre GPS-apper du bør laste ned

Til toppen