Innrømmer epost-snoking, benekter innbrudd

Et norsk selskap driver i disse dager å logger seg på bedrifters mailsystemer for å få tak i deres e-post adresser som senere kan benyttes i direkte markedsføring. Selskapet bekrefter mailsnokingen, men avviser at de har gjort noe ulovlig eller uetisk.

Det var en av digi.nos lesere som tipset om "adressesniffingen".

- Med bakgrunn i meldingen fra brannmuren vår (system attach) sporet vi opp selskapet som utførte "angrepet" og konfronterte dem med det. Det viste seg at de brukte firmaopplysninger fra Creditinform og har laget et "script" som søker etter e-post adresser i henhold til registrerte navn (daglig leder, styreformann, styremedlemer osv.), i alle mulige kombinasjoner, opplyser Fredrik Ljone i Datavakten AS i en mail.

Ljone legger til at han har fått opplyst at meningen med å samle inn disse mail-adressene var å kunne foreta masseutsendelser av elektronisk post, altså reklame-spam.

Vidar Jøssang i Databanken, bekrefter overfor digi.no at det er deres datterselskap BizWeb som står bak "sniffingen", men mener de ikke beveger seg på feil side av loven.

Databanken eier også ca 20 prosent av Internett Kanal 1 AS, som utgir digi.no.

- BizWeb har i de siste to ukene testet teknologi for å sjekke om e-postadressene eksisterer. Dette gjøres for å verifisere informasjonen i våre egne databaser. Testingen har skjedd på et begrenset utvalg norske mail-servere, opplyser Jøssang, som i en e-post til digi.no understreker at ingen adressater som er testet har mottatt mail "eller på annen måte blitt påvirket av vår testing".

Ifølge Jøssang har Databanken søkt Datatilsynet om konsesjon for å etablere en e-postdatabase. Noe svar har de imidlertid ikke fått ennå, derfor er videre "sniffing" utsatt inntil videre.

- Datatilsynet legger vekt på at informasjonen i databaser som godkjennes er så korrekt som mulig. Vår testing av metoder for å verifisere e-postadresser uten å forstyrre adressaten følger blant annet av Datatilsynets krav. Vi vil under enhver omstendighet forholde oss til retningslinjer fra Datatilsynet når det gjelder offentliggjøring og bruk av informasjon i våre databaser, opplyser Jøssang, som legger til at informasjonen i Databankens database bygger på offentlig tilgjengelig informasjon og/eller informasjon som er publisert av adressatene selv.

Hos Datatilsynet møter digi.no bare en telefonsvarer som forteller at de ikke mottar telefonhenvendelser etter klokka 15:45.

På Datatilsynets hjemmesider opplyses det imidlertid at kredittopplysningsbyrå som Creditinform kan samle inn, registrere og benytte opplysninger fra offentlige tilgjengelige kilder som for eksempel utlagt likning, Brønnøysundregistrene og Norsk lysningsblad. I tillegg kan kredittopplysningsbyråene registrere fordringer som har gått til inkasso. Alle personer som har hatt skattbar inntekt er registrert hos kredittopplysningsforetakene, men foretakene har selv ansvar for at opplysningene de gir ut er korrekte, understreker Datatilsynet på sine egne hjemmesider.

Spørsmålet er hvor langt Databanken tenker å gå i bruken av informasjonen de samler inn og systematiserer.

- Kunderegistre er unntatt fra konsesjonsplikt så sant de bare inneholder gitte opplysninger som navn, adresse og telefonnummer. For å registrere andre opplysninger, må man ha konsesjon, skriver Datatilsynet på sine nettsider.

Det gjelder for eksempel sammensetting av systematiske kundeprofiler - det vil si en samling data som gir en pekepinn om hva en bestemt person er interessert i å gjøre eller kjøpe.

- Når mengden informasjon om den enkelte blir stor, vil trivielle opplysninger kunne danne grunnlag for en temmelig nøyaktig profil. Ofte vil det være slik at store mengder ikke-sensitiv informasjon vil være en vel så stor trussel mot privatlivet som enkeltstående sensitive opplysninger. Om et firma har registre som kan brukes til profilbygging, er disse sannsynligvis konsesjonspliktige, poengterer Datatilsynet.

Til toppen