OBOS EIENDOMSFORVALTNING

Obos sendte ut 218.000 epostvedlegg med fullt fødselsnummer i filnavnet

Nå krever en av mottakerne 31337 kroner i erstatning, og truer med gruppesøksmål mot Obos Eiendomsforvaltning.

Obos innrømmer å ha sendt ut epost hvor vedleggene har filnavn som inneholder personnumre, men mener det ikke er noen ting som tyder på at epostmottakernes personnumre har kommet på avveie.
Obos innrømmer å ha sendt ut epost hvor vedleggene har filnavn som inneholder personnumre, men mener det ikke er noen ting som tyder på at epostmottakernes personnumre har kommet på avveie. Illustrasjonsfoto: Mari Gisvold Garathun
Dette er en Ekstra-sak som noen har delt med deg. Abonnere for å få full tilgang til alt innhold.

Obos Eiendomsforvaltning – ett av Obos' datterselskaper – risikerer søksmål etter at de ved en feil sendte ut cirka 218.000 eposter der fullt personnummer til mottakerne er brukt som filnavn på et epostvedlegg. Vedlegget inneholdt en årsoppgave med såkalte tredjepartsopplysninger, som ble sendt til alle medlemmene i de rundt 5.000 boligselskapene som kjøper forretningsfører-tjenester fra Obos Eiendomsforvaltning (OEF).

Kirill Miazine er styreleder for boligsameiet Parkveien 43 i Oslo, og er en av dem som fikk eposten. Han har - som privatperson - sendt en klage til OEF, og krever 31.337 kroner i erstatning for det han mener er et grovt brudd på personvernforordningen (GDPR).

Obos' kommunikasjonsdirektør, Åge Pettersen, vil ikke kommentere erstatningskravet fra Miazine, og sier til Digi.no at det nå får gå jussens vei. Han sier imidlertid at det ikke er noen ting som tyder på at epostmottakernes personnumre har kommet på avveie.

– Utsendelsen er kryptert med tvungen TLS, og da mener vi at personnumrene ikke har ligget åpent i transit mellom avsender og mottaker, sier han.

Obos Eiendomsforvaltning har imidlertid sendt en avviksmelding til Datatilsynet. Den beskriver i detalj hva som gikk galt da eposten skulle sendes ut.

Les også

Menneskelig feil

Fredag 12. februar i år skulle Obos Eiendomsforvaltning (OEF) sende ut årsoppgave med skatteopplysninger til medlemmene av de rundt 5.000 boligselskapene OEF er forretningsfører for. Til sammen skulle det sendes ut 22.417 eposter. Noen av disse ble imidlertid sendt til juridiske eiere – altså selve boligselskapene. Men omlag 218.000 eposter ble sendt til personer i disse selskapene.

Årsoppgavene inneholder den enkelte eiers andel av boligselskapets formue, gjeld, rentekostnad og -inntekt. I oppgaven finner man også navn, adresse og fødselsdato.

I instruksen fra OEF til Postnord Strålfors, som hadde fått oppdraget med å gjennomføre utsendingen, var det spesielt påpekt at epostene kun skulle inneholde fødselsdato, og ikke fødselsnummer. Dette for å minske personvernrisikoen. Personnumrene ble derfor automatisk fjernet fra PDF-vedleggene med årsoppgavene. Og når OEF leste korrektur på PDF-en, ble det sjekket særskilt at personnummeret var fjernet, slik at bare fødselsdato stod igjen.

De sjekket imidlertid ikke filnavnet på PDF-en, og det skulle få store konsekvenser. Ved det som bare beskrives som en menneskelig feil ved generering av epostene, ble nemlig fullt fødselsnummer til de 218.000 mottakerne lagt inn som filnavn på vedlegget i eposten de fikk.

Feilen ble oppdaget raskt, men ikke raskt nok. I avviksmeldingen skriver Obos Eiendomsforvaltning at de straks feilen ble oppdaget på ettermiddagen, påla Strålfors å stanse videre utsendelser, og ba dem undersøke om det var mulig å slette og tilbakekalle de sendte epostene. Dette lot seg imidlertid ikke gjøre.

Gjennom helgen, og fram til avviksmeldingen ble sendt til Datatilsynet 15. februar, hadde Obos Eiendomsforvaltning flere oppklaringsmøter med Nordpost Strålfors, som fikk instruks om å stramme inn rutinene sine. Selskapet ble også bedt om komme med en mer detaljert rapport om hva som hadde gått galt.

Les også

– Ikke sikret mot innsyn

OEF medgir i avviksmeldingen til Datatilsynet at personopplysningene, og særlig personnummer i kombinasjon med andre personopplysninger, kan benyttes for eksempel ved identifikasjonstyverier, dersom epostene eller innholdet i dem kommer på avveie. De skriver imidlertid at det i dette tilfellet er benyttet krypteringsløsninger som i de aller fleste tilfeller vil hindre at andre enn mottakeren får tilgang på informasjonen, og vurderer derfor ikke at risikoen for at feilen skal få store konsekvenser for de berørte, som særlig høy.

Det er Kirill Miazine uenig i.

Kirill Miazine
Kirill Miazine. Foto: Erik Buraas/Studio B13

– Det er bullshit! Epostene går mellom servere, og blir liggende på servere til mottakeren har lastet lastet dem ned - og i de aller fleste tilfeller nærmest i alle evighet. Krypteringen som ble brukt av OEF er slik at internettleverandøren ikke kan lese innholdet i eposten, men på alle mellomstasjoner har opplysningene vært synlig, og ville kunne leses av serveradministratorer og andre. I tillegg er det muligheter for at opplysningene framkommer på logger, i og med at det er brukt en ekstern epostleverandør til utsendingen.

– Det måtte vært brukt en ende- til endekryptering dersom innholdet i epostene skulle vært sikret mot innsyn, sier Miazine – som jobber som advokat med IT og personvern som spesialfelt, og har driftet sin egen epostserver siden tidlig på 2000-tallet.

Miazine hevder i sin klage til OEF at Mailjet, som er den eksterne plattformen for masseutsendelse av epost som er brukt i dette tilfellet, har hatt full tilgang til all informasjon i epostene. Han skriver også at det at Mailjet eies av det amerikanske selskapet Mailgun, reiser problemstillinger i sammenheng med Schrems II-dommen der EU-domstolen i fjor sommer satte særlige krav til overføring av personopplysninger til land utenfor EØS.

Les også

Irritert over Obos

Miazine er irritert over at Obos Eiendomsforvaltning i eposter til ham – og i avviksmeldingen til Datatilsynet – etter hans syn pakker inn den reelle faren for at de kompromitterte fødselsnumrene kan komme på avveie. Han sier det er noe av grunnen til at han nå krever erstatning for såkalt ikke-materiell skade etter personvernforordningens artikkel 82.

– Jeg har tidligere opplevd at personopplysninger er blitt spredd ved en feil. Men da ble det umiddelbart meldt fra til alle berørte om at det var gjort en feil. Og det var ryddig og greit, for feil forekommer. Hadde Obos erkjent denne feilen, og lagt seg flate, så ville jeg nok kunne levd med det.  Men avviksmeldingen forsøker å pynte på sannheten, og det de skriver om konsekvensene er faktisk feil, sier han.

Han er også kritisk til at de som er berørt av feilen, ikke er blitt informert av Obos om det som er skjedd.

I avviksmeldingen begrunner Obos Eiendomsforvaltning dette med at personvernrisikoen ikke tilsier at epostmottakerne skal informeres – ettersom det ikke er vurdert at hendelsen vil gi alvorlige konsekvenser for individers rettigheter og friheter eller at det er høy risiko for at deres rettigheter og friheter er i fare.

Obos legger imidlertid til at det er noen personer som har klaget, og at disse klagerne er blitt underrettet om saken og at det er sendt avviksmelding til Datatilsynet.

Les også

Ikke et tilfeldig tall

De 31.337 kronene Kirill Miazine nå krever i erstatning fra Obos Eiendomsforvaltning, er ikke tilfeldig valgt. 31337 og 1337 er velkjente tall for gamere og andre som er kjent med dataslangen «leet».

Har man interesse for datasikkerhet husker man kanskje også at 31337 var den UDP-porten som ble brukt av hackergruppen Cult of the Dead Cow for å få tilgang til fjernstyringsprogrammet Back Orifice, som ble installert på mange Windows-maskiner på slutten av 1990-tallet. At det tallet er identisk med erstatningskravet er imidlertid en tilfeldighet Miazine ikke var klar over før Digi.no gjorde ham oppmerksom på det.

Selv betegner han beløpet som «et fint tall, som er stort nok gitt sakens alvor og lite nok til å bli tatt alvorlig».

Miazine bedyrer at kravet er alvorlig ment fra hans side, og sier at han også vurderer å ta initiativ til et gruppesøksmål mot Obos Eiendomsforvaltning. Dersom han får med seg alle de 218.000 berørte på et slikt søksmål, og kravet om 31.337 kroner i erstatning blir innfridd, betyr det et samlet krav på litt over 6,8 milliarder kroner. Pluss advokatutgifter.

Miazine innrømmer imidlertid at denne saken også er prinsipielt og faglig interessant.

– Prosessen er det mest interessante –  denne saken er jo personvern i praksis. Og det er ikke noen presedens på erstatninger i saker som denne, så jeg synes det er spennende å se hva utfallet blir.

Da Digi intervjuet Kirill Miazine fredag hadde han ikke fått svar fra Obos Eiendomsforvaltning på klagen og erstatningskravet han sendte dem onsdag i forrige uke. Mandag kveld, etter at Digi.no snakket med Obos, har Miazine imidlertid fått en epost fra Obos Eiendomsforvaltning hvor de ber ham konkretisere hvilke brudd OEF skal ha begått, og hvordan kravet hans er beregnet.

Dette er ikke første gang Kirill Miazine får oppmerksomhet for å klage på noe han mener er urett. I april i fjor var han en av flere personer som klaget inn Folkehelseinstituttet (FHI) til Klagenemda for offentlige anskaffelser (KOFA), etter at FHI hadde tildelt Crayon en skyplattform-kontrakt på 45 millioner kroner i forbindelse med utviklingen av Smittestopp-appen. De fikk medhold i at kontrakten hadde lengre varighet enn nødvendig i en hasteanskaffelse, og FHI fikk i februar i år varsel om gebyr på 74.000 kroner.

Les også

Datatilsynet: Ikke sensitivt

Datatilsynet kan ikke si når de er ferdig med å behandle avviksmeldingen, og før de har gjort det, vil de ikke uttale seg konkret om denne saken.

Juridisk konsulent Christopher Olsson Lønes i Datatilsynet opplyser imidlertid på generell basis at fødselsnummer ikke er legitimasjon, og ikke alene skal brukes til å verifisere noens identitet. Mulighetene for hva man kan misbruke et fødselsnummer til, er derfor begrenset. Fødselsnummer regnes heller ikke som en sensitiv personopplysning, men er likevel informasjon som skal beskyttes. Når det sendes elektronisk skal det derfor krypteres for å sikre at det ikke kommer på avveie.

Olsson Lønes forteller at lignende saker, hvor personnummer er blitt sendt til feil person, ikke har ført til noen reaksjoner fra Datatilsynet, dersom det er blitt iverksatt rutiner for å sikre at feilen ikke skal gjenta seg. 

Han påpeker imidlertid at det ikke er akkurat det som har skjedd i denne saken, og at de sakene derfor ikke nødvendigvis er sammenlignbare. Det blir også en del av vurderingen at det i denne saken er svært mange som er rammet av feilen.

Les også

Kommentarer:

Vi har byttet system for artikkelkommentarer. For å opprette brukerkonto, registrerer du deg med BankID.