26 november 2021
(Fornebu, 26. november 2021)
I disse dager mottar omlag 800 bankkunder i Norge en beskjed fra banken sin om at noen har kikket på deres konto. Informasjonen er ikke misbrukt eller delt til uvedkommende, men er likevel et brudd på grunnleggende personvern.
To ansatte hos TietoEVRY har gjennom sine stillinger hatt autorisert tilgang til bankenes produksjonssystemer, men har misbrukt denne tilgangen til å skaffe seg informasjon som ikke er begrunnet i tjenstlig behov. Begge ansatte har søkt på personer i familie, kollegaer, kjente personer og i noen tilfeller ansatte i banker. Bankene som er berørt vil informere de personene som har vært utsatt for snokingen. Det er viktig å presisere at personer som bor på hemmelig adresse ikke har vært utsatt for denne snokingen. Datatilsynet har også blitt varslet om denne hendelsen i tråd med retningslinjene for GDPR.
På oppdrag av TietoEVRY gjennomfører BDO en objektiv gjennomgang for å avdekke alle faktiske forhold, og kartlegge om andre ansatte har misbrukt sine tilganger. BDO har ikke funnet holdepunkter for at personopplysninger er delt med andre, eller at de to personene dette gjelder har misbrukt informasjonen. TietoEVRY anser dette som et meget alvorlig brudd på interne retningslinjer.
- På vegne av TietoEVRY vil jeg beklage det som har skjedd både overfor enkeltindividene som er utsatt for dette, og de berørte bankene. Dette er uakseptabelt og derfor har vi iverksatt umiddelbare tiltak, og vil også gå igjennom alle sider i saken, sier Lars Vågsdal, Head of FSS Operations i TietoEVRY Financial Services Solutions.
Status videre granskning
TietoEVRY loggfører alle ansatte som har tilgang til systemer som gjør det mulig å spørre på personers kunde- og kontoforhold i banker. Det loggføres også hva de ansatte søker på. Det er viktig å presisere at det kun er norske ansatte som har, eller har hatt, tilgang til de nevnte systemene, og det er kun ansatte med et tjenstlig behov som har fått en slik tilgang. Tilgangene må fornyes jevnlig etter behov, og håndteres gjennom våre tekniske systemer og tilhørende rutiner.
- TietoEVRY har nulltoleranse for slike brudd på selskapets GDPR regler og Code of Conduct. Vi gjennomfører også en revidering av dagens rutiner, og innfører innskjerpede rutiner for tilgang til og forvaltning av kunders data, samt innskjerpede rutiner for å avdekke, hindre og stanse misbruk av de tjenstlige tilgangene til produksjonssystemene, sier Lars Vågsdal i TietoEVRY.
Kontaktperson for media:
Geir Remman, Communications Lead, TietoEVRY Norge, +47 970 55 017