Datatilsynet legger særlig vekt på at Stortinget ikke hadde etablert tofaktorautentisering eller tilsvarende effektive sikkerhetstiltak for å oppnå tilstrekkelig beskyttelse, kommer det frem i en melding fra tilsynet.

Datainnbruddet var knyttet til uautorisert pålogging til e-postkontoene til et ukjent antall stortingsrepresentanter og ansatte i administrasjonen og gruppesekretariatene.

– Datatilsynet ser alvorlig på at det fra Stortingets side ikke var iverksatt gode nok tekniske tiltak som kunne ha avverget overtredelsen, sier direktør Bjørn Erik Thon i Datatilsynet, i en pressemelding.

Nå haster det med å finne et alternativ til Google Analytics

Stjal personopplysninger

De første undersøkelsene avdekket ifølge tilsynet at angripere hadde lastet ned data, inkludert personopplysninger fra e-postkontoene, om de folkevalgte og Stortingets ansatte.

Dette omfattet blant annet bank- og kontoopplysninger, fødselsnummer og helseopplysninger.

– Resultatet er at Stortingets administrasjon og representantene har mistet kontroll over personopplysningene som har ligget i deres e-postkontoer, sier Thon.

Datatilsynet mener at mulige konsekvenser for de berørte av angrepet, kan være misbruk av identitet, misbruk av betalingskort og bruk av informasjon til utpressing.

– Datatilsynet mener at dersom tofaktorautentisering hadde blitt gjennomført på et tidligere tidspunkt, så ville sjansen for et vellykket angrep vært adskillig mindre, sier Thon i meldingen.

Regelverket krever høyt sikkerhetsnivå

Personvernforordningen, også kjent som GDPR, krever at den behandlingsansvarlige etablerer et sikkerhetsnivå som er egnet til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene.

– Stortinget er en av samfunnets viktigste institusjoner. Det er viktig at opplysningene om de folkevalgte og de ansatte ved Stortinget behandles på en sikker måte, sier Thon.

Stortinget er gitt tre ukers frist til å komme med sitt syn på saken.

Datatilsynet vil så vurdere tilbakemeldingen, og fatte endelig vedtak.

I fem år har gründeren finslipt på løsningen som kan spare norske bedrifter for dyre GDPR-bøter