Kommunen kan få kjempegebyr etter at de ble hacka

Personopplysningene til innbyggere i Østre Toten har havnet på «det mørke nettet». Kommunen kan både bli erstatningsansvarlig og få gebyr.

Bror Helgestad

Senterpartiordfører Bror Helgestad i Østre Toten, er bekymret for den sensitive informasjonen som har kommet på avveie.

Foto: Anne Kari Løberg / NRK

Det var natt til lørdag 9. januar at Østre Toten ble utsatt for et dataangrep.

Noen tok seg inn bak brannmurene til kommunen, slettet alle sikkerhetskopier og krypterte alle data. Etterforskingen viste at data ble lagt ut på det mørke nettet. .

Ordfører Bror Helgestad, sier at av 1800 filer som er lekka er det 200 filer som inneholder personsensitive opplysninger.

– Et titalls personer på rødt nivå, er vi i gang med å varsle, sier ordfører Bror Helgestad.

Kan få gebyr etter angrepet

Angrepet ble omtalt som det største noensinne mot en norsk kommune. Nå risikerer Østre Toten pengestraff.

– Hvis det viser seg at det som har skjedd kunne vært unngått, eller at man ikke har satt i gang nok sikkerhetstiltak, så kan det bli et overtredelsesgebyr.

Det sier kommunikasjonsdirektør i Datatilsynet Janne Stang Dahl.

Hun understreker at Østre Toten handlet raskt og tar saken veldig alvorlig. Hun kan ikke si noe mer om utfallet ennå.

Hvis man opplever brudd på personopplysningssikkerhet, så skal man sende inn en avviksmelding til Datatilsynet innen 72 timer. Det har kommunen gjort.

Kommunikasjonsdirektør i datatilsynet Janne Stang Dahl

USIKKERT: Kommunikasjonsdirektør i datatilsynet, Janne Stang Dahl, sier de ikke kan si noe om kommunen får gebyr eller ei.

Foto: Ilja C. Hendel / © Ilja C. Hendel

– Vi jobber nå med den meldingen og hva som har skjedd, alvorlighetsgraden og om dette kunne vært unngått, sier Stang Dahl.

Datatilsynet følger personregelverket i EU/EØS (GDPR). Regelverket ble innført sommeren 2018, hvor datatilsynet kan gi sanksjoner ved brudd på regelverket.

GDPR-regelverket kan gi gebyrer på inntil 200 millioner kroner. Hvor høyt et eventuelt gebyr kan bli etter dataangrepet på Østre Toten kan ikke kommunikasjonsdirektøren si noe om.

– Det er helt umulig å si størrelsen på et gebyr, eller om det i hele tatt blir noe gebyr. Vi må vurdere hele prosessen først. Det er en stor og alvorlig sak, men vi ser at kommunen gjør alt de kan for å ordne dette, sier Stang Dahl.

Dataangrep Østre Toten

OMFATTENDE: Alle kommunens datamaskiner måtte gjennom en teknisk vask før de kan tas i bruk igjen.

Foto: Anders Bakkerud Larsen / NRK

Vil hjelpe innbyggere som er ramma

Ordfører Bror Helgestad (Sp) er klar over at kommunen risikerer gebyr etter hendelsen, men sier Østre Toten først og fremst er opptatt av å hjelpe innbyggerne som er rammet av angrepet.

– Det kan godt skje. Vi er i dialog med KS og får juridisk bistand.

Kommunen kan også bli erstatningsansvarlig for den ulempen det måtte ha hatt på innbyggerne sine.

Ordfører Bror Helgestad i Østre Toten

BEKYMRET: Ordføreren vet ikke hvorfor akkurat de ble angrepet, men tror kommunen er et tilfeldig offer. Eksperter sier at småkommuner er ekstra sårbare for slike angrep.

Foto: Lars Erik Skrefsrud / NRK

Onsdag hadde Østre Toten et ekstraordinært formannskapsmøte, hvor de gikk igjennom status og videre fremdrift etter angrepet. Det ble også informert om hva de gjør med persondata som har havnet på «det mørke nettet».

De 1300 ansatte i kommunen måtte jobbe med penn og papir i lang tid etter angrepet.

De som stod bak dataangrepet bad om løsepenger for å gi tilbake sikkerhetskopiene, men det har de ikke fått.