PC
Foto: Maria Elsness / NRKLefdal solgte "ny" PC med sensitivt innhold
Kunden kjøpte det hun trodde var en ny PC. Men den inneholdt 9100 filer fra en tidligere eier.
Høsten 2012 kjøpte Inger Sundeids mor en PC hos Lefdal Elektromarked på Ski. Nylig begynte maskinen å skrante, og hun fikk den undersøkt. Stor var overraskelsen da det viste seg at datamaskinen hadde hatt en tidligere eier.
Ikke nok med det. 9100 filer fra den forrige eieren var lett tilgjengelige på harddisken. Alle dokumentene har sensitivt innhold.
– Det er kjipt når feriebilder kommer på avveier. Med personopplysninger blir det mye mer alvorlig, mener Inger Sundeid.
Foto: Maria Elsness / NRK– Mor kjøpte PC-en i god tro om at den ikke var brukt av andre. Den ble riktignok solgt som "utstillingsmodell", men til full pris, sier Inger Sundeid til NRK.
– Det er tross alt stor forskjell på en gjenstand som har stått til utstilling i butikken en kortere tid, og en som har vært brukt av en annen kunde tidligere, sier hun.
Overfladisk sletting
Den forrige eieren var en advokat i Oslo. Han kjøpte den samme PC-en hos Elkjøp i august 2012 (Elkjøp og Lefdal har samme eiere.)
Etter et par uker fikk han byttet sin nyinnkjøpte PC med en annen maskin. På den første PC-en hadde han lagret en mengde korrespondanse, rådgivning, testamenter og selvangivelser.
– Var det ikke litt naivt å ta det for gitt at alle data ville bli slettet på maskinen du returnerte?
– Noen vil kanskje mene det. Men effektiv sletting forutsetter et visst kunnskapsnivå. Jeg vet jo hvordan man sletter, men ikke hvordan filene fjernes fullstendig på en trygg måte. Denne saken har lært meg at amatørmessig sletting bare er overfladisk sletting, sier advokaten til NRK.
– Når selgeren legger en brukt maskin ut på markedet, tar jeg det for gitt at de renser den for alt gammelt innhold. Det er jo de og ikke jeg som er dataprofesjonelle, legger han til.
– Det er kjipt når feriebilder havner i feil hender. Med personopplysninger blir det mye mer alvorlig. Hadde denne PC-en endt opp i hendene til noen med kriminelle hensikter, kunne det blitt krise for mange mennesker, sier Inger Sundeid som selv er jurist.
Hun støtter prinsippet om å selge brukte datamaskiner og mobiltelefoner, men ser det som en selvfølge at selgerne sletter det gamle innholdet.
Inger Sundeid synes det er greit å selge brukte datamaskiner og mobiltelefoner, forutsatt at selgerne sletter gammelt innhold. Her med den aktuelle PC-en.
Foto: Maria Elsness / NRKVurderer søksmål
Etter å ha gått flere runder med butikken, har Sundeids mor nå fått tilbud om en ny PC. Advokaten vurderer på sin side søksmål og erstatningskrav mot Lefdal etter sikkerhetsblemma.
– For meg er det også avgjørende viktig å få bekreftet at butikken nå tar hånd om denne PC-en på en betryggende måte. Hvis de skal selge den nok en gang, krever jeg garanti for at alle persondata fjernes en gang for alle, sier advokaten.
Han mener at butikken bør belønne mor og datter for at de slo alarm.
– Her må noe ha gått alvorlig galt, sier Ove Skåra i Datatilsynet.
Foto: DatatilsynetOgså Datatilsynet mener at det bare er én helt i denne historien.
– Det er litt opprørende hvis selgeren ikke takket Sundeid da hun tok kontakt. At hun ikke bare slettet filene eller til og med misbrukte innholdet bør alle parter være glade for, sier Datatilsynets kommunikasjonsdirektør Ove Skåra.
– Selgerne er de profesjonelle. De fleste kunder vet lite om effektiv sletting og datasikkerhet. Butikkene skal ha rutiner som fanger opp dette. Så her må noe ha gått alvorlig galt, sier han.
Samtidig understreker Skåra at forbrukere ikke bare kan levere inn datautstyr og si at "dere fikser resten". Alle har ansvar for å slette data man selv har lagt inn på maskiner som skal returneres. Bedriften må deretter sørge for grundig og trygg ekstrasletting.
Også mobiltelefoner
Hvis du skal gi kvitte deg med data- eller mobilutstyr, er rådet fra NorSIS (Norsk senter for informasjonssikring) å ta noen enkle forholdsregler slik at personlige data ikke kommer på avveier.
Mange kvitter seg med datautstyr uten å gjøre annet enn overfladisk sletting, sier Roger Johnsen i NorSIS.
Foto: NorSIS– Det er sjelden vi hører om så stygge sikkerhetsbrister hos seriøse forhandlere, sier administrerende direktør Roger Johnsen i NorSIS.
– Men bruktmarkedet er stort. Mange selger datamaskiner og mobiltelefoner på egen hånd, eller gir dem bort til ulike formål. Ofte uten noe forsøk på å annet enn overfladisk sletting av innholdet. Det kan straffe seg, sier han til NRK.
– Problemet er kanskje aller størst med mobiltelefoner. Man bør i hvert fall nullstille mobilen ved å gjenopprette fabrikkinnstillingene før man kvitter seg med den, sier Johnsen.
På harddisker og andre lagringsmedier bør du ifølge NorSIS bruke programvare som overskriver og sletter gamle data. Avmagnetisering og destruksjon er andre metoder. Les mer om sikker sletting her.
– Leverandører med sviktende sletterutiner kan utsette kundene sine for kostbare og alvorlige konsekvenser. Derfor er det viktig med gode rutiner som forhindrer dette, mener NorSIS-sjefen.
Ove Skåra i Datatilsynet forteller at advokater har andre forpliktelser enn privatpersoner når datautstyr skal avhendes.
– Personopplysningsloven krever at virksomheter som behandler sensitive personopplysninger må få en formell bekreftelse på at dataene slettes fullstendig. En muntlig forsikring er ikke tilstrekkelig. Det bør også sendes en avviksmelding til Datatilsynet når dette går galt, sier han.
Både Datatilsynet, NorSIS og Elkjøp understreker at forbrukerne bør slette innholdet på datautstyr som skal avhendes.
Foto: Maria Elsness / NRK– Burde gjort mer
I ettertid innser advokaten at han burde gjort mer for å forhindre at dataene kom på avveier.
– Jeg har alltid hatt stor fokus på sikkerhet, og har vernet klientene mine etter beste evne. Jeg har nok større krav til aktsomhet enn folk flest, men feilen var å stole på at forhandleren sørget for sikker sletting, sier advokaten. Han er skrekkslagen over at hans data kunne vært misbrukt.
Elkjøp innrømmer rutinesvikt, og sier saken er beklagelig.
– Dette tar vi veldig seriøst. Vi har et klokkeklart ansvar for sletting av gamle data, enten det er familiebilder fra skibakken eller mer sensitive ting, sier kommunikasjonssjef Øystein Schmidt i Elkjøp Nordic AS.
Han forteller at Elkjøp og Lefdal har gode rutiner for sletting av data på brukte PC-er, mobiltelefoner, nettbrett og eksterne harddisker.
– Vi sletter alt gammelt innhold både når maskinene leveres inn til oss, og før de legges ut for salg. Rutinene er godt innarbeidet, men her har det åpenbart skjedd en menneskelig glipp som vi beklager, sier Schmidt.
– Våre kunder har 30 dagers angrefrist ved kjøp av datautstyr. Derfor legger vi stor vekt på rutinene med dobbelt sletting, sier han.
Schmidt legger til at forbrukerne likevel bør tenke over om datamaskinen inneholder noe man kan slette selv.
– Og så skal vi ta vårt ansvar, sier han.
Schmidt sier at advokatens tidligere datamaskin ikke skulle vært solgt som ny. Også det var en rutinesvikt.
– Brukt utstyr skal merkes tydelig som B-vare, og med prisreduksjon. Også her har vi helt klare rutiner, sier Øystein Schmidt i Elkjøp Nordic AS.
