Vipps beklager: Eksponerte flere hundre e-postadresser

«Nå trenger vi flere aktive beta-testere. Ønsker du å fortsette og være med å teste ny funksjonalitet?», stod det i en e-post som ble sendt ut til over 400 av Vipps' beta-brukere torsdag.

I adressefeltet var e-postadressene til samtlige av brukerne synlige for alle som mottok den.

– Veldig uheldig og et brudd på de reglene som gjelder for behandling av personopplysninger, sier jussprofessor og ekspert på personvern Dag Wiese Schartum.

Krav om beskyttelse av opplysninger

Professoren viser til dataminimeringsprinsippet og kravet til sikring av personopplysninger, som er en del av den nye personvernforordningen til EU som trådte i kraft i Norge sommeren 2018.

Bestemmelsene krever blant annet:

• At man ikke skal bruke flere opplysninger enn nødvendig
• At opplysningene ikke skal være knyttet til flere bestemte personer enn det som er nødvendig for formålet
• At opplysningene beskyttes

– Når de sender ut en e-post på denne måten er det ingen grunn til å ha åpne adresser. Da beskytter de ikke opplysningene slik det stilles krav om, sier Schartum.

Fare for illegitim bruk

Personverneksperten mener at selskapets rolle som betalingsformidler gjør saken mer alvorlig enn dersom feilen hadde blitt begått av en annen virksomhet.

– Siden det er et selskap som driver med betalingsformidling forventer man en høyere grad av sikkerhet og behandling av opplysninger. Her bør man kunne forvente at de utviser større aktsomhet.

Samtidig understreker professoren at feilen i seg selv er av relativt hverdagslig karakter.

– Hvilken fare utgjør dette eventuelt for mottakerne som har fått sine e-postadresser eksponert?

– Man kan tenke seg ulike typer illegitim bruk. Ikke så alvorlig som id-tyveri, men man sprer jo opplysninger som kanskje kan gi grunnlag for uønskede henvendelser.

Schartum utdyper at kjennetegn ved beta-brukere kan gjøre dem spesielt attraktive for noen som driver med markedsføring rettet mot denne målgruppen.

– En menneskelig svikt

Kort tid etter at glippen skjedde, sendte Vipps ut en ny e-post der de beklaget seg og ba mottakerne slette e-posten.

Ifølge kommunikasjonssjef Hanne Kjærnes i Vipps skyldtes eksponeringen en menneskelig svikt.

– Vi er veldig lei oss for at de har kommet på avveie, det skulle selvfølgelig ikke ha skjedd. Vanligvis bruker vi systemer som sikrer at e-postadresser ikke eksponeres, men her var det ikke mulig.

Kjærnes sier at Vipps vil melde inn avviket til Datatilsynet fredag.

– Kan du forstå at folk mener man burde kunne forvente bedre av et selskap som driver med betalingsformidling?

– Det forstår vi godt. Samtidig er det slik at menneskelige svikt kan skje, og det skjer heldigvis ikke så ofte.

Kommunikasjonssjefen sier at de håper betatesterne har forståelse for at listen med e-postadresser ikke skal videresendes.

Datatilsynet: – Uheldig

Kommunikasjonsdirektør Janne Stang Dahl i Datatilsynet sier at de har mottatt flere lignende avviksmeldinger etter at personvernforordningen trådte i kraft. Menneskelig svikt er ofte årsaken.

– Det er klart det er uheldig at alle mottakere blir satt i et åpent felt, slik at man kan se samtlige e-postadresser. Dette utgjør en utlevering av personopplysninger.

Nå vil Datatilsynet se på avviksmeldingen som har blitt sendt inn av Vipps, for å vurdere alvorlighetsgraden og omfanget av hendelsen.

Kommunikasjonsdirektøren legger til at det er viktig at Vipps håndterer hendelsen internt og informerer de berørte.

– Store selskaper som Vipps er avhengig av tillit fra sine brukere. Kunder stiller store krav, også til personvern.

Vipps opplyste først til NRK at avviket var meldt inn torsdag, men dette ble senere korrigert.