Ingen henvisning. Ikke noe venterom.
Og kanskje aller viktigst; mulighet for å være anonym.
Rådgivningstjenesten Lommelegen gjorde det mulig å stille spørsmål til leger og andre fagfolk. Frem til rådgivningstjenesten stengte i 2021 svarte de på over 50.000 spørsmål, som dreide seg om alt fra angst til insektbitt.
Du kunne også laste opp bilder av det som feilet deg.
Brukerne ble lovet at bildene skulle slettes innen 90 dager, og at de aldri skulle publiseres på nett.
Men så oppsto et problem.
Ble ikke slettet
Det er Dagbladet AS og eierselskapet Aller Media som har hatt ansvar for at personopplysningene hos Lommelegen var trygge.
I april i år gikk de gjennom datasystemene sine. Da oppdaget de at bilder som hadde blitt sendt inn til Lommelegen fra 2017 og frem til november 2021 fremdeles var tilgjengelige i en lagringsenhet.
De var altså ikke slettet, slik man hadde lovet brukerne.
– Denne lagringsenheten hadde en innstilling som gjorde at den i teorien ikke var beskyttet mot at uvedkommende kunne fått tilgang, sier Camilla Fuglem. Hun er konserndirektør for teknologi og data i Aller.
Konserndirektør for teknologi og data i Aller, Camilla Fuglem
– Dette er en rutinesvikt fra vår side, som er beklagelig, men som svært lite sannsynlig har forårsaket noen skade, sier hun.
Navn og personnummer
Mellom 200 og 500 av bildene inneholdt informasjon som gjorde at konkrete personer kunne identifiseres. Det skriver Aller Media i en avviksmelding til Datatilsynet.
For eksempel hadde noen av brukerne sendt inn røntgenbilder der det sto navn eller personnummer. Lommelegen reklamerte nemlig med at man kunne sende inn røntgenbilder, slik at ekspertene deres kunne vurdere dem.
Skjermdump fra Lommelegen november 2017.
Foto: Way back machine / Lommelegen.noPå de fleste av de over 10.000 bildene som ble sendt inn til Lommelegen var det vanskelig å identifisere noen ved å se på bildet, ifølge avviksmeldingen. Noen var nærbilder av for eksempel sår eller utslett.
Men det fantes mer informasjon i bildene, enn hva man kunne se med det blotte øyet.
1200 av de digitale bildene inneholdt nøyaktig informasjon om hvor bildet var tatt.
«Psykisk påkjenning»
I redegjørelsen til Datatilsynet forteller Aller om hva feilen kan bety for dem som har sendt inn bilder.
Camilla Fuglem i Aller sier at selskapet ikke har varslet de personene som kan identifiseres på bildene.
– Nei. Det er ingen grunn til å tro at personopplysninger har kommet på avveie. Avviket er meldt til Datatilsynet for ordens skyld.
Men hun kan ikke garantere at ingen har funnet bildene på nett.
– I en digital verden er det neppe mulig å gi garantier om at ingen har tilgang. Men det fremstår som svært usannsynlig at utenforstående skal ha hatt tilgang på materialet. Vi har heller ingen holdepunkter for at det har skjedd, sier hun.
Det var ikke mulig å finne bildene ved å søke på Google eller andre søkemotorer, ifølge Aller.
Men man kunne få tilgang til bildene hvis man hadde riktig internettadresse til databasen der bildene var lagret.
– Denne har ikke på noen måte vært delt med noen, understreker Fuglem.
Professor: – Uakseptabel risiko
– De har sikret veldig sensitive personopplysninger på en så dårlig måte at det er klart ulovlig, sier Dag Wiese Schartum.
Han er professor ved UiO, og en av Norges fremste eksperter på personvern.
Jussprofessor Dag Wiese Schartum mener at Lommelegen har hatt ulovlig dårlig sikkerhet.
Foto: Olav Døvik / NRKProfessoren mener det er alvorlig at bildene potensielt har vært tilgjengelige, selv om det har vært vanskelig å finne frem til dem. Han mener konsekvensene ville ha vært store hvis noen fant bildene.
– Det er en uakseptabel risiko, sier han.
At bildene lå usikret er likevel ikke det mest kritikkverdige i saken, mener Schartum.
Han sier at det mest alvorlige er at man lagret bildene over så lang tid.
– Formålet her er å gi svar, å gi helsehjelp og informasjon om folks konkrete spørsmål. Når de svarene er gitt, så skal opplysningene slettes. Og det har de tydeligvis ikke gjort, sier han.
Meldte seg selv
– Vår rutine var å slette bildene etter 90 dager. Dette var en automatisk rutine som dessverre har sviktet. Det er selvfølgelig beklagelig, sier Camilla Fuglem i Aller.
Aller har testet sikkerheten sin flere ganger de siste årene. Men feilen ble ikke oppdaget før i år.
– Det illustrerer hvor usannsynlig og teoretisk det er at noen uvedkommende har avdekket tilgangen, sier hun.
Fuglem er ikke uten videre enig med professorens vurdering om ulovlig dårlig sikkerhet.
– Vi kan selvsagt ikke utlevere detaljer om vårt sikkerhetsopplegg, og det kjenner heller ikke professoren til. Men det har skjedd et avvik, og det meldte vi selv inn til Datatilsynet, sier hun.
Lommelegen avsluttet rådgivingstjenesten sin i 2021. Det er nå et nettsted med artikler skrevet av eksperter og journalister, opplyser de i avviksmeldingen.
Datatilsynet vurderer nå om Aller har brutt loven, og om de skal få en bot. Tilsynet vil ikke uttale seg om saken før de er ferdige med den. Konklusjonen skal være klar i starten av januar opplyser de til NRK.
