Récemment, le site Web de santé appartenant à Dagbladet, Lommelegen, a découvert que 10 161 photos de lecteurs qui auraient dû être supprimées il y a longtemps étaient toujours en ligne.
Et : Bien qu’ils aient été cachés, ils n’étaient pas protégés et en théorie ouvertement accessibles aux étrangers,
Les images avaient été soumises au service de questions-réponses du site Web, où des médecins et d’autres membres du personnel médical répondaient aux questions de santé des lecteurs, et n’étaient pas destinées au public. Bien que les auteurs aient été invités à éviter les détails personnels dans les images, la propre critique de Dagbladet montre que jusqu’à 500 des images peuvent identifier l’auteur.
De plus, 1 201 des images de santé sont liées aux coordonnées géographiques précises de l’endroit où elles ont été prises, ainsi qu’à l’heure et à la date.
Aucun journal trouvé
Lorsque la solution a été créée en 2017, elles n’étaient censées être stockées que pendant 90 jours, mais une erreur dans le système a fait qu’elles sont restées. Cela a déjà été découvert l’année dernière lorsque le service de conseil a été fermé, mais les images n’ont pas été supprimées à ce moment-là. Ce n’est que ce printemps, lorsqu’il est devenu évident que les photos étaient au grand jour, que Dagbladet a pris des mesures.
Une notification de non-conformité à l’Autorité norvégienne de protection des données indique qu’il n’a été possible de récupérer les images que pour toute personne disposant de la bonne adresse Web (URL). Cependant, cela n’était pas disponible via les moteurs de recherche habituels. Les images ont été stockées indépendamment de Lommelegen et les noms de fichiers n’ont rien révélé.
NRK a mentionné le cas en premier.
Dans la correspondance avec l’inspection, Dagbladet écrit que « à l’exception de pures conjectures, ce n’est qu’en passant par sept étapes manuelles que quelqu’un pouvait accéder aux images ». Par conséquent, le journal estime qu’il est peu probable que quiconque ait exploité la vulnérabilité.
« Ces étapes n’étaient pas une procédure logique qu’on peut supposer qu’une personne non autorisée aurait tentée, même à condition qu’elle recherche activement des vulnérabilités sur Lommelegen.no. »
Lorsque l’inspection a été avisée ce printemps, cela a déclenché des demandes d’explication.
– Les informations sur la santé sont des informations personnelles sensibles et certaines des choses les plus privées que nous possédons, et doivent toujours être traitées avec le plus grand soin, écrit la directrice des communications Janne Stang Dahl à l’Autorité norvégienne de protection des données dans un e-mail à DN.
Frais d’infraction coûteux
L’affaire est en cours d’examen et l’inspection s’attend à ce que l’évaluation soit prête au cours de la nouvelle année.
– Apparemment, des informations sur la santé et d’autres informations personnelles ont été stockées en ligne sans une gestion d’accès suffisamment bonne. Selon le message, les routines de suppression n’ont pas non plus été suivies et il n’y a eu aucune forme de journalisation de l’accès au dossier. Il est trop tôt pour dire quoi que ce soit sur le degré de gravité avant d’avoir pleinement évalué le cas. Nous examinons de plus près ce qui s’est passé, quelles informations ont été disponibles et qui et combien ont eu accès aux données personnelles, écrit Dahl.
Le sujet peut être couvert par la réglementation GDPR. Dans sa demande d’explications, l’Autorité norvégienne de protection des données souligne qu’elle peut infliger des amendes pouvant aller jusqu’à 20 millions d’euros, soit 4 % du chiffre d’affaires annuel d’une entreprise.
Mais Dagbladet estime qu’il est peu probable que la relation soit suffisamment sérieuse pour déclencher une obligation de signalement.
« Nous tenons à souligner que nous l’avons fait pour mémoire, même si nous considérions qu’il était hautement improbable que la relation comporte un risque pour les droits et libertés des personnes physiques », indique la lettre de réponse.
Il a été signé par la rédactrice responsable de Dagbladet, Alexandra Beverfjord, et le patron du propriétaire de Dagbladet, Aller Media, Dag Sørsdahl.
Aller Media était responsable du traitement des données de Lommelegen jusqu’en octobre 2019, date à laquelle Dagbladet a pris le relais.
Demander de ne pas être puni
La lettre affirme en outre qu’il est hautement improbable que les images aient été utilisées à mauvais escient.
« Si l’Autorité norvégienne de protection des données choisit néanmoins d’imposer une redevance d’infraction sur la base de la notification d’une situation qui n’était pas nécessairement notifiable, cela pourrait entraîner le risque que d’autres responsables du traitement deviennent à l’avenir moins transparents envers l’Autorité norvégienne de protection des données. lorsque des vulnérabilités sont découvertes. Ce sera dommage. »
DN a été en contact avec Alexandra Beverfjord, qui réfère Camilla Fuglem à Aller pour une réponse. Elle a le titre de vice-présidente exécutive pour la technologie et les données.
DN a demandé dans quelle mesure il était certain que des personnes non autorisées n’aient pas capturé les images d’une manière ou d’une autre.
– Dans un monde numérique, il n’est guère possible de garantir que personne n’y ait accès. Mais il semble hautement improbable que des étrangers aient eu accès au matériel. Nous n’avons également aucune preuve que cela se soit produit, répond Fuglem par e-mail.
Confidentialité demandée pour éviter les perturbations
Malgré l’avertissement à l’Autorité norvégienne de protection des données, ils ne regrettent pas d’avoir signalé le cas, écrit-elle :
– Non, nous voulons être ouverts et transparents avec l’Autorité norvégienne de protection des données et avoir pour politique de signaler trop plutôt que trop peu.
Dagbladet a demandé que leur avis de non-conformité original soit exempté du public, en partie parce que l’attention pourrait provoquer des troubles parmi ceux qui avaient soumis des photos.
« Un malaise sans doute infondé car des personnes non autorisées n’ont eu qu’un accès théorique aux images et nous n’avons aucune raison de croire que les images se sont égarées ou que des personnes non autorisées les ont effectivement vues. Malheureusement, aucun journal ne peut le confirmer, mais nous n’avons reçu aucune indication que c’est le cas », indique-t-il.(Conditions)Copyright Dagens Næringsliv AS et/ou nos fournisseurs. Nous aimerions que vous partagiez nos cas en utilisant des liens, qui mènent directement à nos pages. La copie ou d’autres formes d’utilisation de tout ou partie du contenu ne peuvent avoir lieu qu’avec une autorisation écrite ou dans la mesure permise par la loi. Pour plus de termes voir ici.
Passionnée par la culture nordique, par la nature, par l’écriture, voici que j’ai réunie mes passions dans ce site où je vous partage mes expériences et mes connaissances sur la Norvège spécialement. J’y ai vécu 2 ans entre 2015 et 2017, depuis les décors me manque, la culture me manque. Bonne lecture.
