Enkelte tjenester har fått utdelt fødselsnumre uten avtale 

26.01.2024 14:07

Oppdatert tirsdag 27. februar kl. 13.00.

En feil hos oss har ført til at en del tjenesteleverandører har fått mer informasjon enn avtalt når brukere logget inn med Feide mellom 19. – 25. januar. Tjenestene har fått informasjon om fødselsnummeret til brukere som har logget inn, i tillegg til avtalt informasjon de skal motta ved innlogging. I dette tidsrommet har 595 000 personer fått delt fødselsnummer uten at det er avtalt. Feilen hos oss ble rettet 25. januar klokken 14.00. 

Vi understreker at fødselsnumrene ikke har vært åpent tilgjengelig på nett på noe tidspunkt. Tjenesteleverandørene er vant til å motta og håndtere persondata, og skal ha databehandleravtale med vertsorganisasjonene.  

Vi har full kontroll på hvilke personer, vertsorganisasjoner og leverandører som er berørt av feilen. Vi har kontaktet vertsorganisasjoner med spesifikk informasjon om hvor mange brukere som er berørt hos dem, og hvilke tjenester det gjelder. Vi har også tatt kontakt med alle berørte tjenesteleverandører.

Våre undersøkelser så langt viser at fødselsnumrene som er delt med leverandørene, i mange tilfeller ikke er lagret eller registrert hos dem. Av de tjenestene som har lagret fødselsnummer, har mange har allerede ryddet opp og slettet dataene. For oppdaterte tall, se status for antall fødselsnummer.

Sikt har varslet Datatilsynet om hendelsen. Referansennummer fra varslingen vår til Datatilsynet er AR596480816.

Status for antall fødselsnummer som er berørt – 99,8 prosent er ryddet opp 

Oppdatering tirsdag 27. februar kl. 13.00: Vi har nå fått bekreftet at 593 969 brukere sine data, 99,8 prosent, enten ikke ble lagret eller er slettet hos leverandørene. Vi jobber videre med å kartlegge de resterende 931 brukerne som er berørt av feilen. 

Tidligere oppdateringer

Oppdatering fredag 16. februar kl. 15.50: Vi har nå fått bekreftet at 591 690 brukere sine data, mer enn 99 prosent, enten ikke ble lagret eller er slettet hos leverandørene. Vi jobber videre med å kartlegge de resterende 4 249 brukerne som er berørt av feilen. 

Oppdatering onsdag 14. februar kl. 12.45: Vi har nå fått bekreftet at 589 088 brukere sine data, nærmere 99 prosent, enten ikke ble lagret eller er slettet hos leverandørene. Vi jobber videre med å kartlegge de resterende 6 851 brukerne som er berørt av feilen. 

Oppdatering tirsdag 13. februar kl. 13.40: Vi har nå fått bekreftet at 581 530 brukere sine data, mer enn 97,5 prosent, enten ikke ble lagret eller er slettet hos leverandørene. Vi jobber videre med å kartlegge de resterende 14 409 brukerne som er berørt av feilen. 

Oppdatering torsdag 8. februar kl. 13.50: Vi har nå fått bekreftet at 579 304 brukere sine data, mer enn 97 prosent, enten ikke ble lagret eller er slettet hos leverandørene. Vi jobber videre med å kartlegge de resterende 16 635 brukerne som er berørt av feilen. 

Oppdatering tirsdag 6. februar kl. 14.30: Vi har nå fått bekreftet at 575 255 brukere sine data, mer enn 96 prosent, enten ikke ble lagret eller er slettet hos leverandørene. Vi jobber videre med å kartlegge de resterende 20 684 brukerne som er berørt av feilen. 

Oppdatering fredag 2. februar kl. 14.30: Vi har nå fått bekreftet at 570 802 brukere sine data, rundt 96 prosent, enten ikke ble lagret eller er slettet hos leverandørene. Vi jobber videre med å kartlegge de resterende 25 137 brukerne som er berørt av feilen. 

Oppdatering torsdag 1. februar kl. 14.50: Vi har nå fått bekreftet at 564 500 brukere sine data, rundt 95 prosent, enten ikke ble lagret eller er slettet hos leverandørene. Vi jobber videre med å kartlegge de resterende 31 440 brukerne som er berørt av feilen. 

Oppdatering torsdag 1. februar kl. 13.20: Vi har nå fått bekreftet at 535 660 brukere sine data, rundt 90 prosent, enten ikke ble lagret eller er slettet hos leverandørene. Vi jobber videre med å kartlegge de resterende 59 340 brukerne som er berørt av feilen. 

Oppdatering torsdag 1. februar kl. 11.00: Vi har nå fått bekreftet at 533 300 brukere sine data enten ikke ble lagret eller er slettet hos leverandørene. Vi jobber videre med å kartlegge de resterende 61 700 brukerne som er berørt av feilen.

Oppdatering onsdag 31. januar kl. 15.00: Vi har nå fått bekreftet at 522 600 brukere sine data enten ikke ble lagret eller er slettet hos leverandørene. Vi jobber videre med å kartlegge de resterende 72 400 brukerne som er berørt av feilen.

Oppdatering onsdag 31. januar kl. 12.15: Vi har nå fått bekreftet at 516 500 brukere sine data enten ikke ble lagret eller er slettet hos leverandørene. Vi jobber videre med å kartlegge de resterende 78 500 brukerne som er berørt av feilen.

Oppdatering onsdag 31. januar kl. 10.30: Vi har nå fått bekreftet at 515 000 brukere sine data enten ikke ble lagret eller er slettet hos leverandørene. Vi jobber videre med å kartlegge de resterende 80 000 brukerne som er berørt av feilen.

Oppdatering tirsdag 30. januar kl. 15.00: Vi har nå fått bekreftet at 474 000 brukere sine data enten ikke ble lagret eller er slettet hos leverandørene. Vi jobber videre med å kartlegge de resterende 121 000 brukerne som er berørt av feilen.

Oppdatering tirsdag 30. januar kl. 12.15: Vi har nå fått bekreftet at 464 000 brukere sine data enten ikke ble lagret eller er slettet hos leverandørene. Vi jobber videre med å kartlegge de resterende 131 000 brukerne som er berørt av feilen. 

Oppdatering fredag 26. januar kl. 18.30: Vi har nå fått bekreftet at 450 000 brukere sine data enten ikke ble lagret eller er slettet hos leverandørene. Vi jobber videre med å kartlegge de resterende 145 000 brukerne som er berørt av feilen. 

Oppdatering fredag 26. januar kl. 14.00: Nå vet vi at minst 218 000 av de berørte fødselsnumrene aldri har blitt registrert eller lagret hos leverandørene. Vi jobber videre med å kartlegge de resterende 377 000 berørte fødselsnumrene.  

I utgangspunktet ble 595 000 fødselsnummer delt med leverandør uten avtale.

Ofte stilte spørsmål

Hvem kan jeg kontakte for å få vite om jeg er berørt? 

Du må ta kontakt med din skoleeier eller organisasjon for å vite om du er berørt av denne hendelsen. Dette kan være kommunen eller fylkeskommunen som skolen din ligger i, høgskolen eller universitetet ditt, eller organisasjonen du jobber i. 

Vi understreker at fødselsnumrene ikke har vært åpent tilgjengelig på nett på noe tidspunkt. Tjenesteleverandørene er vant til å motta og håndtere persondata, og skal ha databehandleravtale med skoleeierne. Vi i Sikt vurderer derfor at det ikke er sannsynlig at bruddet medfører høy risiko for de berørte enkeltpersonene. 

Hva betyr det at tjenester uten avtale fikk tilgang til fødselsnumrene? 

Hver vertsorganisasjon har en avtale med tjenesteleverandørene om hvilke personopplysninger tjenesten skal behandle og hva de kan brukes til, en databehandleravtale eller utleveringsavtale. Med denne feilen fikk tjenesteleverandøren tilgang til mer informasjon enn det som var avtalt skulle overføres gjennom Feide-systemet.

Det kan være at vertsorganisasjonens avtale allerede omtaler fødselsnummer om leverandøren får dette fra andre hold, men for mange vil fødselsnummer ikke være en del av det som er avtalt. 

Hvor mange leverandører har hatt uautorisert tilgang til fødselsnumrene og hvilke typer leverandører er det snakk om? 

103 leverandører av Feide-tjenester har fått oversendt fødselsnummer deres sluttbrukere har logget inn i perioden. Det er hele spekteret av leverandører i Feide – de som leverer læremidler, administrative tjenester, verktøy og lignende.

I tillegg har personer på noen få universiteter brukt såkalte personlige tjenester der en enkeltperson står som leverandør av tjenesten. Det er til sammen 14 slike personlige leverandører brukt av disse universitetene. 

Hvem hos leverandørene har hatt tilgang til å se fødselsnumrene? 

Det vil variere, men ut fra hvordan dette er overført og tilbakemeldinger fra leverandører, vil det typisk være det tekniske personellet som driver tjenesten og de som driver feilsøking som kan ha sett dataene.

Av tjenestene som hittil (31.01.2024 kl. 10.30) har meldt tilbake til oss og sjekket ut, ble informasjonen aldri lagret noe sted hos 76% av dem og ikke sett av noen. Hos 24% ble informasjon lagret hos leverandøren, men de har slettet den. Om denne fordelingen vil gjelde resten av tjenestene vet vi ikke ennå. 

Hvilke andre personopplysninger har fødselsnumrene vært knyttet til?  

Tjenesten vil ha fått overlevert de opplysningene som er registrert på tjenesten i Feide kundeportal som normalt. Feide-administratorer kan sjekke hvilke opplysninger aktuelle tjenester har fått i tillegg til fødselsnummer i Feide kundeportal. 

Hvilke tiltak gjør dere for å forhindre at dette skjer på nytt i fremtiden? 

Utover strakstiltak rundt feilretting, konsentrerer vi nå oss om opprydding og informasjon. Fremtidige tiltak basert på hendelsen – hva som gikk galt og erfaringer fra dette – vil vi komme tilbake til senere. 

Er det tiltak dere anbefaler at tjenesteleverandører gjør for å forhindre tilsvarende i fremtiden? 

Det viktigste dere gjør nå er å sjekke de tingene vi listet opp i e-post til dere, og eventuelt rydder i tjenestene deres om nødvendig. Utover det anbefaler vi dere å holde dere oppdatert med informasjon fra oss, og passe på at riktige kontaktpunkter er registrert i Feide kundeportal. Fremtidige anbefalinger for tjenesteleverandører basert på hendelsen – hva som gikk galt og erfaringer fra dette – vil vi komme tilbake til senere. 

Spørsmål om varsling og informasjon om hendelsen

Hvem av brukerne våre er berørt?  

Vi har sendt ut informasjon om hvor mange personer som er berørt per organisasjon, informasjon om hvilke tjenester, og hvor mange brukere per tjeneste. 

Vi i Sikt vurderer at det ikke er sannsynlig at bruddet medfører høy risiko for de berørte enkeltpersonene. Dermed vurderer vi det slik at det ikke er nødvendig å varsle de berørte individuelt. For behandlingsansvarlige som vurderer det annerledes vil vi som databehandler bistå med informasjon om hvilke brukere som er berørt. 

Har personene som er berørt fått beskjed? 

Sikt har ikke gitt informasjon til enkeltbrukere. Feide har oversikt over hvem det gjelder og hvilke av de berørte tjenesteleverandørene hver person logget inn mot.  

Vi i Sikt vurderer at det ikke er sannsynlig at bruddet medfører høy risiko for de berørte enkeltpersonene. Dermed vurderer vi det slik at det ikke er nødvendig å varsle de berørte individuelt. For behandlingsansvarlige som vurderer det annerledes vil vi som databehandler bistå med informasjon om hvilke brukere som er berørt. 

Hvem har plikt til å varsle de berørte brukerne individuelt?   

Det er vertsorganisasjonene (behandlingsansvarlige) som skal varsle de berørte brukerne individuelt der de vurderer dette som nødvendig. Sikt (databehandler) har ikke varslet de berørte brukerne individuelt. 

Er det nødvendig å gi de berørte brukerne beskjed individuelt?

Fødselsnumrene har ikke vært åpent tilgjengelig på nett på noe tidspunkt. Tjenesteleverandørene er vant til å motta og håndtere persondata, og skal ha databehandleravtale med vertsorganisasjonene. 

Vi i Sikt vurderer at det ikke er sannsynlig at bruddet medfører høy risiko for de berørte enkeltpersonene. Dermed vurderer vi det slik at det ikke er nødvendig å varsle de berørte individuelt. For behandlingsansvarlige som vurderer det annerledes vil vi som databehandler bistå med informasjon om hvilke brukere som er berørt.  

Er det nødvendig å gi felles informasjon til våre brukere?  

Vi anbefaler at dere gir felles informasjon til organisasjonen om det som har skjedd. 

Har dere informasjon vi kan ta utgangspunkt i når vi skal informere vår organisasjon?  

Her har du informasjon om hendelsen som du kan ta utgangspunkt i.  

En feil i Feide har ført til at en del tjenesteleverandører vi bruker har fått mer informasjon enn avtalt når brukere logget inn med Feide mellom 19. januar kl. 11.43 – 25. januar kl. 13.57. Tjenestene har fått informasjon om fødselsnummeret til brukere som har logget inn, i tillegg til avtalt informasjon de skal motta ved innlogging. I dette tidsrommet har totalt 595 000 personer fått delt fødselsnummer uten at det er avtalt. Feilen hos Feide ble rettet 25. januar klokken 13.57. Hos oss gjelder dette [Fyll ut antall fra informasjon gitt i e-post] brukere. 

Disse er fordelt på tjenestene: 

  • [List opp tjenestene om dere ønsker det. Se oversikt over tjenester sendt på e-post] 

Sikt, som leverer Feide, understreker at fødselsnumrene ikke har vært åpent tilgjengelig på nett på noe tidspunkt. Tjenesteleverandørene er vant til å motta og håndtere persondata, og har databehandleravtale med oss.   

Sikt har full kontroll på hvilke personer, vertsorganisasjoner og leverandører som er berørt av feilen. 

Sikts undersøkelser så langt viser at fødselsnumrene som er delt med leverandørene, i mange tilfeller ikke er lagret eller registrert noe sted. Antallet fødselsnummer som er lagret hos leverandørene er langt lavere enn 595 000.  

Per torsdag 27. februar kl. 13.00 har Feide nå fått bekreftet at 593 969 brukere sine data, 99,8 prosent, enten ikke ble lagret eller er slettet hos leverandørene. Sikt jobber videre med å kartlegge de resterende 931 brukerne som er berørt av feilen.

Sikt har varslet Datatilsynet om hendelsen.   

Sikt vil oppdatere følgende nettside fortløpende om saken: https://www.feide.no/nyhet/enkelte-tjenester-har-fatt-utdelt-fodselsnumre-uten-avtale 

Hvem har dere varslet om hendelsen i min organisasjon? 

Vi har sendt informasjon på e-post til de kontaktene vertsorganisasjonene og tjenesteleverandørene har registrert i Feide kundeportal. Dette er Feide-administratorer og merkantile kontakter. Andre kontaktpunkter utover disse er tatt inn der organisasjonene har bedt om det. 

Kontakt Sikt