Den 19. mars i år sendte TV 2 en avviksmelding til Datatilsynet. Bakgrunnen var at mediehuset undersøkte et potensielt sikkerhetsbrudd og det de selv beskriver som manglende rutiner.
Avviket skal ha vært en intern database som benyttes for mellomlagring av bilder og grafikk, som var upublisert materiale. Dataen kan ha vært tilgjengelig for andre i TV 2, som ikke har behov for tilgang til databasen.
I databasen var det også personopplysninger, som potensielt kan det også dreie seg om sensitive data, skriver TV 2 i avviksmeldingen.
Da TV 2 sendte avviksmeldingen jobbet de enda med å få oversikt over omfanget, innholdet og hvem som har tilgang samt risikoen i funnet.
– Ikke i henhold til interne rutiner
Pressesjef i TV 2, Jan-Petter Dahl, skriver til Medier24 at Datatilsynet ble rutinemessig varslet da dette var data som ikke var lagret i henhold til interne retningslinjer.
– Nå viser undersøkelsene at dette gjelder materiale som er omfattet av journalist-unntaket i personopplysningsloven – altså materiale TV 2 som mediehus har full rett til å behandle, skriver Dahl.
Hadde TV 2 visst det de gjør i dag på tidspunktet de oppdaget dette, hadde de trolig ikke meldt det som et avvik da det ikke omfatter noe brudd på personopplysningsloven, ifølge Dahl.
– Har sensitiv og upublisert data blitt tilgjengelig for andre enn dem som skal ha tilgang?
– Det er ingenting som tilsier at kildekritisk informasjon kunne ha kommet på avveie.
– Hvilke konsekvenser har dette sikkerhetshullet fått?
– Det er et kontinuerlig fokus på IT-sikkerhet og at personopplysninger behandles riktig i TV 2. Dette var ikke i henhold til våre interne rutiner, så dette bekrefter bare viktigheten av arbeidet vi gjør rundt datasikkerhet.
Saken er avsluttet
– Hvilke tiltak har blitt iverksatt i etterkant?
– Vi har strammet ytterligere inn våre rutiner, og alle ansatte kurses i datasikkerhet og behandling av personopplysninger. Samtidig er det viktig å se etter kontinuerlig forbedring og læring, og enhver hendelse er en viktig påminnelse på hvor viktig det er å ha et fortsatt fokus på datasikkerhet, svarer Dahl.
I sitt svar på TV 2s melding om avvik skriver Datatilsynet at mediehuset opplyser at de har truffet tiltak for å lukke avviket og begrense konsekvensene, samt hindre at dette skal skje igjen i fremtiden.
– Vi legger til grunn at dere følger opp at tiltakene dere har iverksatt fungerer og er tilstrekkelige. Det er viktig at organisatoriske og tekniske tiltak følges opp med god opplæring, skriver Datatilsynet.
Saken er nå avsluttet på det grunnlaget.