Tirsdag ettermiddag ble det avdekket et stort innbrudd i søketjenesten til kartselskapet Norkart. Personopplysninger om 3,3 millioner nordmenn ble lastet ned før lekkasjen var «tettet».

Datalekkasjen gjør at personopplysningene til alle norske boligeiere potensielt kan misbrukes til ID-tyveri.

Torsdag gikk Lars-Henrik Gundersen, administrerende direktør i Norsis (Norsk senter for informasjonssikring), ut med et tydelig råd. Skal du sikre deg mot at noen tar opp lån i ditt navn, bør du sperre for kredittsjekk:

- Ja, det bør man absolutt gjøre. Det er ingen grunn til at dette skal ligge åpent og tilgjengelig, sa Gundersen.

Men så viser det seg at en komplett sperring mot kredittsjekk ikke har vært mulig i de tre dagene som har gått siden innbruddet skjedde.

Les også: ID-tyveri kan ramme 3,3 millioner nordmenn

Nede i over to døgn

Det er fire tjenester som utfører kredittsjekk og dermed også muligheten til å sperre for tjenesten: Bisnode, Creditsafe, Experian og Tietoevry (lenkene skal gå direkte til sperretjenestene).

For å sikre deg helt mot at informasjonen misbrukes, må du sperre alle de fire tjenestene.

Det innebærer at du må logge inn på tjenestene med BankID og sperre av tjenestene - en for en. Kredittsjekk fra Bisnode, Creditsafe og Tietoevry har latt seg sperre helt fint etter lekkasjen.

Men den ene tjenesten, Experian, var utilgjengelig fra tirsdag til fredag og er fortatt ustabil lørdag morgen.

Det var en rekke Nettavisen-lesere som torsdag kveld og fredag morgen tipset om at sperretjenesten for Experian har vært nede siden tirsdag. Reaksjonene er skarpe når en tjeneste som skal gi deg en garanti for at ingen kan ta opp lån i ditt navn, ikke er tilgjengelig.

- Det er jo helt idiotisk at 3,3 mill. nordmenn nå må logge seg inn på et ukjent antall kredittsjekke-"byråer" for å skru av sjekkemulighet, må jo være mye mer rasjonelt at de som "må/skal" sjekkes selv bekrefter dette dersom de ønsker dette, skriver en leser i kommentarfeltet.

Les også: 17.mai-festen: Vaffel og pølsekosen har blitt 40 prosent dyrere

En kredittsjekk foretas for eksempel når du skal ta opp lån eller tegne mobilabonnement. Det er denne prosessen som kan skje uten at du merker det, dersom noen har stjålet nok opplysninger til å gjøre dette i ditt navn.

- Det man bør gjøre er generelt å følge med på ordrebrekreftelser, gjenpartsbrev av kredittopplysninger, bekreftelser på inngåtte avtaler og lignende, på epost. Man må være mer oppmerksom. Man ikke vet når opplysningene tas i bruk av kriminelle. Det kan skje raskt og det kan skje etter flere måneder, sier Norsis-sjef Gundersen.

Svarer ikke på spørsmål

«Sperre av kredittopplysninger er ofte den mest effektive måten å forhindre identitetstyveri», står det på Experians nettside. Men dette var altså ikke mulig i flere døgn etter tidenes største norske lekkasje av personopplysninger.

Experian er registrert med norsk aksjeselskap, men viser seg å være styrt fra Danmark. Den daglige ledelsen i den norske avdelingen av selskapet har ingen tilgjengelig kontaktinformasjon i noen av de kanalene man vanligvis finner slik informasjon, viser det seg.

I en pressemelding fant vi mobilnummeret til en Nettavisen en analytiker i selskapet som satte oss i kontakt med Experians markedssjef for Norden og Nederland, Rie Lindgren.

Hun kunne på telefon bekrefte at de «jobbet døgnet rundt» for å rette opp feilen som hindret sperring av kredittsjekk, men krevde å svare skriftlig på våre spørsmål. Svarene kom aldri. I stedet sendte hun denne statusmeldingen (egentlig på engelsk), som skulle krediteres en «talsperson i Experian»:

«Vi har for tiden uvanlige lang responstid grunnet økt trafikk på vårt nettsted https://www.minexperian.no/. Vi forstår ulempene for folk som blir berørt av dette og vil bruke tjenesten, og arbeider hardt for å rette opp dette så raskt som mulig. Vi beklager problemene dette har skapt og vil derfor forsterke vår kunderservice-avdeling for å håndtere forspørslene som kommer.»

Dette er spørsmålene Experian ikke har besvart:

  • Hvorfor er sperretjenesten nede og hva er status nå?
  • Tjenesten har vært nede i over to dager. Når forventes feilen å være rettet opp?
  • Hvor mange kredittsjekker er utført i deres systemer mens det ikke har vært mulig for brukere å sperre mot kredittsjekk?
  • Foretar Experian fortsatt kredittsjekker mens sperretjenesten er utilgjengelig for publikum?
  • Hva har dere å si til forbrukere som nå frykter at deres informasjon kan misbrukes av kriminelle?
  • Hva slags ansvar vil Experian ta dersom det viser seg at kredittsjekk-informasjon utnyttes til kriminelle handlinger?

Les også: Fornebubanen er elendig politisk styrt, men vi bør bygge den uansett


Kan miste retten til å kredittsjekke

Det er Datatilsynet som har gitt de fire kredittsjekk-foretakene konsesjon.

- Vi får også mange henvendelser om dette. De plikter å legge til rette for at man kan sperre seg for kredittopplysninger. Alle som har fått konsesjon, skal ha på plass de løsningene. Og så ser vi at i denne ekstraordinære situasjonen har dette selskapets sperre fått tekniske utfordringer på grunn av stor pågang, sier Janne Stang Dahl, konstituert direktør i Datatilsynet.

- Kan Datatilsynet som konsesjonsgiver stenge disse tjenestenes mulighet for å utføre kredittsjekk?

- Konsesjonen er gitt forutsatt at behandlingen foretas i tråd med vilkårene. De skal ha på plass løsninger. I ytterste konsekvens kan Datatilsynet pålegge stans i behandlingen av saker inntil tjenestene er på plass igjen. Men vi er ikke der ennå.

Stang Dahl mener det et inngripende tiltak å stoppe helt opp:

- Mange folk er avhengige av å bruke tjenesten til disse selskapene. En hasteinndragning av konsesjonen vil kunne få uheldige konsekvenser da ville mye også ville stoppet opp, for eksempel for kunder som venter på å få godkjent en lånesøknad.

Ingen oversikt

- Er det et alternativ å sperre alle kredittsjekk-tjenester og heller be folk åpne opp for kredittsjekk når de trenger tjenesten?

- Det er spørsmål vi får også. Det kommer snart en kredittopplysningslov som vil erstatte konsesjonspraksisen. Det aktualiserer en felles sperretjeneste.

Mange lesere undres over at et selskap som Norkart har tilgang til våre personopplysninger, uten at vi som privatpersoner har gitt aktivt samtykke til det. Ifølge Stang Dahl er det mange slike registre i Norge som har disse opplysningene:

- Personopplysningsloven krever at de skal ha et rettslig grunnlag til dette, fordi de har forpliktelser til å utføre en oppgave i allmennhetens interesse.

- Har Datatilsynet noen oversikt over hvor mange firmaer/instanser som sitter på denne typen informasjon?

- Nei, det finnes det ikke oversikt over. Men vi har veldig mange registre i Norge. Heldigvis har vi en lov som skal sikre at våre personopplysninger forvaltes på en trygg måte. Vi vil jo at vi som forbrukere skal føle oss trygge på at våre data bevares ordentlig og trygt. Man skal slippe å måtte ha en slik oversikt. Så kravene er strenge nok, men vi må se nærmere på hvordan virksomhetene følger dem opp.

- Er det greit at det fortsatt er mulig å gi lån basert på bare personnummer og adresse?

- Det synes vi ikke er bra. Det er for lett, og vi oppfordrer alle som driver med handel til å kreve mer enn fødselsnummer for identifikasjon.

Vil ha felles sperretjeneste

Datatilsynet har i høringsrunden til ny lov om kredittopplysning tatt til orde for at det kommer på plass et felles sperreregister. En kredittopplysningslov med forskrift vil erstatte konsesjonsordningen, og da vil ikke Datatilsynet lenger ha oversikt over selskaper som driver med kredittopplysningsvirksomhet.

- Dersom det ikke kommer på plass et felles sperreregister når loven trer i kraft, vil det bli vanskelig for folk å vite hvor man skal henvendelse seg for å sette en kredittsperre, skrive Datatilsynet i høringsnotatet.