Høsten 2020 ble Stortinget utsatt for datainnbrudd, og Datatilsynet varslet i januar et gebyr på to millioner kroner for manglende sikkerhetsnivå. Vi har nå vurdert Stortingets merknader og sendt vedtak der vi opprettholder det varslede gebyret.
– Vår konklusjon er at stortingsadministrasjonen ikke gjennomførte egnede tekniske og organisatoriske tiltak for å oppnå et tilstrekkelig sikkerhetsnivå, sier konstituert direktør Janne Stang Dahl.
Les varselet som ble sendt i januar 2022
Les Stortingets svar på varselet
I merknadene erkjenner stortingsadministrasjonen at IT-sikkerheten kunne vært bedre da angrepet inntraff. Samtidig påpeker administrasjonen at oppfølgingen må ses i lys av at de var sterkt preget av pandemien og nedstengningen som traff landet i begynnelsen av mars 2020, i tillegg til den påfølgende ferieavviklingen. I merknadene orienterer administrasjonen også blant annet om at stortingsrepresentantene og de ansatte i partigruppene ikke var underlagt instruksjonsmyndighet fra Stortingets direktør, og at dette gjorde den videre prosessen tidkrevende.
– Etter en samlet vurdering kan vi likevel ikke se at merknadene har vesentlig betydning for spørsmålet om hvorvidt vi skal gi gebyr eller størrelsen på dette, sier Dahl.
Datainnbruddet var knyttet til uautorisert pålogging til epostkontoene til et ukjent antall stortingsrepresentanter og ansatte i administrasjonen og gruppesekretariatene. Datatilsynet har særlig lagt vekt på at Stortinget ikke hadde etablert tofaktorautentisering eller tilsvarende effektive sikkerhetstiltak for å oppnå tilstrekkelig beskyttelse.
Vi presiserer at vedtaket vårt kan påklages, og at Stortinget eventuelt kan komme med ytterligere innsigelser i forbindelse med en eventuell klagesaksbehandling hos Datatilsynet og Personvernnemnda.
Stortingets administrasjon har frist til 15. august 2022 for en eventuell klage.