Jan 13, 2022

GDPR Incident

Hovedårsak

Personopplysninger som navn skal kun behandles for spesifikke, uttrykkelige, angitte og legitime formål. I Orbit behandler vi blant annet våre kunders kontaktopplysninger for å sikre riktig tilgang til eiendom, mennesker og eiendeler, samt i forbindelse med kundeadministrasjon og kundeservice. Personopplysninger skal ikke gjenbrukes til formål som er uforenelig med det de opprinnelig var samlet inn for.

Dessverre har det forekommet et avvik i vår håndtering av personopplysninger for et begrenset utvalg av våre kunder, der deres navn har blitt brukt til et annet formål enn det de er innhentet for.

Deres navn ble brukt til å søke opp deres Instagramprofil i den hensikten å følge de på Instagram med Orbits egen Instagramkonto. Intensjonen var å holde brukerne oppdatert på Orbit og inkludere dem i Orbits Instagramnettverk.

Avviket er altså ikke et systembrudd, men et brudd på rutiner relatert til behandling av personopplysninger i Orbit.

Tidslinje

30. Juni 2021 10:50 -Medarbeider fikk tilgang til personopplysninger

10. August 2021 - Persondata ble brukt til å søke opp profiler på Instagram

13. August 2021 09:04 - Orbit mottar henvendelser angående dette og iverksetter undersøkelser

13. August 2021 10:00 - Arbeidsgruppe (task force) opprettet

13. August 2021 12:00 - Orbits Instagramkonto sluttet å følge alle berørte brukere

13. August 2021 13:00 - Hele søkehistorikken foretatt på Orbits Instagramkonto ble slettet

13. August 2021 - Berørte brukere informert om hendelsen

13. August 2021 - Mitigerende tiltak iverksatt

13. August 2021 - Styret og eiere i Orbit Technology informert

Når og hvordan ble avviket oppdaget

Avviket ble oppdaget ved at enkelte brukere og en av gårdeierne som vi har en relasjon til henvendte seg til daglig leder og påpekte at Orbits Instagramkonto hadde fulgt dem og deres leietagere på Instagram. De skjønte ikke hvordan Orbit hadde funnet og lagt dem til, med mindre man har brukt den informasjonen som har blitt innhentet i forbindelse med tildeling av adgangskontroll.

Vi iverksatte en umiddelbar kartlegging av hva som har skjedd i henhold til våre rutiner for sikkerhet- og personvernshendelser.

Antall berørte personer: 88 individer

Beskrivelse av hva som har skjedd og hvordan avviket oppsto

Rutinebrudd har oppstått ved at en medarbeider i Orbit har benyttet personopplysninger til formål uforenelig med det data opprinnelig var samlet inn for. Medarbeider hadde tjenstlig behov for midlertidig tilgang til personopplysninger gjennom sin rolle som kundebehandler i Orbits hjelpesenter under ferieavvikling.

Personens ansvarsområde inkluderer også vedlikehold av Orbits sosiale media kanaler, og har i denne forbindelse feilaktig brukt brukeres fornavn og etternavn til å søke de opp på Instagram via Orbits offisielle Instagramkonto og fulgt disse brukernes profiler. Gjennomgang av våre rutiner avdekker at Orbit skulle ha gitt bedre opplæring i bruk og behandling av personopplysninger i henhold til vår personvernerklæring.

Beskrivelse av hva slags type personopplysninger som ble berørt

Personopplysninger som ble brukt til å søke opp profiler på Instagram var brukernes registrerte for- og etternavn.

Hvilken relasjon virksomheten har til de berørte personene

De berørte personene er brukere av Orbit, med tilganger til kontorbygg som bruker Orbit i forbindelse med adgangskontroll.

Beskrivelse av hvor personopplysningene befinner seg etter avviket

Under avviket ble alle navn som ble brukt til å søke opp profiler lagret i Orbitprofilens søkehistorikk på Instagram. Dette ble umiddelbart også slettet samtidig som Orbit sluttet å følge alle berørte brukere på Instagram.

Per dags dato ligger ingen persondata relatert til dette avvik lagret noen andre steder enn der de holder hjemme: i Orbit sine systemer.

Konsekvenser

For berørte brukere er konsekvensen brudd på konfidensialitet, da personopplysninger er utilsiktet brukt til annet formål en tilsiktet ved innsamling.

Tiltak

Vi har etter beste evne kartlagt og analysert årsaken som medførte at avviket fant sted. Vi har umiddelbart iverksatt mitigerende tiltak knyttet til både kompetanse, ressurser, ledelse og rutiner tilknyttet til tilgang og behandling av personopplysninger i Orbit:

  • Full revidering av alle systemer som inneholder kundedata og rutiner for tilgang til disse
  • Påkrevd gjennomgang av GDPR og personvernforordningen for alle medarbeidere
  • (ansatte og konsulenter)
  • Påkrevd opplæring i rutiner for tildelinger av tilgang og behandling av
  • personopplysninger i Orbit
  • Rutinemessig gjennomgang av tilganger og dokumentasjon av personvernsrutiner i
  • selskapet

Informasjon

Et informasjonsskriv om avviket vil bli sendt til alle berørte brukere. Denne vil inkludere en beskrivelse av hva som er skjedd og tiltakene som er og vil bli gjort.

Kontaktinformasjon

Orbit Technology AS
Firma nr. 924 790 547
Dokkveien 11, 3920 Porsgrunn, Norge Telefonnummer: +47 977 00 080

Orbits administrerende direktør, Wasim Rashid, har det daglige ansvaret for å oppfylle selskapets forpliktelser i henhold til personvernreglene.

Orbits personvernombud kan kontaktes på privacy@getorbit.com