– Jeg kjenner jeg får litt vondt i magen og jeg mangler egentlig ord, sier en kvinne i 50-årene som i oktober i fjor solgte en bolig på Røa i Oslo gjennom Nordvik Bolig.

Hun kommuniserte med eiendomsmeglerfirmaet på e-post, og hadde blant annet dialog om oppgjøret. Finansavisen har sett en skjermdump av kommunikasjonen, og når vi leser opp private opplysninger, hennes kontonummer og innholdet i samtalen mellom henne og eiendomsmeglerfirmaet, bekrefter hun at alt stemmer.

– Jeg trodde det var trygt å kommunisere med Nordvik Bolig på e-post og at firmaet har rutiner for å beskytte informasjon med for eksempel passord. Men det virker som om man ikke har hatt det, sier kvinnen til Finansavisen.

Maskinen solgt på Finn.no

Hun er bare en av et ukjent antall privatpersoner som har fått sin dialog med Nordvik Bolig blottlagt etter at en datamaskin med flere tusen e-poster forsvant fra firmaets lokaler en gang i fjor. Like før jul dukket maskinen opp til salgs på Finn.no.

Det var en Oslo-mann som fant alle de usikrede e-postene til Nordvik Bolig. Han kjøpte den stasjonære PC-en på Finn.no, og ble svært overrasket da han skrudde den på 1. juledag.

– Da jeg startet opp e-postprogrammet tikket det inn enorme mengder med fortrolig klientinformasjon fra boligselgere, boligkjøpere, finansinstitusjoner, en rekke kjente eiendomsmeglere i Nordvik-kjeden og intern bedriftsinformasjon.

Han ønsker ikke å stå frem med navn på grunn av sin stilling og fordi han selv jobber tett opp mot eiendomsbransjen og meglerfirmaer, men han er tydelig på at om maskinen havnet i hendene til noen med uærlige hensikter, så kunne det vært skadelig for meglerfirmaet.

Kjøperen dro selv hjem til PC-selgeren i Bærum før jul da han hentet maskinen han hadde kjøpt.

– Jeg ble da fortalt at den var renset for informasjon.

Taus om hvor PC stammer fra

Selgeren, som har mange brukte maskiner liggende ute for salg på Finn.no, sier til Finansavisen at han selger brukt datautstyr han kjøper fra firmaer og maskiner han har reparerte og oppgradert.

– Alle opplysninger på maskinene jeg selger blir slettet, sier selgeren.

Han vil ikke si hvor han fikk tak i den aktuelle maskinen fra Nordvik Bolig, men bedyrer at han ikke selger tyvegods.

Han er åpen med alle kjøpere om hvem han er, og oppgjør vippses og kan spores.

TYVEGODS: Denne maskinen, en stasjonær maskin fra HP, forsvant fra Nordvik Boligs lokaler i fjor og dukker opp på Finn.no. Kjøperen fant tusenvis av e-poster med fortrolig klientinformasjon på maskinen. Foto: PRIVAT

Varslet Nordvik uten hell

Kjøperen fant kontoer tilhørende tre ansatte i Nordvik Bolig på maskinen. Han fikk tilgang til e-poster tilbake til 2017, mange av dem med vedlegg. Det var også mange e-poster arkivert i egne mapper etter konkrete boligsalg.

– Det var ingen passordbeskyttelse. Jeg kunne lese alt og nye e-poster kom inn fortløpende. Jeg hadde fullt innsyn i sanntid, sier kjøperen.

Allerede 1. juledag sendte han en melding til adm. direktør Martin Kiligitto og fortalte om hva han fant av informasjon på maskinen han hadde kjøpt på Finn.no.

– Jeg hørte ikke noe, så etter tre dager ringte jeg og snakket med ham, sier PC-kjøperen.

Likevel skjedde det ingenting fra Nordviks side. Først to uker senere, den 7. januar, reagerte eiendomsmeglerfirmaet da Finansavisen ringte.

– Jeg kan bekrefte at adm. direktør fikk en telefon fra kjøperen i romjulen, men han ringte fra et skjult nummer, så vi fikk ikke ringt ham tilbake. E-posten han sendte noen dager før havnet i vårt spamfilter, så den ble ikke funnet før dere tok kontakt, sier kommunikasjonsdirektør Tom André Aas.

Kobler inn politiet

Da selskapet innså at klientinformasjon var på avveie, ble det slått full alarm internt. De aktuelle e-postkontoene fikk nye passord.

Først trodde Nordvik Bolig at uvedkommende hadde klart å hacke seg inn selskapets e-postserver, men etter noen dager med omfattende undersøkelser og opptelling av alt utstyr, fant man ut at en stasjonær PC manglet i selskapets hovedkontor på Skøyen i Oslo.

– Vi vet ikke når eller hvordan maskinen har forsvunnet fra våre lokaler eller hvordan den har endt opp hos selgeren som annonserte den på Finn. Vi har noen elektroniske spor som undersøkes nærmere.

Aas sier at Nordvik Bolig ser svært alvorlig på det som har skjedd. De gjennomgår nå sine rutiner og tar grep for at ikke noe lignende skal kunne skje igjen.

– Saken anmeldes til politiet, og vi håper at de med sine etterforskningsressurser kan finne ut hva som har skjedd, sier Aas.

PC fri for passord

Maskinen som sto i kontorlokalet ble brukt i opplæringsøyemed for ansatte i oppgjørsavdelingen. Det var derfor det var flere brukerkontoer installert, og at e-postene inneholdt informasjon fra en rekke meglere i Nordvik-kjeden.

Det var ingen passordbeskyttelse på PC-en, noe både kjøper av maskinen reagerer på og klienter som har fått fortrolig informasjon spredd til uvedkommende.

En av dem er en kvinne i 20-årene som kjøpte en leilighet på Frogner like før jul. Hun betalte 14,5 millioner kroner, og store deler av kjøpet ble finansiert med egenkapital.

I e-postene står det blant annet at den unge kvinnen har fått forskudd på arv. Spørsmål om oppfølging av dette i forhold til hvitvaskingsreglene reises av oppgjørsavdelingen overfor megler.

De ansatte i Nordvik Bolig blir enig om å kontakte kjøper og be henne dokumentere arven, hvem den er fra, hvor mye den er på og hva hun eventuelt har av annen egenkapital og hvor den stammer fra.

– Det stemmer at de kontaktet meg og ba med å dokumentere alt det du nå leser opp fra e-posten, sier kjøperen til Finansavisen.

PÅ AVVEIE: Fortrolig informasjon om mange Nordvik Boligs kunder har vært på avveie siden i fjor. Foto: Iván Kverme

Erkjenner svikt i rutiner

Hun synes ikke noe om at slik informasjon er på avveie. Kjøperen jobber selv i en av Norges mest kjente forretningsbanker og behandler daglig sensitive personopplysninger om bankens klienter.

– Jeg vet derfor hvor strengt regelverket er og hva slags krav GDPR-lovgivningen stiller for behandling av personopplysninger. At disse dataene hos Nordvik Bolig ikke er passordbeskyttet, er det som overrasker meg mest, sier hun.

Aas sier Nordvik Bolig har strenge rutiner for å beskytte personopplysninger, men han kan ikke gi et fullgodt svar på hvorfor akkurat denne maskinen, som forsvant fra hovedkontorets lokaler, ikke har vært passordbeskyttet.

Varsler Datatilsynet

Etter at Nordvik Bolig ble kjent med saken 7. januar har de jobbet på spreng med skadebegrensning og forsøkt å avdekke hva som har skjedd. Datatilsynet skal også underrettes om avviket.

Juridiske rådgiver i Datatilsynet, Kristian Bygnes, sier at når klientinformasjon er på avveie er det viktig å ta tak i situasjonen slik at man kan redusere de eventuelle skadevirkningene som kan følge av bruddet.

– Det innebærer å forhindre at flere eposter kommer inn til epostkontoen, samt sikre at epostene som allerede er kommet på avveie blir slettet, sier Bygnes.

Nordvik Bolig opplyser at de er i dialog med kjøperen om å få overlevert datamaskinen han kjøpte på Finn.no.