NFF meldte selv om personvernbrudd: Hundrevis av medlemmer rammet

Norsk Fysioterapeutforbund (NFF) har avdekket brudd på personvernregelverket knyttet til nettsiden finnfysioterapeut.no, drevet av selskapet Finn Fysioterapeut AS.

Dette fremkommer av en epost som forbundet tirsdag denne uken har sendt ut til alle sine godt over over 10.000 medlemmer. 

– Dette er en markedsføringskanal og medlemsfordel som har vært etterspurt blant medlemmene, og som NFF har ønsket å tilby, heter det om nettsiden i eposten.

Da nettsiden ble lansert i 2025, ble det etterhvert opprettet profiler for over 2400 NFF-medlemmer, basert på delte medlemsdata. For flere av dem inkluderte profilene private opplysninger som telefonnummer, e-postadresse og hjemmeadresse – uten nødvendig samtykke.

Det ble også delt sensitive opplysninger om fagforeningsmedlemskap. 

NFF brøt dermed med personopplysningsloven.

Omfanget er fortsatt uklart, men ifølge NFF gjelder det flere hundre medlemmer.

Peker på menneskelig svikt 

NFF omtaler i eposten som ble sendt til sine medlemmer hendelsen som en «menneskelig svikt» i egen administrasjon (sekretariatet), men mener også at Finn Fysioterapeut AS har et ansvar.

Opplysningene stammer i følge forbundet selv fra et datauttrekk i infosystemet HubSpot, som driftes av selskapet Knowit AS, for NFF. Dataene ble brukt til å opprette profiler på nettsiden finnfysioterapeut.no, eid av Finn Fysioterapeut AS.

Dette skulle tilbys som en medlemsfordel i NFF.

Eieren av Finn Fysioterapeut AS er ifølge NFF samtidig NFFs kontaktperson i nevnte Knowit AS. 

Forbundet presiserer i eposten til sine medlemmer at selskapene formelt sett er uavhengige.

Meldt til Datatilsynet

De publiserte sensitive opplysningene ble i følge NFFs utsendte epost til medlemmene slettet 19. mars i år. Slettingen er i følge den samme eposten bekreftet skriftlig av Finn Fysioterapeut AS.

Dagen etter vedtok forbundsstyret i NFF å melde saken til Datatilsynet, og meldingen ble sendt 21. mars.

NFF opplyser at saken ble vurdert å ligge i grenseland for meldeplikt, men valgte likevel å varsle.

Avsluttet samarbeidet

Samarbeidsavtalen med Finn Fysioterapeut AS er nå sagt opp.

Selskapet har varslet at tjenesten vil fortsette som en åpen plattform for fysioterapeuter, uavhengig av NFF. 

Det opplyses samtidig i e-posten sendt til alle NFF-medlemmer om at fysioterapeuter selv må be om å bli fjernet fra siden.

En gjennomgang Fysioterapeuten har gjort viser at det fortsatt er publisert over 2400 profiler av fysioterapeuter på finnfysioterapeut.no, men nå uten private opplysninger og opplysninger om fagforeningsmedlemskap - men med visse unntak. Disse unntakene skal ifølge generalsekretær i NFF, Frode Jahren, dreie seg om NFF-medlemmer innen kvinnehelse, der nødvendig samtykke skal være innhentet. 

Daglig leder av selskapet Finn Fysioterapeut AS heter Jørn Bräuner. Fysioterapeuten har sendt flere spørsmål angående kritikken som fremkommer i denne saken til Bräuner på epost, men han har så langt ikke svart. Vi har også sendt sms og  forsøkt å ringe til Bräuner, men heller ikke her lykkes i å få svar. Fysioterapeuten har en lesebekreftelse på at sms er åpnet.

Setter i gang full gjennomgang

NFF varsler en gjennomgang av egne systemer og rutiner for håndtering av personopplysninger. Ekstern bistand er hentet inn, i følge forbundet i e-posten til sine medlemmer.

– Vi beklager på det sterkeste overfor medlemmene, skriver forbundet i eposten, som er signert generalsekretær Frode Jahren.

– Var ment å dekke behovet til selvstendig næringsdrivende

Alle NFF-medlemmer skal nå ha fått en epost med informasjon om saken, sier generalsekretær Frode Jahren til Fysioterapeuten tirsdag denne uken.                         

Men hva har egentlig skjedd her? 

På spørsmål om hvem de over 2400 fysioterapeutene med profiler på «Finn fysioterapeut» var, forklarer Jahren at tjenesten i utgangspunktet var ment for selvstendig næringsdrivende medlemmer av NFF.

– Når vi ser nærmere på det, finner vi nok også enkelte som jobber i sykehus eller kommune. Det kan skyldes at opplysningene er gamle, at folk har byttet jobb, eller at de ikke har oppdatert medlemsregisteret. 

– Tjenesten var altså ment å dekke behovet til selvstendig næringsdrivende, sier han.

Svikt i kvalitetssikringen

Jahren mener personvernbruddet skyldes menneskelig svikt.

– Det har sviktet i kvalitetssikringen av utsendelsen av medlemsdata. Informasjon ble overført fra oss til Finn Fysioterapeut AS, og der gikk det galt, forteller han.

Han understreker at noe informasjon var uproblematisk å publisere:

– Arbeidssted, jobbtelefon og klinikkens e-postadresse er i utgangspunktet offentlig informasjon. Problemet er at det også ble overført private e-postadresser, telefonnumre og i noen tilfeller private adresser.

Ifølge Jahren kan dette henge sammen med hvordan medlemmene registrerer seg:

– Mange oppfatter medlemskapet som privat, og registrerer kun privat kontaktinformasjon. Da har vi i praksis tatt med det som finnes av e-postadresser, uten å skille godt nok.

Det ble ikke innhentet samtykke før deling av denne typen opplysninger.

– Grunnen er at vi ikke skulle dele informasjon som krevde samtykke. Men vi gjorde det likevel, og da skulle det selvsagt vært innhentet samtykke, sier Jahren.

Startet å rydde i januar

Tjenesten ble opprinnelig presentert som en medlemsfordel, og kun tilgjengelig for NFF-medlemmer. Samtidig innebar dette at informasjon om fagforeningsmedlemskap ble delt.

– Det var det nok ikke tilstrekkelig bevissthet rundt dette, sier Jahren.

– Fagforeningsmedlemskap er en særlig kategori etter artikkel 9 i GDPR-regelverket, og krever nødvendig samtykke før deling, understreker han.

Saken ble løftet i forbundsstyret. Deretter startet NFF arbeid med ekstern juridisk bistand for å rydde opp, inkludert utarbeidelse av samtykkeerklæringer.

NFF ble klar over saken i vinter. Den 28. januar ble en juridisk rådgiver kontaktet, ifølge Jahren.

Dette ble gjort etter at Forbundsstyret hadde holdt et møte noen dager tidligere, den 22.januar. 

Her var Finn Fysioterapeut AS oppe på dagsorden, som en oppfølging av en sak de hadde oppe i desember 2025 (se litt lenger ned i saken). Her orienterte administrasjonen om tjenesten. Det ble i møtet ifølge Jahren stilt spørsmål om GDPR, personopplysninger og fagforeningsmedlemskap fra Forbundsstyret. 

Uenighet med Finn Fysioterapeut AS

NFF tok først saken opp med daglig leder i Finn Fysioterapeut AS, som mente delingen var lovlig.

– Det kunne umulig stemme, gitt regelverket, sier Jahren. 

Litt senere sa Finn Fysioterapeut AS opp samarbeidsavtalen.

I forbindelse med styrebehandlingen av oppsigelsen ble det også avdekket at mange profiler inneholdt private e-postadresser.

– Da forsto vi at dette også var et klart GDPR-brudd, sier Jahren.

Det er fortsatt uklart hvor lenge opplysningene lå offentlig tilgjengelig på nettsiden finnfysioterapeut.no.

– Vi har ikke full oversikt, men må anta at det dreier seg om flere måneder, sier han.

Jahren mener NFF har hovedansvaret, men peker også på den tidligere samarbeidspartneren:

– Vi har ansvar for å behandle medlemsopplysninger forsvarlig. Samtidig har Finn Fysioterapeut AS, som profesjonell aktør, også et ansvar for kvalitetssikring.

Mangelfull informasjon til styret

Forbundsstyret har ikke fattet eget vedtak om å etablere tjenesten, ifølge Jahren.

– Slik jeg husker det, ble styret orientert om arbeidet, men vi finner ikke et konkret vedtak, sier han, men tar samtidig et forbehold.

Han er også tydelig på at styret ikke har fått god nok informasjon:

– Informasjonen til styret fra administrasjonen har vært mangelfull, og noe har heller ikke vært korrekt.

Feilen ble erkjent etter nyttår.

– I ettertid ser vi at saken kunne vært håndtert raskere og mer kraftfullt. Det var en gradvis erkjennelse av alvoret, sier han.

Han peker på at fokus i starten i stor grad lå på utvikling av nettsiden, ikke personvern.

Fysioterapeuten kjenner til at kontrollutvalget i NFF i høst rettet flere kritiske spørsmål om samarbeidet mellom NFF og Finn Fysioterapeut AS. Spørsmålene er tilgjengeliggjort i forbindelse med styredokumentene til et forbundsstyremøte 11. desember. Spørsmålene som rettes til NFFs ledelse er besvart av administrasjonen, skriftlig. Ett av spørsmålene lyder slik: 

– Hvordan er informasjonen til NFFs medlemmer håndtert?

Spørsmålet er besvart av administrasjonen i NFF med at "vi har hatt webinarer og sendt mail". 

Frode Jahren forteller til Fysioterapeuten at på dette tidspunktet var ikke administrasjonen klar over at de hadde delt informasjon som krever aktivt samtykke. 

Burde vært oppdaget tidligere

Jahren erkjenner at kontrollen burde vært bedre:

– Vi burde ikke bare sjekket profilene da de lå ute, men gjort det før publisering. Det er helt åpenbart.

Ifølge Jahren har Finn Fysioterapeut AS bekreftet skriftlig at alle data mottatt fra NFF nå er slettet fra både publiserte sider og interne systemer.

Setter inn tiltak

NFF har engasjert konsulentselskapet Agenda Risk for å granske saken videre.

– De skal kartlegge nøyaktig hva som har skjedd, inkludert teknisk overføring og manglende kvalitetssikring, og lage en tidslinje, sier Jahren.

I tillegg skal de gjennomføre en bred gjennomgang av systemer, infrastruktur og etterlevelse av GDPR.

Saken er også meldt til Datatilsynet, av NFF. 

– Vi må bare avvente reaksjonen. Det kan bli alt fra påpekninger til bøter eller tilsyn, sa Jahren til Fysioterapeuten 24.mars.

Svar fra Datatilsynet har kommet. Les mer om det lenger ned i saken. 

Kostnader

NFF har ifølge Jahren betalt 140 000 kroner i oppstartskostnader til «Finn fysioterapeut», og 50 000 kroner for et prosjekt knyttet til kvinnehelse.

– For kvinnehelseprofilene (på finnfysioterapeut.no, red.anm.) er det innhentet samtykke, og de skal være i orden, understreker han.

Beklager overfor medlemmene

Jahren avslutter med en beklagelse:

– Jeg er veldig lei meg for det som har skjedd, og beklager. Jeg håper ingen medlemmer har opplevd alvorlige konsekvenser. Vi i administrasjonen tar dette på største alvor.

– Vi er ikke ferdige med saken, og skal gå grundig gjennom alle systemer og rutiner for å hindre at noe lignende skjer igjen.

Han tar også ansvar overfor styret:

– Det er jeg som har ansvaret overfor styret, og det er svært beklagelig at styret ikke har fått tilstrekkelig og korrekt informasjon.

Forbundsstyret:  – Alvorlig

Fysioterapeuten tok kontakt med NFFs forbundsstyre. Vi sendte disse spørsmålene, som er besvart av Elisabeth Harstad i styret: 

– Hvordan ser styret på saken slik den nå fremstår? Hva er det mest alvorlige her, etter styrets vurdering?

– Styret ser naturlig nok alvorlig på saken. Per nå har vi enda ikke god innsikt i nøyaktig hva som har skjedd. Men, vi kan fastslå at vi ikke har håndtert medlemsopplysninger på en betryggende måte. Det er skuffende og alvorlig. 

– Generalsekretær sier styret har fått mangelfull informasjon fra administrasjonen underveis i denne prosessen – hvordan opplevde dere informasjonsflyten fra administrasjonen?

– Ikke ferdige med saken

– Styret og jeg er enige med generalsekretæren i at informasjonen har vært mangelfull. Styret er generelt fornøyd med administrasjonen og vi opplever at vi får tilstrekkelig og korrekt informasjon i sakene vi behandler. Denne saken er således et unntak. Hverken styret eller administrasjonen er ferdige med saken. Det gjenstår undersøkelser av hva som faktisk har skjedd og styret forventer ytterligere svar fra administrasjonen. 

– Stemmer det at det ikke foreligger et styrevedtak på at et samarbeid med Finn Fysioterapeut AS skulle opprettes, og nettsiden finnfysioterapeut.no utvikles? Hva tenker dere i så fall om det nå i ettertid? 

– Styret har vært kjent med arbeidet med utvikling av tjenesten og det har vært et ønske om at det skulle utvikles en slik tjeneste. I sak 130/4 som ble lagt fram til styret som en orienteringssak ble veien videre for "Finn Fysioterapeut" og nettsider for næringsdrivende lagt fram. I saken fattet Forbundsstyret et enstemmig vedtak om at Forbundsstyret tar orienteringen til etterretning. Forbundsstyret har med andre ord gitt en aktiv tilslutning. Sett i ettertid kan det nok likevel hevdes at vi skulle hatt en mer formell saksbehandling knyttet til oppstarten. Styret ble i etterkant av dette dessverre ikke holdt løpende orientert om prosessen videre slik vi ble enige om. 

– Burde styret ha gått dypere inn i spørsmål om personvern tidligere?

– Her vi sitter nå er det bare et svar på det spørsmålet. Svaret er ja. Samtidig er det slik at på spørsmål fra styrets medlemmer har vi fått informasjon om at bestemmelsene i personopplysningsloven er ivaretatt. Styret ble gjort oppmerksom gjennom kontrollutvalget i november 2025, aspekter på hjemmesiden som ble oppfattet som problematiske. Dette har styret jobbet aktivt med i styremøtene fram til der vi er nå. 

– Menneskelig svikt i administrasjonen blir nevnt i en epost sendt ut til alle NFF-medlemmer 24.mars. Handler dette også om systemer og rutiner i NFF, slik dere ser det?

– Det kan vi ikke utelukke. Derfor er det allerede startet opp en gjennomgang av IT-sikkerhet, systemer, rutiner og etterlevelse av lover og regler på dette området. Vi har innhentet ekstern ekspertise for å hjelpe oss med dette. 

– Beklager

– Hva er viktigst for styret nå, både overfor medlemmene og internt i organisasjonen?

– Vi må komme til bunns i hva som har skjedd, så raskt som mulig. Dette er et viktig arbeid for å sikre oss at nye feil ikke oppstår. Så er det viktig for oss å være åpne og transparente slik at medlemmene kan ha tillit til at vi gjør det vi kan for å rydde opp og hindre fremtidige feil. Sist, men ikke minst så vil vi beklage til alle medlemmer og særlig til de medlemmene som er direkte berørt.

Advokat: Kan ende med erstatningskrav

Jens Christian Gjesti er advokat og partner i Kvale Advokatfirma hvor han leder avdelingen for Teknologi og IPR. Han er spesialist på personvern (GDPR) og digital sikkerhet. Gjesti bistår jevnlig offentlige og private virksomheter med blant annet regelverksetterlevelse (compliance), håndtering av sikkerhetsbrudd og tilsynssaker.

Han har gjort sin vurdering basert på informasjon fra epost sendt til NFFs medlemmer og det Frode Jahren sier over i saken, og mener dette fremstår som alvorlig. 

Han skriver dette i en epost til Fysioterapeuten: 

– Ut fra det som står i artikkelen (per 25.mars, red.anm.), fremstår dette som et brudd på flere, sentrale krav i personvernregelverket (GDPR). Private telefonnumre, e-postadresser, hjemmeadresser og opplysninger om fagforeningsmedlemskap ser ut til å ha blitt publisert på nettsiden finnfysioterapeut.no  uten lovlig grunnlag. Dette regnes sannsynligvis også som et brudd på personvernsikkerheten (konfidensialitetsbrudd). Jeg kan heller ikke utelukke at det er snakk om andre brudd, f.eks. på plikten til å bare bruke databehandlere som gir tilstrekkelige garantier for at de verner medlemmenes personopplysninger.

 På spørsmål om han anser saken som et alvorlig sikkerhetsbrudd, skriver han dette:  

– Alle sikkerhetsbrudd er alvorlige i sin natur fordi de ofte avdekker mangler ved sikkerheten. Denne saken ligger ikke nødvendigvis i det øvre sjiktet basert på det som står i artikkelen. Med forbehold om at hendelsen omfatter hemmelige telefonnummer, adresser o.l., er feilaktig publisering av offentlig informasjon som navn, hjemmeadresse og kontaktopplysninger normalt ikke graverende i seg selv. Det som kan trekke opp, er publiseringen av sensitive opplysninger om fagforeningsmedlemskap.

– Hvilket ansvar har Norsk Fysioterapeutforbund (NFF) her, og hvilket ansvar har Finn Fysioterapeut AS?

– Sannsynligvis kan både NFF og Finn Fysioterapeut holdes ansvarlig for hendelsen etter GDPR. Basert på det som står i artikkelen, fremstår det som om NFF er "behandlingsansvarlig" og som også har hovedansvaret i denne saken. 

– Hvilke reaksjoner kan Datatilsynet komme med ut fra tidligere kjente saker? 

– Datatilsynet mottar flere tusen avviksmeldinger hvert år. Mange saker legges bort uten reaksjon. Selv om tilsynet bare ilegger overtredelsesgebyr i et fåtall saker, kan jeg ikke utelukke en slik reaksjon her. Skulle de gjøre det, tilsier praksis et gebyr i hundretusenkronersklassen. Hvis Datatilsynet mener saken er alvorlig nå, tenker jeg det er mer sannsynlig at de konstaterer en overtredelse uten å sanksjonere eller gir en irettesettelse. De som er berørt av hendelsen, vil i så fall kunne ha krav på erstatning.

Dette svarer Datatilsynet 

Spørsmålet om mulige erstatningskrav ble forelagt Frode Jahren den 26.mars. Han sier at NFF nå har fått svar fra Datatilsynet, og tilgjengeliggjør dette for Fysioterapeuten. 

Jahren er fornøyd med vedtaket fra Datatilsynet, og understreker samtidig at saken fortsatt er like alvorlig.

– Tilsynets svar reduserer ikke på alvoret i saken, og vi skal gjennomgå alle systemer i NFF for å se at GDPR blir ivaretatt etter retningslinjene. Vi ønsker selvfølgelig også å komme til bunns i hva som har skjedd her, sier han. 

I brevet fra Datatilsynet heter det at saken nå avsluttes (se faktaramme)

Ikke overrasket, men ingen garanti

Advokat Gjesti i Kvale Advokatfirma har denne kommentaren etter å ha lest brevet fra Datatilsynet: 

– Jeg er ikke overrasket over at saken ble henlagt, de fleste avvik blir det. At Datatilsynet ikke prioriterer å følge den opp nå, er ingen garanti for at de ikke tar den opp igjen i fremtiden dersom det skulle skje noe nytt, men reduserer sannsynligheten for gebyr o.l.

Dette sier Knowit

Daglig leder i Knowit Experience, Mona Hvattum, skriver i en e-post til Fysioterapeuten at de er kjent med saken som gjelder Norsk Fysioterapeutforbund.

– Knowit tar håndtering av personopplysninger og informasjonssikkerhet på største alvor. Vi har etablerte rutiner og kontroller for å sikre at data behandles i tråd med gjeldende regelverk, inkludert GDPR, skriver Hvattum.

– Basert på informasjonen vi har per nå, er det Norsk Fysioterapeutforbund som er behandlingsansvarlig for personopplysningene i HubSpot-løsningen, mens Knowit har hatt rollen som teknologileverandør og databehandler.

I dialog med NFF

Hun skriver videre at Knowit er blitt gjort kjent med at det har oppstått et avvik knyttet til videre bruk av data utenfor de avtalte rammene.

– Dette er noe som nå er under nærmere gjennomgang, både hos kunden og internt hos oss. Vi har en god og konstruktiv dialog med Norsk Fysioterapeutforbund, og bistår med relevant informasjon for å bidra til en best mulig opplysning av saken, skriver Hvattum.

Grundig gjennomgang

Hun legger til at de ikke kan kommentere detaljer knyttet til enkeltpersoner eller interne forhold, men at de har iverksatt nødvendige tiltak for å sikre en grundig gjennomgang av hendelsesforløpet.

– Generelt har Knowit tydelige retningslinjer for rolleforståelse, habilitet og håndtering av interessekonflikter, samt strenge krav til hvordan kundedata skal håndteres og beskyttes. Vi samarbeider med berørte parter for å bidra til å avklare faktum og sikre at tilsvarende ikke skjer igjen, skriver Hvattum.

-------

For ordens skyld: Fysioterapeuten redigeres etter Redaktørplakaten og Pressens Vær varsom-plakat. Utgiver: Norsk Fysioterapeutforbund.