Vitnemål lå åpent: – Tar ikke personvern på alvor

Datatilsynet opplever en eksplosjon i saker der personopplysninger er kommet på avveie.

Utsnitt fra avviksmelding fra Nedre Eiker kommune til Datatilsynet

Kommunene må selv melde brudd på personvernreglene til Datatilsynet. Nedre Eiker, Drammen og Svelvik meldte i januar om at ansettelseskontrakter og vitnemål lå åpent for alle ansatte i kommunen.

Foto: Illustrasjon / NRK

Siden i fjor sommer har Datatilsynet fått melding om 350 saker fra kommuner og offentlig forvaltning, der sensitive personopplysninger kan ha ligget åpent tilgjengelig, eller der sikkerhetssystemene har vært for dårlige.

Bjørn Erik Thon

Bjørn Erik Thon, direktør i Datatilsynet, har fått en rekke alvorlige avviksmeldinger fra kommuner. Sakene gjelder gjerne sensitive opplysninger som er kommet på avveie, eller for dårlige sikkerhetssystemer.

Foto: Åsa Mikkelsen / Datatilsynet

I 2018 fikk Datatilsynet inn i alt 1275 saker. Det er mer enn 15 ganger flere saker enn i 2015, og nesten en firedobling siden 2017. Da fikk Datatilsynet inn henholdsvis 84 og 349 saker.

Sensitive opplysninger på avveie

– Det kan se ut som kommunene har en utfordring knyttet til informasjonssikkerhet, sier Bjørn Erik Thon, direktør i Datatilsynet.

De ser på dette som alvorlige og viktige saker.

– Det er ubehagelig for de enkeltmenneskene som blir rammet av det. Den andre siden er tilliten. Det er viktig at vi kan ha tillit til at de opplysningene vi må gi til det offentlige for å få viktige velferdstjenester, behandles på en skikkelig måte, sier han.

Kan vi ha tillit til at det offentlige tar godt nok vare på personopplysningene våre?

– Jeg syns vi har grunn til å ha tillit til det offentlige, men samtidig har vi sett for mange saker som viser at man ikke tar personvern og informasjonssikkerhet på alvor. Saker der sensitive opplysninger har havnet på feil sted, sier Thon.

Manglende opplæring

I Drammen, Svelvik og Nedre Eiker kommuner lå blant annet personalmapper og elevmapper åpent tilgjengelig for alle ansatte mellom 1. og 11. januar i år. Alle som hadde tilgang til kommunenes sak- og arkivsystem kunne se innholdet i dokumenter som skulle vært unntatt offentlighet, blant annet vitnemål og ansettelseskontrakter.

De tre kommunene skal slås sammen neste år, og det var i forbindelse med innføringen av nytt sak- og arkivsystem i de tre kommunene feilen oppstod.

– Feilen ble raskt rettet, men vi har kanskje undervurdert behovet for opplæring, sier Nils Indahl, som er personvernombud for Drammen, Svelvik og Nedre Eiker kommune.

Han ser allerede at dokumenter kan bli klassifisert feil, slik at de blir tilgjengelige for uvedkommende.

– Det rådet jeg derfor vil gi til kommunene, er å legge stor vekt på opplæring fremover for å unngå menneskelige feil, sier Indahl.

Nils Indahl, personvernombud, Drammen, Nedre Eiker og Svelvik kommune

Nils Indahl er personvernombud i Drammen, Nedre Eiker og Svelvik kommune. Han er rådgiver for kommuneledelsen i personvernspørsmål.

Foto: Torkel Bergstøl / NRK

Kommuneledelsen må ta ansvar

63 prosent av alle avvikene Datatilsynet mottok i fjor var knyttet til menneskelige feil, teknisk svikt eller manglende rutiner.

Tilsynet etterlyser bedre vurderinger i forkant av at digitale løsninger tas i bruk. I tillegg mener de rutiner og opplæring svikter.

– Tallene våre viser at det er mange tilfeller med menneskelig svikt. Og da er opplæring veldig viktig, sier Thon.

Han understreker at det ikke er de som gjør feilene som har ansvaret, men ledelsen i kommunene som må ta ansvar for at de ansatte har god nok opplæring.

Kan gi millionbøter

I forbindelse med at ny personvernforordning (GDPR) ble innført i fjor, fikk Datatilsynet anledning til å gi bøter på inntil 200 millioner kroner, for alvorlige personvernbrudd.

– Vi har flere saker som er i ferd med å nærme seg avslutning, både mot det offentlige og andre, men det er for tidlig å si noe om konklusjonen i disse sakene nå, sier Thon.