I fleire månader sende tilsette ved ein skule i Bergen sensitive helseopplysingar om dottera til Lene Nilsen på e-post.
– Eg sende ei skriftleg legeerklæring til skulen. Tilsette siterte direkte frå erklæringa og formidla denne vidare til fleire tilsette per e-post.
Skuleleiinga meinte det var i orden så lenge alle dei involverte tok del i det som var ei pågåande sakshandsaming.
Men Nilsen klaga saka inn til Datatilsynet, som kom med ein nedslåande dom over praksisen.
Svært strenge krav
Behandling av sensitive personopplysingar er underlagt særleg strenge reglar i personopplysingslova (ekstern lenkje). Personinfo, som til dømes helseinformasjon, kan ikkje leggast ut eller delast internt mellom tilsette over e-post som ikkje er sikra.
Datatilsynet konkluderte difor med at praksisen i Bergen ikkje var lov.
«Datatilsynet ber om en snarlig redegjørelse som tydelig kjennegir hva som er kommunens retningslinjer i denne type saker, og hvorfor avviksmelding ikke er sendt», skreiv Datatilsynet i september.
Kopla inn politiet
Først etter at Datatilsynet gav Nilsen medhald, innsåg kommunen feiltolkinga av regelverket.
– Eg tenker at Bergen kommune ikkje kan reglane godt nok. Når eg får brev av ein leiar om at dei har lov å gjera dette, så forstår eg at dei tilsette held fram med praksisen. Leiarane aksepterer jo openbart at dette skjer.
Nilsen har no meldt kommunen til politiet for brot på personvernlova.
Ho har òg meldt enkelttilsette som har delt ein e-post med sensitiv informasjon om hennar barn.
– Den einaste måten eg har for å visa at dette ikkje blir akseptert, er å senda brev til Datatilsynet og melda kommunen til politiet.
Fleire hundre tusen kroner i bøter
I fjor gav Datatilsynet pålegg på fleire hundre tusen kroner (ekstern lenkje) til fire norske kommunar. Dei fleste sakene handla om spreiinga av sensitiv informasjon.
– Me har nok diverre hatt litt for mange saker der me ser at det har blitt publisert opplysingar som absolutt ikkje skal publiserast, stadfestar direktør Bjørn Erik Thon i Datatilsynet.
Tilsette er plikta å melda frå om avvik, dersom opplysingar kjem på avvege. Det skjer i alt for liten grad.
– Vår erfaring er at opplæring av dei tilsette er for dårleg. Ansvaret for at det blir gjort, ligg til kommunane, poengterer Thon.
Kommunen beklagar
Bergen kommune har innrømt at dei har brote sine eigne retningslinjer for informasjonsutveksling på e-post. I eit svar til Datatilsynet vedgår kommunen at dei ikkje sende avviksmelding slik dei er pålagd.
Rutinane har ikkje vore god nok, beklagar kommunaldirektør Trine Samuelsberg.
– I denne saka ser me at me ikkje får støtte frå Datatilsynet om dei tolkingane me har lagt til grunn. Det må me sjølvsagt ta til etterretning. Me justerer no våre rutinar etter innspela frå tilsynet og går nye opplæringsrundar med dei tilsette.