Hopp til innhold

Skulen delte sensitiv info om Lene si dotter

BERGEN (NRK): Datatilsynet gir Lene Nilsen medhald i at skulen ikkje kan senda helseopplysingar på e-post. No melder ho Bergen kommune til politiet.

Lene Nilsen

GÅR TIL POLITIET: Lene Nilsen går til politiet med saka. – Det er det einaste middelet eg har for å gi beskjed.

Foto: Even Norheim Johansen / NRK

I fleire månader sende tilsette ved ein skule i Bergen sensitive helseopplysingar om dottera til Lene Nilsen på e-post.

– Eg sende ei skriftleg legeerklæring til skulen. Tilsette siterte direkte frå erklæringa og formidla denne vidare til fleire tilsette per e-post.

Skuleleiinga meinte det var i orden så lenge alle dei involverte tok del i det som var ei pågåande sakshandsaming.

Men Nilsen klaga saka inn til Datatilsynet, som kom med ein nedslåande dom over praksisen.

Sladda e-post-korrespondanse

SLADD: Sensitiv informasjon frå ei legeerklæring blei formidla vidare i ein e-postutveksling mellom fleire tilsette og mellomleiarar i ein skulekrins i Bergen.

Foto: Skjermdump

Svært strenge krav

Behandling av sensitive personopplysingar er underlagt særleg strenge reglar i personopplysingslova (ekstern lenkje). Personinfo, som til dømes helseinformasjon, kan ikkje leggast ut eller delast internt mellom tilsette over e-post som ikkje er sikra.

Datatilsynet konkluderte difor med at praksisen i Bergen ikkje var lov.

«Datatilsynet ber om en snarlig redegjørelse som tydelig kjennegir hva som er kommunens retningslinjer i denne type saker, og hvorfor avviksmelding ikke er sendt», skreiv Datatilsynet i september.

Kopla inn politiet

Bjørn Erik Thon

UTBREIDD PROBLEM: Direktør Bjørn Erik Thon i Datatilsynet meiner norske kommunar i alt for stor grad gjer seg skuldig i å lekka sensitiv informasjon.

Foto: Åsa Mikkelsen / Datatilsynet

Først etter at Datatilsynet gav Nilsen medhald, innsåg kommunen feiltolkinga av regelverket.

– Eg tenker at Bergen kommune ikkje kan reglane godt nok. Når eg får brev av ein leiar om at dei har lov å gjera dette, så forstår eg at dei tilsette held fram med praksisen. Leiarane aksepterer jo openbart at dette skjer.

Nilsen har no meldt kommunen til politiet for brot på personvernlova.
Ho har òg meldt enkelttilsette som har delt ein e-post med sensitiv informasjon om hennar barn.

– Den einaste måten eg har for å visa at dette ikkje blir akseptert, er å senda brev til Datatilsynet og melda kommunen til politiet.

Fleire hundre tusen kroner i bøter

I fjor gav Datatilsynet pålegg på fleire hundre tusen kroner (ekstern lenkje) til fire norske kommunar. Dei fleste sakene handla om spreiinga av sensitiv informasjon.

– Me har nok diverre hatt litt for mange saker der me ser at det har blitt publisert opplysingar som absolutt ikkje skal publiserast, stadfestar direktør Bjørn Erik Thon i Datatilsynet.

Tilsette er plikta å melda frå om avvik, dersom opplysingar kjem på avvege. Det skjer i alt for liten grad.

– Vår erfaring er at opplæring av dei tilsette er for dårleg. Ansvaret for at det blir gjort, ligg til kommunane, poengterer Thon.

Trine Samuelsberg

BEKLAGAR: Kommunaldirektør for barnehage, skule og idrett i Bergen kommune, Trine Samuelsberg.

Foto: Ingvild Fjelltveit / NRK

Kommunen beklagar

Bergen kommune har innrømt at dei har brote sine eigne retningslinjer for informasjonsutveksling på e-post. I eit svar til Datatilsynet vedgår kommunen at dei ikkje sende avviksmelding slik dei er pålagd.

Rutinane har ikkje vore god nok, beklagar kommunaldirektør Trine Samuelsberg.

– I denne saka ser me at me ikkje får støtte frå Datatilsynet om dei tolkingane me har lagt til grunn. Det må me sjølvsagt ta til etterretning. Me justerer no våre rutinar etter innspela frå tilsynet og går nye opplæringsrundar med dei tilsette.