Datatilsynet: – Over 1000 uføre rammet av ulovlig personvern-praksis i Bodø

Datatilsynet kritiserer kommunen og den lokale pensjonskassen for lovstridig praksis gjennom 15 år.

Bodø kommunale pensjonskasse

BRØT LOVEN: Her i andre etasje i Bodø sentrum ligger Bodø kommunale pensjonskasse, som forvalter verdier for 4 milliarder kroner og pensjonene for om lag 15.000 medlemmer.

Foto: Ole Dalen / NRK

NRK Nordland er felt i pressens faglige utvalg (PFU) 28.04.21 for denne artikkelen.

Les kjennelsen her.

PFU

Artikkelen er endret 04.01.20.

Hovedtittelen i saken er endret fra opprinnelig «Over 1000 uføre rammet av ulovlig personvernpraksis i Bodø», til ei tydeliggjøring av at påstanden om lovbrudd kommer fra Datatilsynet.

En tittel i en faktaboks er endret fra «Dette er kritikken fra Datatilsynet», til «Oppsummering av forhåndsvarsel fra Datatilsynet».

Bodø kommunale pensjonskasse har gjennom flere år sendt sensitive helseopplysninger om uføre til Bodø kommune.

Nå får både kommunen og pensjonskassen kritikk for praksisen. Det er ifølge Datatilsynet delt opplysninger som gjelder 1028 personer som var ansatt i Bodø kommune og 25 personer som var ansatt eksternt, ifølge tilsynet.

Kommunikasjonssjef Janne Stang Dahl opplyser til NRK at pensjonskassen har fått et såkalt forhåndsvarsel om irettesettelse, og fristen for å svare Datatilsynet er satt til tre uker.

Grunnen til at opplysningene har blitt delt gjennom en årrekke er at Bodø kommune skulle bruke opplysningene i sin personaloppfølging, ifølge Dahl:

– De har sendt over denne statistikken og delt den med Bodø kommune, som selv har brukt den til HR-virksomhet, personalvirksomhet, og slik skal det jo ikke være.

– Det kan for det første oppleves som svært stigmatiserende, men det er klart at det setter grenser for videre karriereutvikling, og hvem man er og vil være her i verden. Så det er veldig alvorlig, sier Dahl.

– Veldig alvorlig

Datatilsynet begynte å undersøke saken etter et omfattende varsel fra en ansatt i pensjonsordningen til kommuneansatte i Bodø i fjor.

Varselet gjaldt brudd på personopplysningsloven og andre kritikkverdige forhold over flere år. Datatilsynet iverksatte en undersøkelse i saken.

Ni måneder senere konkluderer tilsynet med at Bodø kommunale pensjonskasse har innhentet og utlevert personopplysninger om 1053 ansatte til utenforstående.

Pensjonskassen i Bodø forvalter verdier for 4 milliarder kroner og pensjonene for om lag 15.000 medlemmer.

– Bodø kommunale pensjonskasse har faktisk brutt loven gjennom 15 år, de har samlet inn og sendt inn sensitive helseopplysninger om over 1000 personer til Bodø kommune. Vi har gitt en irettesettelse, og det betyr at vi har gitt sterk kritikk, sier kommunikasjonsdirektør Janne Stang Dahl.

Daglig leder Hans Petter Horsgaard i Bodø kommunale pensjonskasse sier til NRK at han ikke kjenner seg igjen i Datatilsynets framstilling av saken. Les hele svaret lenger ned.

Sensitive helseopplysninger

Gjennom flere år samlet pensjonskassen inn og utleverte sensitive opplysninger om kjønn, fødselsår, arbeidssted, stilling og diagnose framkommer for personer som mottar uførepensjon.

Janne Stang Dahl, Datatilsynet

ALVORLIG: Bodø kommunale pensjonskasse refses av Datatilsynet for å ha brutt loven i 15 år. – Veldig alvorlig, sier kommunikasjonsdirektør Janne Stang Dahl. (rettelse 16.12.20: NRK skrev tidligere at BKP ble refset for å ha brutt loven i 20 år. Det riktige er 15 år)

Foto: Beate Riiser / NRK

Selv om oppføringene ikke inneholder navn, kan det på grunn av alder, yrkestittel og tjenestested, være enkelt å identifisere den registrerte, påpeker Datatilsynet.

Tilsynet lister opp flere eksempler på nærgående beskrivelser, som kreft i lungene, brystkreft, psykisk overbelastning, hjerteproblemer, psykisk lidelse, angst og sykdom etter fødsel.

– La oss ta et fiktivt eksempel, kvinne 47 år med for eksempel schizofreni. Det er ikke bra at slike opplysninger deles uten man har hjemmel i lov, og dette skal kun deles dersom man samtykker, sier Dahl.

– Krenkende og stigmatiserende

Ifølge Datatilsynet kan det få store konsekvenser for enkeltpersoner å få utvekslet sensitive helseopplysninger.

– Det er krenkende og stigmatiserende. Det kan ødelegge liv, særlig når det dreier seg om opplysninger som er så sensitive som helse, psykisk helse, andre diagnoser, som man selvfølgelig har rett til å holde for seg selv, sier Dahl.

Pensjonskassen vedgår overfor Datatilsynet at det fra 2000 til 2015 ble utarbeidet en oversikt som ble oversendt til Bodø kommune, som er pensjonskassens største kunde.

Bodø kommunale pensjonskasse. Pensjonskassen i Bodø forvalter verdier for fire milliarder kroner og pensjonene for om lag 15.000 medlemmer.

FÅR KRITIKK: Bodø kommunale pensjonskasse har gjennom 15 år brutt loven ved å dele sensitive helseopplysninger om 1075 kunder med uførepensjon i Bodø, konkluderer Datatilsynet.

Foto: Ole Dalen / NRK

– En ting er at Pensjonskassen har ikke lov å sende slike opplysninger til kommunen. Kommunen har heller ikke lov til å motta eller å bruke disse opplysningene videre. Så dette er tosidig, sier Janne Stang Dahl.

  • Les svaret fra Bodø kommune lenger ned i saken

Kritiserer styrets rolle

Bodø kommunale pensjonskasse er en 100 prosent egenstyrt stiftelse, med eget styre.

Men både rådmann og økonomisjef i kommunen sitter i styret, og flere av styremedlemmene og vararepresentantene er jurister.

Datatilsynet stiller spørsmål til at personopplysningene ble forelagt og behandlet av styret i pensjonskassen I perioden 2014-2019.

«Det er klart at enhver virksomhet bør minimere den type behandling», påpeker Datatilsynet.

Pensjonskassen har siden endret praksis når det gjelder hvilke opplysninger som fremlegges for styret.

Ble beskyldt for «fake news»

Einar Lier Madsen

AVFEIDE VARSEL: Styreleder Einar Lier Madsen uttalte til Avisa Nordland at varselet mest minte om «fake news».

Foto: Arkivfoto

Da varselet ble kjent i media gikk styreleder Einar Lier Madsen hardt ut i Avisa Nordland og avviste varselet som «fake news».

Han kritiserte også avisen for i det hele tatt omtale varselet.

– Jeg er høyst overrasket, og synes dette er en merkelig sak. Den baserer seg på udokumenterte påstander uten noe som ligner på fakta. (...) Jeg synes det er synd at den personen det gjelder blir brukt på denne måten av avisa. Jeg er kjempeoverrasket over at AN opererer på denne måten, uttalte Madsen.

Varsleren opplevde reaksjonen i media som dramatisk. Det forteller varslerens advokat Birthe Eriksen.

– Det å oppleve at arbeidsgivers øverste leder går ut på denne måten, og ensidig og partisk i en sak som aldri har vært partisk og forsvarlig undersøkt, var en skremmende og skadelig opplevelse.

Birte Eriksen

VARSLEREKSPERT: Birthe Eriksen har doktorgrad i arbeidstakers rett til å varsle om kritikkverdige forhold.

Foto: Caroline Tolfsen / NRK

Eriksen forteller at varsleren i lang tid forsøkte å nå fram internt før varselet gikk videre til Datatilsynet.

– Min klient opplevde å bli utstøtt, fratatt arbeid og fikk ikke ta del i møter og samtaler som gjaldt konkrete arbeidsoppgaver.

Refsen fra Datatilsynet oppleves nå som en lettelse for varsleren, samtidig har varsleren betalt en høy pris, forteller Eriksen:

– Det har vært en stor belastning. Langvarig sykefravær taler sitt klare språk. Det er en klar årsakssammenheng mellom det min klient har stått i, har forsøkt å varsle om og blitt utsatt for av gjengjeldelse og utstøtelse. I tillegg kommer den helsemessige skaden min klient har lidd.

Advokaten mener at reaksjonen fra Datatilsynet aktualiserer en gransking av pensjonskassen.

– Dersom ingen kommer med noen erkjennelser, må vurdere vi andre skritt. Denne saken er svært alvorlig, og jeg håper at de ansvarlige folkevalgte i Bodø nå våkner, sier Birthe Eriksen.

Disse spørsmålene har NRK stilt Einar Lier Madsen:

  • Hva er styrets kommentar til kritikken fra Datatilsynet om at styret gjennom år har brutt loven gjennom sin håndtering av sensitive helseopplysninger?
  • Tar du selvkritikk for hvordan du har ivaretatt ditt ansvar for personopplysninger som styreleder og medlem av styret siden 2008?
  • I november karakteriserte du varselet som førte til at den regelstridige praksisen ble avdekket, som «fake news». Står du ved uttalelsen?

– Vi forholder vi oss til at brevet fra Datatilsynet er et forhåndsvarsel om mulig irettesettelse som vi vil gi tilbakemelding på. Styret og administrasjonen i BKP vil behandle dette på vanlig måte. Utover dette har jeg ingen ytterligere kommentarer, svarer styreleder Einar Lier Madsen i Bodø kommunale pensjonskasse.

– For tett samarbeid

Den omfattende utvekslingen av sensitive helseopplysninger viser at det har vært for tette bånd mellom kommunen og pensjonskassen, mener Datatilsynet.

– Ved at pensjonskassen sender over statistikk kan kommunen lett sammenstille dette med andre data, og frembringe opplysninger om folk som både kan være riktig og uriktig også. Så det er ikke bare det at personlige opplysninger kan være delt, de kan også være uriktige, sier Janne Stang Dahl i Datatilsynet.

Får ingen konsekvenser for kommunen

Til tross for at den ulovlige utvekslingen av opplysninger har foregått gjennom 15 år, kommer ikke Datatilsynet til å åpne tilsyn mot Bodø kommune.

Årsaken er at saken går mer enn fem år tilbake, og er dermed foreldet. I tillegg har praksisen opphørt.

– Hadde den blitt behandlet etter det nye regelverket vi har, så tror jeg med stor sikkerhet jeg kan si at de ville fått et stort overtredelsesgebyr.

Også tilsynet håper kritikken som nå er gitt vil få konsekvenser.

– Dette må ikke skje igjen. Det er det første premisset. Og hvis man ser saken i en litt større sammenheng, så skal vi som borgere i Norge kunne stole på at offentlige myndigheter behandler våre personopplysninger forsvarlig, trygt, og på en måte som vi også vet om, sier kommunikasjonsdirektøren Janne Stang Dahl i Datatilsynet.

Pensjonskassen: – Overrasket

Hans Petter Horsgaard, daglig leder Bodø kommunale pensjonskasse.

–MILD KRTIKK: Vi registrerer at en mulig irettesettelse er den mildeste form for reaksjon som forvaltningen kan gi, sier daglig leder Hans Petter Horsgaard.

Foto: Bodø kommunale pensjonskasse

Daglig leder Hans Petter Horsgaard i Bodø kommunale pensjonskasse sier i en kommentar til NRK at en mulig irettesettelse er den mildeste form for reaksjon som forvaltningen kan gi.

– Vi er derfor svært overrasket over at Datatilsynet intervju med NRK går lenger i å rette kritikk mot oss enn hva som framkommer av forhåndsvarselet. Vi kjenner oss ikke igjen i de beskrivelsene og eksemplene kommunikasjonssjefen i Datatilsynet fremstiller i saken.

Til uttalelsene fra varslerens advokat Birthe Eriksen, uttaler Horsgaard følgende:

«Vi ønsker ikke å kommentere personalsaker i media»

Advokat Eriksen bemerker til NRK at et varsel om kritikkverdige forhold, lovbrudd og lignende, er per definisjon ingen personalsak.

– Det bekrefter blant annet av Datatilsynets vurderinger, skriver Eriksen til NRK.

Les hele svaret fra Bodø kommunale pensjonskasse:

Kommunen: – En mild reaksjonsform

Rolf Kåre Jensen, rådmann i Bodø

IKKE «REFS»: – Datatilsynet har ikke kommet med «refs», sier Bodø-rådmann Rolf Kåre Jensen.

Foto: Oliver Rønning / NRK

Bodørådmann Rolf Kåre Jensen opplyser til NRK at Bodø kommune forholder seg til lovverket om hva slags informasjon vi både etterspør og mottar.

Han avviser at kommunen har mottatt statistikk med personopplysninger over flere år.Jensen opplyser videre at daglig leder Hans Petter Horsgård i Pensjonskassen sjekker om statistikken faktisk ble oversendt kommunen.

– Dette er en sak fra 2014/15 der daglig leder har opplyst at en statistikk uten personidentifikasjon er oversendt kommunen. Vi klarer ikke å finne at vi har mottatt denne, sier rådmannen.