Hopp til innhold

Flere kommuner stengte innsynsmulighet etter NRKs avsløring

En rekke kommuner fikk beskjed om å deaktivere sin innsynsløsning i går, etter at NRK fortalte om at sensitive dokumenter fra Bodø kommune lå åpent ute på nettet.

IT-svikt i Bodø kommune

Ved å endre dokumentnummeret i adressefeltet i Bodø kommunes elektroniske postjournal kunne NRK søke opp dokumenter der noen inneholdt sensitiv informasjon.

Foto: Lars-Bjørn Martinsen / NRK

Denne uken fortalte NRK hvordan hundrevis av dokumenter fra Bodø kommune med sensitive opplysninger lå åpent ute på nettet.

Ved å endre på tallene på slutten av nettadressen kunne hvem som helst med tilgang til Internett laste ned og lese ulike dokument.

Blant filene NRK fikk søkt opp var arbeidskontrakter med informasjon om lønn, kontonummer, fødsels- og personnummer, adresser samt permisjonssøknader og helsevurderinger av barn. Med mer.

Etter NRKs avsløringer fikk flere kommuner i går beskjed om å stenge sin innsynsløsning etter beskjed fra leverandøren EVRY.

Flere kommuner

kjermdump

Kommuner deaktiverte muligheten for innsyn midlertidig.

Foto: Skjermdump

Ifølge lokalavisa OPP fikk rundt hundre norske kommuner beskjed om å stenge innsynet i offentlige dokumenter etter at det ble avdekket sikkerhetshull.

Det stemmer overens med det NRK fikk opplyst tidligere i uken, der EVRY opplyste at om lag 100 kunder har en tilsvarende tjeneste som Bodø.

Dovre, Vågå, Skjåk og Oppdal er blant kommunene som la ut melding på sine nettsider om at muligheten for visning av dokument i postlista var midlertidig deaktivert.

Årsaken ble oppgitt til å være en «kritisk feil hos leverandør».

Fikk beskjed om å deaktivere

IKT-konsulent Asle Heggheim hos Vågå kommune var blant dem som fikk mail fra EVRY om å stenge ned innsynsmuligheten tirsdag.

– Vi fikk beskjed om å deaktivere for innsyn på bakgrunn av feilen som ble oppdaget hos Bodø kommune.

– Kunne man på tilsvarende måte søke opp sensitive dokumenter hos dere?

– Jeg kjenner ikke til at det har vært noen glipp hos oss, men det er jo samme programvare vi bruker, sier Heggheim.

– Ikke så veldig intuitivt

På spørsmål om hvordan systemet egentlig fungerer, forklarer han:

– Ingen dokument er unntatt offentlighet, med mindre det er gjort et bevisst valg om å unnta det. Det er det loven legger opp til. Så du må altså ta et aktivt valg i programmet om dokumentet skal være unntatt offentlighet.

Dermed kan altså dokumenter som ikke burde være mulig å laste ned, bli tilgjengelig likevel – dersom ikke arkivar eller saksbehandler spesifikt spesifiserer det motsatte, etter det NRK forstår.

– Er programmet intuitivt og enkelt å forstå?

– Nei, det er ikke veldig intuitivt hvis du ikke har erfaring med det. Som annen programvare må man opparbeide gode rutiner. Hos oss er de rutinene på plass.

Datatilsynet har gitt flere kommuner påpakning

Bodø kommune er dog ikke alene om å ha tilgjengeliggjort personopplysninger på nettet i år. NRK har fått innsikt i dokumenter som Datatilsynet har sendt til flere kommuner tidligere i 2017.

Her påpeker tilsynet at opplysninger om fødselsnummer og andre taushetsbelagte personopplysninger er gjort tilgjengelig i forbindelse kommuners fulltekstpubliseringsløsning.

Opplysningene har vært tilgjengelig ved søk fra kommunenes nettsider og/eller søk i Google.

Tilsynet påla disse kommunene å gjøre grep, både for å fjerne det som lå ute og for å sørge for at det ikke skjer igjen.

EVRY: – Valgte å skru av løsningen

Det er altså ​EVRY som leverer dokumentsystemet som håndterer mange kommuners behov for saksbehandling, arkivering og offentliggjøring.

Basert på den informasjon de fikk mandag valgte EVRY å skru av løsningen for publisering av hele brevet for alle typer dokumenter, enten de skulle klassifiseres som offentlig eller unntatt offentlighet, det forteller kommunikasjonsdirektør Geir Remman i en e-post.

– Dette ble gjort av hensyn til sikkerheten. Vi har nå informert kunder om at tilgangen igjen kan åpnes.

– Kommunen kan ha gitt feil tilgang

Geir Remman

Geir Remman, kommunikasjonsdirektør i EVRY, sier selskapet kontinuerlig jobber for å forbedre og tilrettelegge løsningen.

Foto: Evry

Remman forklarer at en viktig del av løsningen deres gjelder såkalt journalføring, noe som innebærer at alle dokumenter enten skal offentliggjøres eller unntas offentlighet.

I de tilfeller informasjon skal gjøres tilgjengelig kan saksbehandler og arkivar enten publisere tittel og dato på dokumentet – eller hele brevet.

– Vi har sjekket de tekniske forholdene knyttet til leveransen og vært i dialog med kundene. Vi er på grunnlag av dette ikke kjent med noen tekniske forhold som skulle tilsi svikt i tilgjengeliggjøring av personopplysninger, sier Remman. Han legger til at det bare er tre kommuner som bruker den aktuelle innsynsløsningen fra EVRY.

Han peker på at det er kommunene og deres saksbehandlere og arkivarer som har et ansvar for å vurdere om dokumenter skal unntas offentlighet eller ikke.

– Når vi nå kjenner rotårsaken i den aktuelle saken så viser den at kommuner kan ha gitt feil tilgang til sensitive dokumenter.

Bodø kommune har på sin side avvist at kommunen har vært for slapp med å sikre dokumenter.

– Jeg føler ikke at vi har vært slapp, men det er åpenbart at denne hendelsen ikke burde ha funnet sted. Det skal vi sørge for at ikke skjer en gang til, sa IKT-sjef i kommunen Frode Nilsen til NRK i går.