NRK Meny
Normal

Irenes private helseopplysninger lå åpent ute på nett: – Sjokkerende og ekkelt

En rekke dokumenter med sensitive personopplysninger fra Bodø kommune har ligget åpent og søkbart ute på nett. – Sjokkerende, sier Irene Olsen, etter at hennes private helseopplysninger ble lekket på nett.

Irene Olsen

RAMMET AV SIKKERHETSBRUDD: Irene Olsen opplevde at hennes egne private helseopplysninger lå åpent ute på nettet. – Jeg håper Bodø kommune tar lærdom av tabben, sier hun.

Foto: Lars-Bjørn Martinsen / NRK

Irene Olsens private helseopplysninger er bare ett av mange dokumenter som NRK har kunnet søke opp det siste døgnet. I tillegg lå blant annet arbeidskontrakter, oppsigelser, taushetserklæringer og sakkyndige vurderinger av elever som trenger spesialundervisning åpent ute og søkbart.

Flere av dokumentene inneholder navn, adresse, personnummer og kontonummer. Trolig er det snakk om flere tusen dokumenter, men ikke alle inneholder sensitiv informasjon.

NRK har vært i kontakt med flere berørte, som alle reagerer sterkt.

– Dette var skikkelig ekkelt å høre. Ganske sjokkerende. Bodø kommune hadde min tillit, sier Irene Olsen.

Ifølge offentlighetslovens forskrifter kan ikke taushetsbelagte, og andre opplysninger som for eksempel personnummer, legges ut på internett.

– Kommunen bør ta seg selv i nakken og fjerne opplysningene fra offentligheten. De må ta sikkerheten og personvernet på alvor, sier hun til NRK.

Kommunen legger seg flat

Frode Nilsen

BEKLAGER: – Vi er nå mest oppsatt på å fjerne tilgangen til våre systemer for personer som ikke skal ha det. Hva feilen kan være vet vi ikke i dag, men vi skal sammen med vår leverandør finne ut hva som har skjedd, sier IKT-sjef Frode Nilsen.

Foto: Bodø kommune

Etter at NRK tok kontakt med Bodø kommune mandag ettermiddag, ble alle muligheter for elektronisk innsyn stengt. IKT-leder Frode Nilsen bekrefter at Bodø kommune har et sikkerhetshull.

– Det er svært uheldig. Slikt skal ikke forekomme, og det er sterkt beklagelig. Om denne feilen skyldes menneskelig svikt, programsvikt eller en kombinasjon av dette, er for tidlig å si, sier Frode Nilsen til NRK.

Hvor lenge opplysningene har ligget åpent tilgjengelig, kan han ikke svare på. Det er IT-giganten Evry som leverer arkivsystemet for Bodø kommune. Innsynsmodulen er kun en liten del av arkivsystemet. (se faktaboks).

– De jobber på spreng – akkurat som oss – for å finne ut hva som har skjedd. Vi vil også bruke samme metodikk som NRK har gjort for å se om vi avdekker flere tilfeller hvor dokumenter er tilgjengelig som ikke burde være det. Så blir det å gjøre nødvendige justeringer for å sikre at dette ikke skjer igjen.

Ikke første gang

Bodø rådhus

SIKKERHETSBRUDD: Flere dokumenter med sensitive personopplysninger fra Bodø kommune har ligget åpent og søkbart ute på nett. Kommunen legger seg flat og beklager.

Foto: Sigurd Steinum / NRK

Det er ikke første gang personopplysninger har ligget offentlig tilgjengelig på nettsiden til Bodø kommune. Allerede i 2008 lå personnumrene til 30 ansatte i Bodø kommune åpent på nett. I mai i år avdekket Bodø Nu at åtte kommunalt ansatte fikk eksponert personnumre og lønnsopplysninger etter at arbeidsavtalene deres lå åpent tilgjengelig i kommunens elektroniske postjournal.

IKT-sjef Frode Nilsen sier at informasjonssikkerhet er noe kommunen tar på største alvor og bruker mye ressurser på.

– I dette tilfelle har vi åpenbart ikke vært tilstrekkelig påpasselig og må ta lærdom av det. Bodø kommune vil gjøre sitt ytterste for at dette ikke skal skje igjen. Selv om vi ser meget alvorlig på det som har skjedd, er vi glade for at media har avdekket disse forholdene slik at vi har muligheten for å rette opp, sier han.

Nilsen forklarer at det er det er saksbehandler som har ansvaret for å gradere dokumentene i forhold til hvilken type innsyn som skal gjelde. Før dokumentet legges ut på journalen gjøres det en kvalitetssikring av arkivet.

– I utgangspunktet skulle dette sammen med en riktig konfigurert løsning være tilstrekkelig, men det har det tydeligvis ikke vært i de avdekkete tilfellene, sier Nilsen.

Samme tjeneste til 100 kunder

I en e-post til NRK sent mandags kveld skriver kommunikasjonsdirektør i Evry, Geir Remman, at feilen i Bodø kommune nå skal være rettet.

– Det er en kombinasjon av menneskelig svikt hos brukerne og teknisk svakhet som har forårsaket dette.

– Vi kjenner ikke til tilsvarende feil hos andre kunder, men for å hindre enhver usikkerhet har vi nå i kveld (mandag kveld, journ anm.) startet et arbeid med å konfigurere løsningen slik at dette ikke skal skje hos andre.

– Hvor mange andre kommuner enn Bodø leverer dere denne løsningen til?

– Vi har levert en tilsvarende tjeneste som Bodø til om lag 100 kunder.

– Flere har svin på skogen

Bjørn Erik Thon

IKKE UVANLIG: Direktør Bjørn Erik Thon i Datatilsynet har en liten trøst til dem som går rundt og bekymrer seg for at deres sensitive opplysninger kan havne i gale hender. – Det vi har sett i andre saker, er at man skal lete litt for å finne disse opplysningene på hjemmesiden til en kommune.

Foto: Åsa Mikkelsen

Datatilsynet ser alvorlig på sikkerhetsbruddet i Bodø kommune.

Dette er helt åpenbare dokumenter som ikke skal havne på nettet. Det er konfidensielle og private opplysninger, sier direktør Bjørn Erik Thon i Datatilsynet.

Det er ikke første gang Thon hører om saker som dette.

– De siste årene har et titalls kommuner gjort akkurat det samme.

Sikkerhetsbruddene skyldes ofte svikt i interne rutiner, dårlig opplæring hos ansatte og dårlig internkontroll.

Derfor er det viktig at kommunene lager gode rutiner for å forhindre at slikt skjer.