Sladde-svikten hos Fylkesmannen kan ende med bot
Datatilsynet har hatt en enorm økning i avviksmeldinger. Flere har handlet om dårlig sladding av dokumenter. Sladde-svikten hos Fylkesmannen i Oslo og Viken kan ende med bot.
Publisert
Sist oppdatert
Utdanning har avdekket hvordan Fylkesmannen i Oslo og Viken la to dårlig sladdete tilsynsrapporter ut på nett.
En av rapportene inneholdt svært sensitive opplysninger om navngitte elever i forbindelse med en sak om seksuelle overgrep. Det førte til at et navnesøk på Google var alt som skulle til. Da fikk man vite at elevene var varslere eller fornærmede i en overgrepssak.
Den andre dårlig sladdete rapporten inneholdt også en rekke sensitive opplysninger knyttet til en annen sak som har fått mye medieomtale.
Ifølge Fylkesmannen i Oslo og Viken er det «menneskelig svikt» som ligger bak personvernbruddet. De har meldt inn saken til Datatilsynet som nå vil behandle den.
Bekymringer i Datatilsynet
I Datatilsynet har de behandlet flere saker om dårlig sladding av personopplysninger.
– Men kanskje ikke med så alvorlige konsekvenser som saken Utdanning har avdekket, skriver Camilla Nervik, seksjonsleder ved Seksjon for offentlige tjenester i Datatilsynet, i en e-post.
Hun understreker at de ikke har behandlet saken ennå, og at hun derfor uttaler seg basert på det som har kommet fram i mediedekningen.
Datatilsynet har bekymringer knyttet til at slike dokumenter digitaliseres i økende grad. Nervik sier det handler om forståelse for teknologien, og at dette er en ny form for risiko som må håndteres på en skikkelig måte.
– Det er klart at dette kan løses på en trygg nok måte, men det krever og forutsetter teknisk innsikt og kunnskap om hva løsningene innebærer, skriver Nervik.
Utdanning har tidligere fortalt at det var først i 2019 at fylkesmennene har fått et felles verktøy for sikker sladding av elektroniske dokumenter.
Kan ende med bøter
I hele 2018 fikk Datatilsynet inn 1275 avviksmeldinger om håndtering av persondata. Fram til november i år har de allerede mottatt 1743 avviksmeldinger. I 2017 var antallet kun 349. Mye av økningen er knyttet til innføringen av de nye GDPR-reglene om behandling av persondata.
– Vi har hatt en enorm økning i antall meldinger til oss, skriver Nervik.
Hun forklarer at meldinger som utgjør lovbrudd kan følges opp med alle virkemidlene Datatilsynet har, inkludert bøter.
– Mange av sakene avsluttes raskt, noen gjøres det grundigere undersøkelser i, og noen har endt opp med overtredelsesgebyr fra oss, skriver Nervik.
Hun sier reaksjonen avhenger av hvor alvorlig de vurderer at avviket er, hvilke mennesker det rammer og hvilke typer opplysninger det dreier seg om.
– Hva som blir reaksjonen i dette konkrete tilfellet, må vi komme tilbake til når saken er ferdig behandlet hos oss, skriver Nervik.
– Må sette seg inn i situasjonen til de som kan bli rammet
Også Hans Marius Tessem, seniorrådgiver ved Norsk senter for informasjonssikring, har sett flere eksempler på saker hvor den tekniske kompetansen knyttet til sladding av elektroniske dokumenter har vært lav.
– Vi har sett eksempler på steder hvor det har skjedd feil gjentatte ganger, sier Tessem som leder tjenesten slettmeg.no. Han sitter også i Personvernnemnda.
– Menneskelig svikt vil av og til skje, men det er enda mer problematisk i de tilfellene hvor dårlig systematikk og rutiner ser ut til å ligge bak, sier Tessem.
Han sier de som behandler slike data i langt større grad må evne å sette seg inn i situasjonen til de som kan bli rammet av dårlig håndtering av sensitive opplysninger.
– Da ville man behandlet denne type informasjon langt mer varsomt, sier Tessem.
Han understreker at når noe først er lagt ut på nett, har man ingen garanti for å kunne få det bort.
– Det er en dårlig strategi å tro at du kan fjerne ting etter det er lagt ut på nett. Den vurderingen må du gjøre før du legger ut noe, sier Tessem.
