Fire kommuner får gebyr for å ha publisert sensitive personopplysninger

Datatilsynet har gitt kommunene Askvoll, Os, Årdal og Harstad overtredelsesgebyr på mellom 75 000 og 150 000 kroner for å ha publisert sensitive personopplysninger på internett.

Norske kommuner benytter seg i økende grad av muligheten til å legge ut dokumenter i fulltekst, slik offentlighetsforskriften åpner for. Dette skjer vanligvis på den måten at postlisten publiseres på kommunens hjemmeside, med en lenke til de dokumentene som kommunen velger å legge ut i fulltekst. På denne måten får de som er interessert i å lese dokumentene direkte tilgang til disse, uten å måtte begjære innsyn i dokumentet. Kommunen på sin side behøver da ikke å bruke ressurser på å saksbehandle innsynsbegjæringer for disse dokumentene.

Fulltekstpublisering av dokumenter på internett forutsetter imidlertid at kommunene har gjort risikovurderinger i forkant, at de har etablert gode rutiner og gitt medarbeidere nødvendig opplæring. Dette må gjøres for å redusere risikoen til et minimum for at dokumenter med sensitive personopplysninger blir publisert.

  • Årdal kommune ilegges et overtredelsesgebyr kr 150 000 for å ha publisert et dokument som inneholdt helseopplysninger om tjenestemottakere innen helse- og sosialsektoren,
  • Harstad kommune ilegges et overtredelsesgebyr kr 100 000 for å ha publisert en epost i fulltekst som inneholdt helseopplysninger,
  • Os kommune ilegges et overtredelsesgebyr kr 100 000 for å ha publisert et dokument tilhørende en barnevernssak,
  • Askvoll kommune ilegges et overtredelsesgebyr kr 75 000 for å ha publisert et dokument tilhørende en personalsak.

– Disse fire sakene viser hva som nettopp kan skje dersom man ikke har gjort skikkelige risikovurderinger i forkant, eller fått et internkontrollsystem, rutiner og opplæring på plass før man går i gang med publisering av fulltekstdokumenter på Internett, sier direktør Bjørn Erik Thon i Datatilsynet.

– Det var derfor nå på sin plass å markere alvoret i dette ved å ilegge de fire kommunene en økonomisk sanksjon i form av et overtredelsesgebyr. Den største kostnaden betaler likevel de av kommunens innbyggere som fikk gjort kjent taushetsbelagte opplysninger om seg selv for potensielt stort publikum, sier Thon.

Datatilsynet har gjennom mange tilsyn i kommunesektoren erfart at etterlevelse av bestemmelsene om internkontroll og informasjonssikkerhet er en utfordring i kommunesektoren. Da skjer lett feil, slik det har gjort i disse fire kommunene.

Datatilsynet oppfordrer kommuner og andre offentlige etater til å sette inn funksjonalitet i sine postlister som verner mot søk fra eksterne søkemotorer. Dette vil kunne redusere spredningen og dermed også konsekvensen av feilpubliseringer.

Under finnes Datatilsynets vedtak om overtredelsesgebyr til de fire kommunene.

Årdal kommune, vedtak overtredelsesgebyr (pdf)
Harstad kommune, vedtak om overtredelsesgebyr (pdf)
Os kommune, vedtak om overtredelsesgebyr (pdf)
Askvoll kommune, vedtak om overtredelsesgebyr (pdf)