Personopplysninger til skoleelever kan være på avveier

Datatilsynet har mottatt avviksmeldinger fra fylkeskommunene i Agder, Trøndelag og Innlandet angående sårbarheten som er avdekket i programvaren Conexus.

Avviksmeldingene redegjør for hendelsen og for hvordan den er håndtert av de behandlingsansvarlige. Meldingene inneholder informasjon om hvem som er berørt og hvilke opplysninger som er rammet av avviket. Det beskrives videre hva som er gjort for å fjerne sårbarhetene, og hvordan de berørte har blitt og vil bli informert.

- Dette er helt i tråd med de kravene personvernregelverket stiller til krav om rapportering til Datatilsynet ved slike hendelser. Formålet med avvikshåndteringen skal være å undersøke og reparere slike hendelser så langt det lar seg gjøre. Det er viktig å ta lærdom av det som har skjedd slik at man reduserer risikoen for at det samme kan skje igjen, sier seksjonssjef Camilla Nervik.

Datatilsynet vil i den videre oppfølgingen av saken gå gjennom informasjonen vi har mottatt, og be om ytterligere redegjørelse dersom saken ikke er tilstrekkelig opplyst. Dette er vanlig prosedyre for oppfølging av avvikssaker. Vi har også vært i kontakt med Conexus i sakens anledning.

- Vi undersøker nærmere årsakene til at avvik oppstår, og vurderer om og hvem som kunne eller burde handlet annerledes og om feilen kunne vært unngått. Hva som blir vår oppfølging av disse konkrete sakene, vil vi komme tilbake til når vi har gjennomgått informasjonen som er sendt oss så langt, sier Nervik.

Les mer om når og hvordan du går frem for å rapportere avvik.

9