Kontroll hos Den katolske kirke

Oslo katolske bispedømme har mye å rydde opp i når det gjelder behandling av medlemmenes personopplysninger.

I juni 2014 var Datatilsynet på kontroll hos Den katolske kirke ved Oslo katolske bispedømme (OKB), for å se hvordan det stod til med kirkens behandling av personopplysninger. OKB forvalter medlemsregisteret til Den katolske kirke i Norge, som inkluderer tre bispedømmer, med til sammen rundt 150 000 medlemmer.

Det var særlig internkontroll og informasjonssikkerhet som ble satt under lupen ved Datatilsynets besøk. Kontrollen avslørte at det var mange alvorlige avvik fra bestemmelsene i personopplysningsloven.

Dårlig oversikt

OKB har ikke etablert dokumentert internkontrollsystem. Kirken har blant annet ikke oversikt over hvilke personopplysninger som behandles. Det mangler også dokumenterte rutiner for å håndtere retten enkeltpersoner har til å kreve innsyn i behandlingen av deres personopplysninger.

Fraværet av dokumenterte rutiner gjør det vanskelig å si noe om hvorvidt kirkens behandling av personopplysninger er melde- eller konsesjonspliktig.

OKBs personregistre ligger i såkalt «sikker sone» i datasystemet, med tilgangs- og rettighetskontroll. Adresseinformasjon kan kopieres fra sikker sone og ut til kontorstøtteløsninger, men det er uklart hvorvidt annen type informasjon også lar seg kopiere ut fra sikker sone. Videre mangler både en beskrivelse av sikkerhetsmål og en strategi for bruk av informasjonsteknologi til å behandle personopplysninger.

Mangler kompetanse

Årsaken til de mange avvikene som ble avdekket under kontrollen skal være manglende kompetanse og manglende prioritering, skriver juridisk seniorrådgiver Henok Tesfazghi i Datatilsynets kontrollrapport.

- Oslo katolske bispedømme har mye å rydde opp i. Virksomheten har derfor fått frist til 1. juni 2015 med å etterkomme påleggene vi har gitt dem, sier Tesfazghi.

OKB må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at påleggene er gjennomført.

Her er den endelige kontrollrapporten (pdf) og vedtak om pålegg (pdf)