Gebyr til Lillestrøm kommune
Datatilsynet har gitt Lillestrøm kommune et overtredelsesgebyr på 300 000 kroner for brudd på personvernforordningens krav til konfidensialitet.
Datatilsynet har gitt Lillestrøm kommune et overtredelsesgebyr på 300 000 kroner for brudd på personvernforordningens krav til konfidensialitet.
Kommunen publiserte et dokument i sin offentlige postjournal hvor 10 av 21 vedlegg inneholdt personopplysninger av særlige kategorier, jf. forordningens artikkel 9 nr. 1. Kommunen glemte å merke de 10 aktuelle vedleggene unntatt offentlighet slik de skulle. Dette ble ikke oppdaget av saksbehandler, og dokumentet gikk gjennom ytterligere to manuelle kvalitetskontroller i dokumentasjonssenteret uten at feilen ble oppdaget.
Kommunen ble gjort oppmerksom på at dokumentet med vedlegg var tilgjengeliggjort på kommunens hjemmeside 27. september 2021 av en journalist i Romerikes Blad. Datatilsynet mottok også en melding om brudd på personopplysningssikkerheten fra Lillestrøm kommune den 29. september.
Undersøkelser viste at fire ulike IP-adresser (deriblant Romerikes Blad) hadde aksessert dokumentet. Dokumentene ble fjernet fra postlisten og unntatt offentlighet umiddelbart etter at hendelsen ble oppdaget. Deretter ble de berørte varslet.
Datatilsynets vurdering er at når et dokument med vedlegg om en elev publiseres på kommunens hjemmeside, er det tydelig at det ikke er etablert et godt nok sikkerhetsnivå, eventuelt at det ikke fungerer etter hensikten. At hendelsen ikke oppdages av kommunen, men av en tredjepart, tyder også på mangelfulle rutiner på dette området.
Hendelsen vil innebære brudd på personvernforordningen artikkel 32 nr. 1 bokstav b, som krever at det etableres et sikkerhetsnivå som er egnet til å sikre vedvarende konfidensialitet. Personopplysninger som skulle vært skjermet var blitt gjort tilgjengelig for uvedkommende på internett. Dette gjelder opplysninger om for eksempel elevers navn, fødselsdato, testresultater, vurderinger av oppførsel og utfordringer og eventuelle diagnoser.
Datatilsynet sendte tidligere et varsel om overtredelsesgebyr på 500 000 kroner. Det påpekes i kommunens svar på varselet om gebyr at de har rutiner, og at avviket skyldes menneskelig svikt. Dette har Datatilsynet merket seg og resultert i at gebyret er satt ned fra 500 000 til 300 000 kroner.