- I seg selv inneholder en selvangivelse beskyttelsesverdig informasjon, for eksempel personnummer. Særfradrag og annen informasjon kan identifisere at personen har en sykdom, eller får all sin inntekt gjennom utbetalinger fra Staten. Dette er ikke bra på noe som helst vis, sier fagdirektør Hallstein Husand i Datatilsynet.
Fikk tips
Den 21. april fikk Fosen IKT, som er et felles driftssenter for IKT-systemene til alle kommunene på Fosen unntatt Ørland, et tips fra en ekstern person.
Tipseren meldte at selvangivelsen til en person som hadde søkt redusert foreldrebetaling i barnehage lå åpent tilgjengelig i Bjugn kommunes journalsystem.
- Det som har skjedd er at etter en oppgradering av saksbehandlingssystemet vårt, har en feil fra leverandøren gjort at vedleggene til et journalført gradert hoveddokument, ikke er blitt tilgangsbeskyttet som de skulle, sier Grethe Jøssund, som er IKT-rådgiver i Bjugn kommune.
Fant flere selvangivelser
Jøssund forklarer at Bjugn kommune har omfattende rutiner for å påse at det som offentliggjøres i postlistene ikke inneholder beskyttelsesverdig informasjon.
- Når vi ble klar over feilen, ble dokumentene umiddelbart fjernet fra nettet. Vi kontaktet leverandøren vår med en gang, og feilen ble rettet slik at nye offentliggjøringer ikke kan skje på samme måte, sier hun.
I avviksmeldingen Bjugn kommune sendte til Datatilsynet, skriver kommunen at arkivtjenesten tok en ekstra gjennomgang av liknende saker i postlistene for å forsikre seg om at ikke annen informasjon lå tilgjengelig ute.
Arkivtjenesten fant og fjernet ytterligere sju selvangivelser som lå åpent på kommunens nettsider.
- Det er vanskelig å gradere alvorlighetsgraden av denne typen saker. Offentliggjøringen av denne typen informasjon kan ha konsekvenser for dem det gjelder. Etter brudd på personopplysningsloven ble vi koblet inn, sier Husand i Datatilsynet.
Brukt store ressurser
Kommunen skriver videre til Datatilsynet at arkivtjenesten har brukt store ressurser for å kontrollere at informasjonen ikke har spredd seg på andre nettsteder.
Kommunen fant at selvangivelsene til fem av personene var tilgjengelig på et annet nettsted, og fikk disse tatt ned.
- I første omgang trodde vi dette måtte vært hentet fra vedlegget som lå på vår postjournal. Men vi fant også selvangivelser på personer fra andre steder i landet, med opplysninger som ikke har vært innom oss for journalføring, skriver kommunen i sitt brev til Datatilsynet.
Brudd på taushetsplikten
I sitt svar til Bjugn, pålegger Datatilsynet kommunen å få gjennomført tekniske sikkerhetstiltak og å implementere rutiner for å begrense muligheten for at uriktige tilganger gis ved publisering av dokumenter på internett.
Tilsynet fastslår at dokumentene som ble lagt ut på internett var underlagt taushetsplikt. Videre stadfester de at det er forbudt å publisere fødselsnummer på internett.
- Vi legger til grunn at årsaken til at opplysningene er blitt eksponert for andre enn de som har adgang til å behandle dem skyldes sikkerhetsbrudd på grunn av manglende, for svak eller for liten kunnskap i organisasjonen om informasjonssikkerhet, skriver Datatilsynet.
Bjugn er ikke enige i Datatilsynets vurdering. De opplever ikke at det er for svak eller for lite kunnskap i organisasjonen, men en teknisk feil fra leverandørens side som er årsaken til avviket.
Kan gjelde flere Fosen-kommuner
I avviksmeldingen skriver Bjugn at alle kommunene som er med i prosjektet Det digitale Fosen trolig har vært berørt av den samme feilen i sine journalsystem. Osen har i dag et annet system for sine postlister. Feilen er rettet for alle kommunene som kan ha vært berørt.
- I utgangspunktet har det ikke noe å si at det er et interkommunalt samarbeid som har ansvaret for det som har gått galt, sier Husand.
Han sier konsekvensene for Bjugn i det minste vil være å få et vedtak fra Datatilsynet som pålegger kommunen å bedre rutinene sine.
Jøssund forteller at Bjugn kommune har sendt brev til de berørte personene i Bjugn som har fått sin personlige informasjon ulovlig lekket, men ønsker ikke å kommentere hvem de er av hensyn til deres personvern.