JUSS OG SAMFUNN

Datatilsynet kjeftet på kommunen, men feilen lå hos dem

Bergen kommune beklager etter å ha gitt ut opplysninger om barn som bor på hemmelig adresse.
Bergen kommune beklager etter å ha gitt ut opplysninger om barn som bor på hemmelig adresse. Foto: www.goodfreephotos.com
14. okt. 2019 - 11:00

Bergen kommune varslet Datatilsynet om en alvorlig feil administrasjonssystemet i Vigilo, men saksbehandleren fikk ikke beskjed. Det skriver NRK.

I forrige uke sendte Datatilsynet et brev til Bergen kommune der de blant annet krevde svar på hvorfor vestlandshovedstaden brukte nesten en måned på å varsle om saken.

Besøksforbud

En svikt i Vigilo gjorde at foreldre med besøksforbud ble lagt til i administrasjonssystemet som pårørende. Svikten omfattet tre barn som bor på hemmelig adresse, og ti barn som har familieforhold som gjør at foreldrene ikke skulle hatt informasjon om barna sine.

Personopplysningene har blitt lastet direkte fra Folkeregisteret. 

Personopplysninger om store deler av befolkningen, ikke deres egne kunder, lå fritt tilgjengelig fra nettsidene til Unicef Norge. Det inkluderer data om barn, voksne og virksomheter. Innfelt ser vi oppføringen til en vilkårlig 9-åring, som vi har valgt å sladde. Hjelpeorganisasjonen er ikke alene om å benytte såkalte nummeropplysningsdatabaser.
Les også

Unicef Norge eksponerte enorm persondatabase fra vidåpent grensesnitt – ble stengt på flekken

– At vi har gitt ut opplysninger til foreldre som ikke skulle hatt det, er svært beklagelig. Det føles krevende og vondt at det har oppstått en ny hendelse, sa kommunaldirektør Trine Samuelsberg til NRK da feilen ble kjent. 

GDPR krever at varsel skal sendes innen 72 timer etter avvik er oppdaget. 

Bergen kommune varslet muntlig om avviket den 4. september, men full avviksmelding ble ikke sendt før 2. oktober. Det muntlige varslet har ikke Datatilsynet fått med seg.

Svikt i egne ruiner

Kommunen har gitt NRK innsyn i et skriftlig svar fra en fagdirektør i Datatilsynet den 4. september, som bekrefter at tilsynsorganet har mottatt varselet om alvorlig brudd på GDPR.

– Her har det vore ein kommunikasjonssvikt internt og det munnlege varselet har ikkje nådd fram til saksbehandlaren. Det tek vi sjølvkritikk på, og vi burde teke omsyn til det når vi formulerte kravet til kommunen, seier Thon. 

Det er ikke så enkelt å be Facebook om å ikke trene sin KI på dine opplysninger.
Les også

Slik reserverer du deg

Skulebyrå Linn Kristin Engø (Ap) sier til NRK at det er kritisk at Datatilsynet har orden på egne rutiner. 

– Når vi er i kontakt med fagdirektør i Datatilsynet, må vi kunne stole på at informasjonen når fram til riktig mottakar. Riktig informasjon i denne saka er avgjerande, fordi det er barn og familiar vi skal vareta og dei må få riktig informasjon i media, sier skolebyården til statskanalen. 

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.