Kommuner får gebyr for å ha publisert sensitive personopplysninger
Datatilsynet har gitt fire kommuner overtredelsesgebyr på mellom kr 75.000 og 150.000.
Norske kommuner benytter seg i økende grad av muligheten til å legge ut dokumenter i fulltekst, slik offentlighetsforskriften åpner for. Dette skjer vanligvis ved at postlisten publiseres på kommunens hjemmeside, med en lenke til de dokumentene som kommunen velger å legge ut i fulltekst. På denne måten får de som er interessert i å lese dokumentene direkte tilgang til disse, uten å måtte begjære innsyn i dokumentet. Kommunen på sin side behøver da ikke å bruke ressurser på å saksbehandle innsynsbegjæringer for disse dokumentene.
Fulltekstpublisering av dokumenter på internett forutsetter imidlertid at kommunene har gjort risikovurderinger i forkant, at de har etablert gode rutiner og gitt medarbeidere nødvendig opplæring. Dette må gjøres for å redusere risikoen til et minimum for at dokumenter med sensitive personopplysninger blir publisert.
- Årdal kommune ilegges et overtredelsesgebyr kr 150 000 for å ha publisert et dokument som inneholdt helseopplysninger om tjenestemottakere innen helse- og sosialsektoren,
- Harstad kommune ilegges et overtredelsesgebyr kr 100 000 for å ha publisert en epost i fulltekst som inneholdt helseopplysninger,
- Os kommune (i Hordaland) ilegges et overtredelsesgebyr kr 100 000 for å ha publisert et dokument tilhørende en barnevernssak,
- Askvoll kommune ilegges et overtredelsesgebyr kr 75 000 for å ha publisert et dokument tilhørende en personalsak.
Datatilsynet har gjennom mange tilsyn i kommunesektoren erfart at etterlevelse av bestemmelsene om internkontroll og informasjonssikkerhet er en utfordring i kommunesektoren. Da skjer lett feil, slik det har gjort i disse fire kommunene.
Datatilsynet oppfordrer kommuner og andre offentlige etater til å sette inn funksjonalitet i sine postlister som verner mot søk fra eksterne søkemotorer. Dette vil kunne redusere spredningen og dermed også konsekvensen av feilpubliseringer.
Les hele saken og de enkelte gebyrvedtakene på Datatilsynets nettsider »