Karmøy fikk 300.000 i bot fra Datatilsynet
Datatilsynet har ilagt Karmøy kommune et gebyr på 300.000 kroner for brudd på personopplysningssikkerheten.
Personvern: Det er ifølge Karmøy kommune ikke grunn til å tro at sensitive opplysninger er delt, kompromittert eller har kommet på avveie.
Karmøy kommune har frist til 20. januar for å påklage avgjørelsen.
Bakgrunnen for overtredelsesgebyret er at ansatte innen helse og omsorg har lagret personopplysninger i et område definert som intern sikker sone, men uten at mappene har hatt nødvendig tilgangskontroll.
I alt kan 2377 ansatte ha hatt mulighet for å innhente personsensitive opplysninger om pasienter og brukere inne på det aktuelle fellesområdet.
I realiteten er trolig tallet langt lavere. Ansatte må ha fast og egen pc med sikkerhetskort, være tilknyttet kommunalt nettverk, være stasjonert i et bygg som har sikker sone og være tilknyttet Norsk helsenett for å kunne åpne det aktuelle området med sensitive personopplysninger.
Det har ikke vært mulig å hente ut logg for antall personer som har vært inne på området i løpet av den aktuelle to-årsperioden.
Personvernombud Gisle Stødle varslet forskriftsmessig Datatilsynet om brudd på personsikkerheten etter at ansatte oppdaget avvik.
Varslet selv
– Det var Karmøy kommune som selv oppdaget brudd på personvernlovgivningen ved en intern opplæring av tilgangsstyring i sikker sone. Dette ble umiddelbart varslet, sier personvernombud Gisle Stødle. Han er personvernombud for Karmøy kommune og Haugesund kommune.
Stødle sier det alltid er alvorlig når personopplysninger potensielt har kommet på avveie, selv om det er innenfor egen organisasjon.
Da feilen ble oppdaget handlet kommunen raskt og stengte ned tilgangene. Basert på de etterfølgende undersøkelser som er gjort internt virker det som at det var svært få som hadde kunnskap om feilen og at man kunne finne opplysninger om brukere utenfor eget ansvarsområde.
– Likevel er dette en feil som vi gjerne skulle ha unngått og vi er svært opptatt av at våre innbyggere skal ha tillit til at vi ivaretar deres personopplysninger på en god måte. Kommunen har nå et økt fokus på hvor disse opplysningene hører hjemme, hvem som skal ha tilgang og at systemene skal ha sporbarhet, sier personvernombudet
Lære av feil
Karmøy kommune har i sitt svar til Datatilsynet uttalt at det ikke er grunn til å tro at sensitive opplysninger er delt, kompromittert eller brukt til andre formål.
Datatilsynet påpeker grunnleggende mangler ved internkontrollen i Karmøy kommune.
– Kommunen er opptatt av å lære av sine feil og forbedre seg. Rutiner for internkontroll i form av avvikssystem var årsaken til at feilen ble oppdaget og kommunen har hatt slike rutiner siden innføringen av GDPR.
– Samtidig er rutinene for hvor en lagrer personopplysninger og hvem som skal opprette saksmapper og styre tilganger på kommunens sikre sone skjerpet, sier Stødle.
– Det er også viktig å presisere at ansatte i Karmøy kommune har taushetsplikt og at helsepersonell også har et forbud mot å skaffe seg informasjon om pasienter som de ikke har behov for i sitt arbeid med pasienten, sier han.
Stødle ønsker nå å benytte denne saken som læring i kommunen og ønsker at oppmerksomheten vil gi personvernsarbeidet et enda større fokus i kommunen.
Dette melder Karmøy kommune.
