Sladdet dokumenter for dårlig: Elever ble navngitt på Google i overgrepssak

Et navnesøk på elevene i Google var alt som skulle til. Da fikk man vite at de var varslere eller fornærmede i en overgrepssak. I over ett år lå det ute via Fylkesmannen i Oslo og Vikens nettsider.

Publisert Sist oppdatert

– Jeg har nesten ikke ord. Alle disse opplysningene som ligger her. Det kunne ha skapt kjempeproblemer for sønnen min senere i livet, sier moren til en av de berørte elevene.

Utdanning møter mødrene til to av de navngitte elevene ved kjøkkenbordet hjemme hos en av dem. De kjenner hverandre godt. Nå får de for første gang lese hva som har ligget ute på internett om sønnene deres, publisert av Fylkesmannen.

– Det er forferdelig at dette har ligget ute på internett. Det kan jo dukke opp igjen, sier en av mødrene og rister på hodet.

På bordet står kaker hun har bakt til jul. Utenfor glitrer det i snøen på grantrærne. De to mødrene stirrer ned i dokumentene som ble lagt ut på internett for over ett år siden. Fylkesmannen trodde de hadde gjort en god jobb med å sladde de svært sensitive opplysningene. Men det hadde de ikke.

Dette er saken

* Fylkesmannen i Oslo og Viken publiserte to tilsynsrapporter som var så dårlig sladdet at man enkelt fikk fram svært sensitive personopplysninger.

* Et Google-søk identifiserte mindreårige som var avhørt som vitner eller fornærmede i en etterforskning av seksuelle overgrep.

* I rapporten kunne man også lese om diagnoser, atferdsproblemer og personkarakteristikker.

* En av elevene var varsler i overgrepssaken. Foreldrene mener svikten kan utgjøre en sikkerhetsrisiko for han.

* Rapportene lå ute i over ett år.

* To uker etter at Utdanning varslet Fylkesmannen om svikten, hadde de fremdeles ikke kontaktet de berørte.

Alle de tre elevene som er navngitt i tilsynsrapporten har hatt vanskelige perioder på skolen. Perioder de ønsker å legge bak seg. De berørte elevene i denne saken er informert om at foreldrene møter Utdanning, og hva saken gjelder.

– Da sønnen min fikk høre om dette, var det første han tenkte: Tenk om arbeidsgiveren min har sett det. Han ble helt svart i øynene, sier en av mødrene.

– Jeg hadde ikke i mine villeste fantasier tenkt at det sto så mye personlige opplysninger her, sier den ene moren når hun får rapporten.

– Diagnoser og personkarakteristikker

Noen år tilbake, et sted på Østlandet, pågikk en etterforskning som involverte en rekke elever ved en skole. Saken handlet om seksuelle overgrep, og den endte til slutt med at en person ble dømt. I forbindelse med etterforskningen sendte politiet en anmodning til Fylkesmannen i Oslo og Viken om å gjennomføre et tilsyn med skolen for å se om de fulgte opp elevene på en tilfredsstillende måte.

I tilsynsrapporten navngir Fylkesmannen tre elever som hadde vært inne til avhør i politiets etterforskning. De omtaler en rekke svært sensitive opplysninger i rapporten:

  • At elevene var avhørt som vitner eller fornærmede i en sak om seksuelle overgrep.
  • Diagnoser og spesialundervisning.
  • Opplysninger om atferdsproblemer og informasjon fra foreldresamtaler.
  • I tillegg kommer det til uttrykk personkarakteristikker, særlig knyttet til én av elevene.

Google-søk identifiserte elevene

Fylkesmannen i Oslo og Viken hadde lagt en sladdet tilsynsrapport ut på sine nettsider som en pdf-fil. De sensitive opplysningene var imidlertid så dårlig sladdet at man enkelt fikk opp hele teksten ved å kopiere den over i Word.

Sladde-blemmen medførte at alt fra rapporten ble plukket opp av søkemotorene på internett. Gjennom Google-søk på elevenes navn fikk man opp at de var involvert i en sak om seksuelle overgrep.

De tre elevene var ikke selv ofre for seksuelle overgrep, men de var inne til politiavhør i forbindelse med saken. En klønete formulering i rapporten ble imidlertid plukket opp i Google-søketreffet og fikk det til å fremstå som om to av elevene var ofre for overgrep, selv om det ikke var tilfellet.

Dette var blant treffene man fikk opp da man søkte på navnet til to av elevene i rapporten. Under sladden her sto de med fullt navn.

Den samme sladde-svikten gjaldt en annen rapport fra samme fylkesmannsembete. Den omhandlet en sak som har fått mye medieomtale. Her var det ikke navngitt elever, men det sto like fullt en rekke sensitive opplysninger i tilknytning til saken.

Begge tilsynsrapportene har ligget ute på internett i over ett år.

Fylkesmennene er statens forlengede arm ut i kommunene og skal kontrollere at lovverk blir fulgt. Som de selv skriver på sine nettsider, skal de «sørge for rettssikkerheten for den enkelte innbygger».

Hva skjer når fylkesmannen selv står bak et lovbrudd?

– Har offentliggjort vår sønns navn som varsler

Inn dørene på en kafé på Østlandet kommer moren til den tredje eleven som er navngitt i tilsynsrapporten. Hun hilser, smiler forsiktig, og setter seg ned på pinnestolen ved et bord langs veggen.

I dette tilfellet gjør personenes alder det ekstra graverende.

Hans Marius Tessem i slettmeg.no

Foreløpig har hun kun fått et omriss av hva saken dreier seg om på telefon. Nå får hun se opplysningene som er lagt ut om sønnen for første gang. Hun leser raskt. Rister på hodet.

– Dette er helt vanvittig, sier hun.

Hun kikker opp fra dokumentene.

– Hva gjorde dette ute på nettsidene til Fylkesmannen?

Dette er et grovt overtramp som de ikke aner konsekvensene av.

Far til en av elevene.

Senere samme dag sitter hun og faren til gutten i leiligheten til en av dem. Opplysningene har begynt å synke inn.

– Det er et ekstremt alvorlig brudd på personvernet. Så mye personlig informasjon som har ligget ute, sier moren.

Slik avdekket Utdanning sladde-svikten

I forbindelse med en annen sak søkte vi på navnet til en skoleleder. Da dukket tilsynsrapporten opp i søketreffet fra Google.

Underteksten til søketreffet inneholdt skolelederens navn og tekst fra tilsynsrapporten.

Vi åpnet pdf-filen og søkte etter skolelederens navn. Vi fikk treff, men navnet var svartsladdet. Da forsto vi at dokumentet var dårlig sladdet, og at teksten lå tilgjengelig under sladden.

Vi merket den sladdete teksten og limte den inn i Word. Dermed kunne vi lese hele rapporten, som viste seg å inneholde svært sensitive personopplysninger om navngitte elever.

Teksten ble indeksert av Google og dukket derfor opp hvis man søkte på navnene i rapporten.

Foreldrene forteller at sønnen var en av dem som sa fra om hva som foregikk og dermed bidro til at overgriperen ble stoppet og senere dømt. På bordet ligger et brev fra Kriminalomsorgen. Den dømte overgriperen skal ut på permisjon. Da blir de varslet.

«Under permisjonen skal innsatte ikke oppsøke eller på annen måte ta kontakt med deg som fornærmet i straffesaken», står det i brevet. Den straffedømte vet ikke at sønnen deres var en av varslerne da han ble pågrepet og dømt.

– At Fylkesmannen gjennom dette har offentliggjort vår sønns navn som varsler, kan innebære en sikkerhetsrisiko for han. Dette er et grovt overtramp som de ikke aner konsekvensene av, sier faren.

To uker har gått siden personvernbruddet ble kjent for Fylkesmannen. Foreldrene har ennå ikke fått vite noen ting.

– Alvorlige konsekvenser

I Datatilsynet karakteriserer de svikten som kjempealvorlig for dem det gjelder.

– Hvis de har fortalt sensitive ting under løfte om konfidensialitet, og så blir det lagt ut uten ordentlig sladding, er det veldig alvorlig, sier Camilla Nervik, seksjonsleder ved Seksjon for offentlige tjenester i Datatilsynet.

Hun sier feilen åpenbart har store konsekvenser for de berørte. Fylkesmannen plikter å melde avvik til Datatilsynet, noe de har gjort.

– Så vil vi vurdere hva vi gjør videre, sier Nervik.

Etter Utdanning varslet Fylkesmannen i Oslo og Viken om saken, ble begge rapportene fjernet fra internett. Opplysningene er også fjernet fra søkemotorene. Utdanning har fått sikkerhetseksperter fra tjenesten slettmeg.no til å gjøre det de kan for å finne de fjernede opplysningene, og de har ikke vært i stand til det.

– Dette er en svært alvorlig sak, sier Hans Marius Tessem når han får høre hva som har blitt lagt ut, særlig når det gjelder rapporten hvor elever er navngitt i tilknytning til en overgrepssak.

Han er seniorrådgiver ved Norsk senter for informasjonssikring og leder tjenesten slettmeg.no. Han sitter også i Personvernnemnda. Tessem sier denne type personopplysninger har de strengeste kravene til behandling.

– I dette tilfellet gjør personenes alder det ekstra graverende, ettersom barn og unge er en spesielt sårbar gruppe, sier han.

Han sier at når noe først har vært lagt ut på nett, finnes ingen garantier for å få fjernet det helt.

– I dette tilfellet kan noen også ha lastet ned pdf-filen mens den har ligget ute. Da er den fortsatt på avveie, sier Tessem.

Camilla Nervik i Datatilsynet sier svikten er veldig alvorlig. Foto: Ilja Hendel.

Han sier de som behandler slike data i langt større grad må evne å sette seg inn i situasjonen til de som kan bli rammet av dårlig håndtering av sensitive opplysninger.

– Da ville man behandlet denne type informasjon langt mer varsomt, sier Tessem.

Så hva skjedde egentlig hos Fylkesmannen i Oslo og Viken da de la sensitive opplysninger ut på internett?

– Menneskelig svikt

– Dette skulle ikke kunne skje, men det har skjedd. Vi kan ikke late som det ikke har skjedd eller at noen andre er skyld i det. Dette er mitt ansvar, sier Grethe Hovde Parr, avdelingsdirektør for Barnehage- og utdanningsavdelingen ved Fylkesmannen i Oslo og Viken.

Hun leder avdelingen som har lagt ut de to tilsynsrapportene. Dette intervjuet ble gjort fire dager etter Utdanning varslet henne om hva som hadde skjedd.

– Dette er en menneskelig svikt. For rutinene våre er helt klare, sier Parr.

Hun understreker at de fra våren 2019 har brukt sikker programvare for å sladde dokumenter. Før var rutinen at man skulle skrive ut dokumentet og sladde for hånd. Deretter skulle dokumentet skannes inn igjen, før det ble sendt elektronisk.

På spørsmål om de ved sladding av så sensitive personopplysninger, har hatt en rutine for at sladdingen skal kontrolleres gjennom to ledd, svarer hun nei.

– Vi trodde at når rutinen var så klinkende klar at du måtte ta ut en papirkopi og skanne den inn igjen, skulle det være hundre prosent sikkert, sier Parr.

– Har dere grunn til å tro at dårlig sladding gjelder mer enn de to rapportene vi fant?

Grethe Hovde Parr. Foto: Jørgen Jelstad.

– Nei, jeg har ikke grunn til å tro det. Men i og med at det kunne skje med to rapporter, kan jeg ikke garantere at det ikke har skjedd. Hvis du hadde spurt meg, uten å ha funnet disse to rapportene, hadde jeg sagt at «nei, det kan ikke skje, for vi har en rutine», sier Parr, som understreker at de nesten aldri publiserer sladdede dokumenter.

Hun sier de nå gjennomgår rutinene på nytt. De vil også følge opp med mer kursing av de ansatte, og Fylkesmennenes fellesadministrasjon vil bringe saken videre til de andre fylkesmennene.

– Vi er veldig lei oss for at dette har skjedd, og vi følger opp slik at det ikke skal skje igjen.

– Klarer du å ta inn over deg hvor mye dette kan ha å si for en ungdom som har denne type opplysninger om seg selv liggende ute på nett?

– Jeg tror at jeg klarer det, sier Parr.

Hun tar en kort pause i intervjuet, lener albuene på bordet.

– Ja, jeg tror at jeg klarer det.

– Fylkesmannen har ikke snakket med oss engang

De to mødrene som sitter ved kjøkkenbordet og blar i dokumentene, har ikke kjent til noe av det som står i tilsynsrapporten. Det til tross for at sønnene deres er navngitt med en rekke sensitive opplysninger, som diagnoser og omtale av forhold på skolen.

– Jeg hadde ikke i mine villeste fantasier tenkt at det sto så mye personlige opplysninger her, sier den ene moren.

Hun reagerer også på det hun mener er en rekke faktafeil i rapporten, beskrivelser av sønnen og hendelser de ikke kjenner seg igjen i.

– Og Fylkesmannen har ikke snakket med oss engang, sier hun.

Ingen av mødrene ble kontaktet i forbindelse med tilsynet den gang.

– Vi har hatt så mye frustrasjoner med alt som har skjedd opp mot skolen. Og så kommer dette på toppen, at de har lagt dette ut på nett, sier den andre moren.

De er veldig glade for at det er oppdaget og fjernet. De synes det er vanskelig å forstå hvordan dette kan ha skjedd.

Man skulle tro fylkesmannen var den trygge delen i systemet oppe i alt vi har vært gjennom. Men så var de ikke det.

Mor til en av elevene.

– Når vi kontakter skolen, for eksempel for å melde fravær, får vi ikke lov til å bruke navnet på barnet vårt. Så strenge er de med personvernet. Men fra Fylkesmannen legger de dette rett ut på internett, sier den ene moren.

­– Og man kan stille spørsmål ved hvorfor de har brukt navn på elevene i rapporten i utgangspunktet, sier hun.

De to har hatt mange kamper med systemet for å følge opp barna sine.

– Man skulle tro Fylkesmannen var den trygge delen i systemet oppe i alt vi har vært gjennom. Men så var de ikke det, sier hun.

To uker etter at Fylkesmannen ble varslet om svikten har ingen av mødrene hørt noe fra dem.

– Det er nesten det verste. At vi ikke har fått vite dette. Det er helt uakseptabelt at vi ikke har fått beskjed. Nå må vi bare håpe det ikke får konsekvenser for noen av guttene våre, sier en av mødrene.

Grethe Hovde Parr. Foto: Jørgen Jelstad.

– Viktigere at vi er kloke i det vi gjør

Datatilsynet skriver følgende om plikten til å informere: «De som er berørt av et avvik, altså de som har fått personopplysninger på avveier, skal informeres dersom det er sannsynlig at det vil medføre en høy risiko for deres rettigheter og friheter. Dette skal skje så raskt som mulig.»

– Vi synes det er vanskelig å vite om vi skal vurdere dette som kritisk og svært alvorlig for dem som er berørte. Derfor har vi bedt Datatilsynet om råd, sier Parr. På tidspunktet for intervjuet hadde heller ikke Utdanning vært i kontakt med de berørte ennå.

Parr peker på at de har fått fjernet alt fra internett, og at de ikke har grunn til å tro at de berørte har visst at det har ligget ute.

– Da tror jeg de hadde kontaktet oss, sier Parr.

Hun mener de må vurdere om det er til barnas beste å informere om svikten, fordi det kan være en belastning for dem å vite at dette har ligget ute.

– Det høres ut som en bekvemmelig grunn for dere til å slippe å ta kontakt?

– Jeg har ikke sagt at vi ikke skal ta kontakt, jeg har sagt at vi har bedt om råd. Da vil vi gjerne høre hva de rådene er først.

– Burde dere ikke fått det rådet ganske raskt?

– I og med at dette har ligget ute, antageligvis i mange år, tenker jeg det er viktigere at vi er kloke i det vi gjør, enn at dette må skje over natta.

– Men dere vurderer det slik, at det er et alternativ å ikke ta kontakt med de berørte?

– Jeg er ikke sikker på om det er et gode i forhold til dette med personvern. Personvern er vel å ivareta folk. Er det en ivaretakelse at de får vite om at dette har ligget ute?

– Hvis de allerede vet det da? Det kan vel ikke dere vite?

– Nei, men jeg er interessert i å vite om det finnes noen regler for at vi skal kontakte dem. Og da må vi forholde oss til disse reglene. Hvis det ikke finnes regler, må vi gjøre en vurdering ut fra hva vi mener er best. Og da vil jeg rådføre meg med juristene.

Hun gjentar flere ganger at de ikke har konkludert ennå.

– Det kan godt hende konklusjonen blir at vi skal informere. Og så er spørsmålet på hvilken måte vi da skal informere, sier Parr.

– Bagatellisering av hele hendelsen

Da Utdanning senere kontakter faren til en av elevene, blir han opprørt over at det er mulig å gjøre en så alvorlig feil med denne type opplysninger. Når han får se hva Fylkesmannen i Oslo og Viken svarer om svikten, synes han det framstår som om de bagatelliserer hele hendelsen.

– Og det er helt utrolig at jeg som far blir gjort oppmerksom på dette fra en journalist. Jeg har ikke hørt noe fra Fylkesmannen. Det er ganske oppsiktsvekkende, skriver han i en e-post.

Vurderingen til Fylkesmannen i Oslo og Viken faller heller ikke i god jord hos eksperter på personvern.

– De berørte skal varsles

Man trenger ikke være jurist for å skjønne at kombinasjonen i denne saken, med denne type alvorlige opplysninger om barn og mulighet til å finne det i søkemotorer, det medfører høy risiko.

Jan Sandtrø, advokat.

– Dette høres virkelig ikke bra ut, sier Jan Sandtrø etter å ha fått forklart saken på telefon.

Han er jurist med ekspertfelt innen personvern og teknologi og sier utgangspunktet i en slik sak er å varsle de berørte uten ugrunnet opphold.

– Det betyr at det skal normalt skje før Datatilsynet varsles, sier han.

Ifølge personvernlovgivningen skal berørte varsles, hvis det er sannsynlig at bruddet medfører høy risiko for personvernet deres.

– Man trenger ikke være jurist for å skjønne at kombinasjonen i denne saken, med denne type alvorlige opplysninger om barn og mulighet til å finne det i søkemotorer, det medfører høy risiko, sier Sandtrø.

Han understreker at bruddet har skjedd, uavhengig av om man har fått fjernet sporene fra nettet i ettertid.

– Fylkesmannen sier de må vurdere om det å få vite om dette, vil være å påføre de berørte en tilleggsbelastning – altså at man gjør vondt verre?

– Det er ikke opp til dem å vurdere. Det er ikke noe som gir unntak fra å varsle etter loven, sier Sandtrø.

– Har de berørte noen mulighet til å ta denne saken videre, når de får vite hva som har skjedd?

– Ja, de kan kreve erstatning etter personvernforordningen. Det er ikke noe krav at de må ha hatt tap eller lignende tilknyttet saken. De kan kreve erstatning for tort og svie.

– Da er vel det også et argument for at de skal varsles?

– Ja, det er riktig. Hvis man ikke varsler, får ikke de berørte mulighet til å utøve sine rettigheter, herunder kreve erstatning. De vil heller ikke kunne sette i verk tiltak for å begrense eventuelle konsekvenser av bruddet for egen del, sier Sandtrø.

– Fylkesmannen må selv gjøre en vurdering

Hans Marius Tessem i Norsk senter for informasjonssikring mener også det kan være et nytt lovbrudd fra fylkesmannens side, hvis de ikke informerer de berørte.

Leder for Personvernnemnda, Mari Bø Haugstad, ønsker ikke å uttale seg bastant etter å ha fått noen få opplysninger om hva det gjelder via sms. Hun svarer at det ut fra beskrivelsen synes «naturlig også å varsle barnas foreldre», men at Datatilsynet er rett instans til å vurdere det.

Seksjonsleder Camilla Nervik i Datatilsynet forklarer at deres behandlingstid i slike saker er lang. Hun understreker at Fylkesmannen selv har ansvar for å gjøre en selvstendig vurdering av om berørte skal kontaktes, og at dette er en separat sak fra avviksmeldingen de har sendt Datatilsynet.

Hos Fylkesmannen har de valgt å vente.

– Hvem kan gi fylkesmannen bot, da?

Parr sier de ikke har undersøkt om de berørte har noen rettigheter til å ta saken videre enten i rettssystemet eller en klageinstans.

Grethe Hovde Parr. Foto: Jørgen Jelstad.

– Vi er i alle fall ikke klageinstans for noe sånt. Hvem som kan være klageinstans, vet jeg ikke. Og hvem er det som kan gi Fylkesmannen bot, da?

– Dere er vel ikke øverst i kongeriket, er dere det da?

– Nei, det var ikke det jeg mente. Men det er noe med hva slags rolle de forskjellige organene har, sier Parr.

– Kan dere ha noen form for erstatningsansvar?

– Jeg tror heller at vi kan få bot for at vi ikke har gjort det vi skulle ifølge regelverket. Men for å utløse erstatningsansvar må man vel kunne dokumentere noen form for skade som et resultat av det som har skjedd.

– Noen vil si det er skade nok at dette har ligget ute i lang tid?

– Dette har vi jurister som sikkert kan hjelpe oss med. Jeg er mer opptatt av hva vi kan gjøre for at dette ikke skal skje igjen, og ikke så mye på den biten, sier Parr.

Noen dager senere blir hun konfrontert med opplysninger om at foreldrene til en av elevene mener svikten kan ha utsatt sønnen for sikkerhetsrisiko fordi han var varsler i overgrepssaken. Parr sier at de står fast ved sine vurderinger i saken.

– Hva er den vurderingen?

Dette er utrolig følsom informasjon om ting han prøver å legge bak seg. Ting som potensielt kunne fulgt han inn i jobbsøkerprosesser og andre ting.

Far til en av elevene.

– At vi har brukt tiden på å fjerne det som var ute på internett. Nå er vi i prosess for å vurdere hva vi skal gjøre videre. Vi synes ikke vi nå skal ta en beslutning om vi skal kontakte de berørte. Vi mener vi har mer tid til å gjøre de vurderingene, sier Parr.

– Dere er ikke bekymret for at dere med den vurderingen bryter loven?

– Vi har en rolle der vi skal føre tilsyn med at andre følger regelverket, så det er klart vi er opptatt av å følge regelverket, sier Parr.

– De har jo skrevet en hel stil om sønnen min

I en leilighet i en by på Østlandet sitter foreldrene til den ene gutten som varslet i overgrepssaken. Levende lys blafrer i lysholderne på det massive trebordet i stua.

– Det er hårreisende at det er journalister som må melde fra til oss om dette, sier faren.

– Fylkesmannen sier det kan være belastende for de berørte å få vite at dette har ligget ute, og at det kan være en grunn for ikke å melde fra?

– Belastningen skjedde jo idet de la dette ut. Det får de ikke gjort noe med. Det høres ut som en måte å forsøke å slippe unna med dette. Det er provoserende, sier han.

Foreldrene reagerer også på at det i rapporten er flere negative personkarakteristikker av sønnen.

– De har jo skrevet en hel stil om sønnen min. Dette er utrolig følsom informasjon om ting han prøver å legge bak seg. Ting som potensielt kunne fulgt han inn i jobbsøkerprosesser og andre ting, sier faren.

De kan ikke forstå hvorfor Fylkesmannen ikke varslet dem umiddelbart om det som hadde skjedd, særlig med tanke på at sønnen var en varsler.

– De frarøver oss muligheten til å ta sikkerhetsforanstaltninger. Vi vet ikke så mye om den dømte gjerningspersonen. Hva slags type det er, om han er hevngjerrig eller ikke, sier faren.

Foreldrene undrer seg over hvorfor det overhodet ble brukt navn i rapporten, fordi det i seg selv kunne gi andre kjennskap til at sønnen var varsler.

– Denne rapporten har helt sikkert sirkulert blant flere i usladdet versjon, sier faren som nå lurer på hvor mange og hvem som har sett rapporten i utgangspunktet.

De mener det er ansvarsfraskrivelse å ikke informere dem.

– Noen kan ha lastet dette ned. Det kan dukke opp igjen senere. Det vet man ikke, sier moren.

Foreldrene vurderer å kontakte advokat. De frykter at svikten ikke får noen konsekvenser for kontrollmyndigheten som nå selv står bak et lovbrudd.

– Hvis dette ikke får noen følger for Fylkesmannen, slipper de altfor lett unna, sier faren.

Powered by Labrador CMS