Fylkesmannen anonymiserte ikke elevene i sensitiv rapport: Jusprofessor: – Bruken av elevenes navn er kilden til alt det gale som har skjedd etterpå

Utdanning har avdekket hvordan Fylkesmannen i Oslo og Viken la ut to dårlig sladdete tilsynsrapporter på internett. En av dem inneholdt svært sensitive opplysninger om navngitte elever i forbindelse med en overgrepssak. Sladde-svikten førte til at disse elevene ble identifisert gjennom søk på navnene deres i Google.

De berørte foreldrene i saken reagerer på at Fylkesmannen brukte navn på elevene i tilsynsrapporten i utgangspunktet.

– Denne rapporten har helt sikkert sirkulert blant flere i usladdet versjon, sier faren til en av elevene som er navngitt i rapporten.

Ifølge faren var sønnen en av varslerne i overgrepssaken. Han lurer nå på hvor mange og hvem som har sett rapporten i utgangspunktet.

Flere eksperter innen jus og personvern reagerer også på at elevene ikke var anonymisert.

– Bruken av elevenes navn i rapporten er selve kilden til alt det gale som har skjedd etterpå, sier Dag Wiese Schartum. Han er jusprofessor ved Senter for rettsinformatikk ved Universitetet i Oslo med ekspertfelt innen personvern og forvaltning i det digitale samfunn.

Les hele saken om sladde-svikten hos Fylkesmannen:

Sladdet dokumenter for dårlig: Elever ble navngitt på Google i overgrepssak

– Bruk av navn krever konkret begrunnelse

Han synes det er viktig å få fram at hele saken kunne vært unngått om Fylkesmannen i utgangspunktet hadde fulgt dataminimeringsprinsippet, som er en del av personvernforordningen (GDPR).

– Det innebærer at du ikke skal ta med mer personopplysninger enn det som er nødvendig for formålet. I en sak som dette betyr det at man ikke burde brukt personnavn i rapporten i utgangspunktet, dersom det ikke var helt nødvendig, sier Schartum.

Han sier det i så fall krever en konkret begrunnelse for hvorfor.

Samtidig understreker han at dette er lett å påpeke i ettertid, og at det kan være vanskelig å vite at det er et rettslig krav. Men først og fremst tror han det handler om at mange har med seg et gammelt tankesett fra en enklere verden med papirdokumenter og mindre digitalisering.

– Teknologien gjør nå at skadepotensialet ved slike feil er mye større. Hadde man i dette tilfellet vært mer bevisst hvilken katastrofe en feil kunne ha for noen unge mennesker, ville man dobbeltsjekket og trippelsjekket at alt var i orden, sier Schartum.

– Viser hvor lett det er å gå på en smell

Også advokat Thea W. Totland hos Barneadvokatene reagerer på identifiseringen i rapporten. Hun sier hun selv jobber med et granskningsoppdrag nå, og da anonymiserer de barna gjennom å kalle dem barn A, B, C og så videre.

– Man må være bevisst at man ikke bruker navn mer enn absolutt nødvendig. Man skal være forsiktig, og denne saken viser hvor lett det er å gå på en smell, sier Totland.

Også Jan Sandtrø, som er advokat med ekspertise innen personvern og teknologi, mener det virker unødvendig å bruke elevens navn i en slik rapport. Men han tar forbehold om at han ikke har lest rapporten.

Fra sprettert til skarpe våpen

Jusprofessor Dag Wiese Schartum sier det er fullt forståelig at menneskelige feil kan skje, men at det da må være systemer som fanger det opp før det får konsekvenser.

– Vi må jo alle innrømme at vi kunne ha gjort slike feil selv. For utviklingen på dette feltet stiller veldig høye krav til oss, sier Schartum.

– Det er som om man tidligere gikk rundt med spretterter, og så ble de plutselig byttet ut med skarpe våpen uten at man la merke til det, sier han.

Tror det blir bot til Fylkesmannen

Schartum sier det er liten tvil om at feilen fra Fylkesmannen er alvorlig og et brudd på personvernforordningen (GDPR). Han tror det kommer til ende med overtredelsesgebyr fra Datatilsynet.

– Man bør reagere med overtredelsesgebyr i en sammenheng som denne, sier Schartum.

I personvernforordningen står det at et gebyr skal stå i rimelig forhold til overtredelsen, men at det også skal virke avskrekkende.

– Beskjeden er nokså klar om at det skal gis et tydelig signal, ikke bare overfor dem som står bak bruddet, men også overfor alle andre som håndterer personopplysninger, om at her må man endre praksis, sier Schartum.

Han mener de berørte i denne saken også kan ha rett til erstatning.

– Erstatning kan gjelde både materiell og ikke-materiell skade. De kan altså ha krav på erstatning for belastningen det har vært at dette har skjedd, sier Schartum.

Fylkesmannen hadde ikke sikkert verktøy for sladding av elektroniske dokumenter før 2019

– Viktig ikke å hausse opp skadepotensialet

Det tok over to uker fra de ble klar over personvernbruddet til Fylkesmannen i Oslo og Viken kontaktet de berørte. Det skjedde først etter at Utdanning hadde kontaktet foreldrene om saken. Nå har foreldrene fått tilbud om et møte med Fylkesmannen.

Schartum mener det virker ganske klart at Fylkesmannen i denne saken burde varslet de berørte foreldrene og barna deres raskt.

– Det kan være at Fylkesmannen har hatt en grunn til å vente, men det virker ikke sånn, sier Schartum.

Han påpeker samtidig at det også er viktig ikke å hausse opp skadepotensialet.

– Det kan gjøre skade i seg selv, om man hausser opp hvor stor skaden potensielt kan bli. Vi får jo håpe det går relativt bra, tross alt. Man skal være forsiktig med å regne med at de verst mulige konsekvensene slår til, sier han.

Vil kun svare foreldrene direkte

Utdanning har spurt avdelingsdirektør Grethe Hovde Parr hos Fylkesmannen i Oslo og Viken en rekke spørsmål om hva slags vurderinger som lå til grunn for at de brukte elevenes navn i tilsynsrapporten i utgangspunktet. Hun svarer at de bruker tid og ressurser på å gjennomgå saken internt og på å få kontakt med foreldrene.

– Flere av spørsmålene ønsker vi å svare foreldrene direkte på og ikke via media, skriver Parr i en e-post.

Hun viser til at hun ikke kan svare på enkelte av spørsmålene uten å berøre opplysninger som er unntatt offentlighet.

– Fylkesmannen har ført tilsyn med om skolen har brutt sin varslingsplikt. I anmodningen fra politiet viser de eksplisitt til at foresatte til navngitte elever skal ha meldt fra til skolen om alvorlige forhold, uten at skolen fulgte opp dette, som det fremgår av tilsynsrapporten, skriver Parr.

– Ut over dette har jeg ingen flere svar nå, avslutter hun.

Spørsmålene uten svar

Utdanning har blant annet stilt følgende spørsmål til Fylkesmannen i Oslo og Viken:

– Hvorfor vurderte dere at det var nødvendig å bruke elevnavn i rapporten i en så sensitiv sak?

– Vurderte dere dette opp mot dataminimeringsprinsippet i personvernforordningen (GDPR)?

– Foreldrene til en av ungdommene sier sønnen var en varsler i overgrepssaken. De mener navngivningen i rapporten kan utgjøre en sikkerhetsrisiko for han og forstår ikke hvorfor det ble gjort i utgangspunktet. Tok dere hensyn til denne type risiko da dere valgte å bruke navn på elevene i rapporten? Hva slags vurderinger ble gjort?

– Da dere først valgte å bruke fullt navn på elevene i tilsynsrapporten, hvorfor fikk ikke foreldrene vite noe om det?

Fylkesmannen varslet ikke de berørte om personvernbrudd: Vitner om maktarroganse, mener advokat

Personvernombudet ber alle fylkesmenn sjekke nettsidene sine etter sladde-svikten