– Hvis dette ikke får noen følger for Fylkesmannen, slipper de altfor lett unna, sier faren til en av elevene som ble rammet. Foto: Jørgen Jelstad.
– Hvis dette ikke får noen følger for Fylkesmannen, slipper de altfor lett unna, sier faren til en av elevene som ble rammet. Foto: Jørgen Jelstad.

Sladde-svikten hos Fylkesmannen kan ende med bot

Datatilsynet har hatt en enorm økning i avviksmeldinger. Flere har handlet om dårlig sladding av dokumenter. Sladde-svikten hos Fylkesmannen i Oslo og Viken kan ende med bot.

Publisert   Sist oppdatert

Utdanning har avdekket hvordan Fylkesmannen i Oslo og Viken la to dårlig sladdete tilsynsrapporter ut på nett.

En av rapportene inneholdt svært sensitive opplysninger om navngitte elever i forbindelse med en sak om seksuelle overgrep. Det førte til at et navnesøk på Google var alt som skulle til. Da fikk man vite at elevene var varslere eller fornærmede i en overgrepssak.

Den andre dårlig sladdete rapporten inneholdt også en rekke sensitive opplysninger knyttet til en annen sak som har fått mye medieomtale.

Ifølge Fylkesmannen i Oslo og Viken er det «menneskelig svikt» som ligger bak personvernbruddet. De har meldt inn saken til Datatilsynet som nå vil behandle den.

Bekymringer i Datatilsynet

I Datatilsynet har de behandlet flere saker om dårlig sladding av personopplysninger.

– Men kanskje ikke med så alvorlige konsekvenser som saken Utdanning har avdekket, skriver Camilla Nervik, seksjonsleder ved Seksjon for offentlige tjenester i Datatilsynet, i en e-post.

Hun understreker at de ikke har behandlet saken ennå, og at hun derfor uttaler seg basert på det som har kommet fram i mediedekningen.

Datatilsynet har bekymringer knyttet til at slike dokumenter digitaliseres i økende grad. Nervik sier det handler om forståelse for teknologien, og at dette er en ny form for risiko som må håndteres på en skikkelig måte.

Dette er saken

* Fylkesmannen i Oslo og Viken publiserte to tilsynsrapporter som var så dårlig sladdet at man enkelt fikk fram svært sensitive personopplysninger.

* Et Google-søk identifiserte mindreårige som var avhørt som vitner eller fornærmede i en etterforskning av seksuelle overgrep.

* I rapporten kunne man også lese om diagnoser, atferdsproblemer og personkarakteristikker.

* En av elevene var varsler i overgrepssaken. Foreldrene mener svikten kan utgjøre en sikkerhetsrisiko for han.

* Rapportene lå ute i over ett år.

* To uker etter at Utdanning varslet Fylkesmannen om svikten, hadde de fremdeles ikke kontaktet de berørte.

– Det er klart at dette kan løses på en trygg nok måte, men det krever og forutsetter teknisk innsikt og kunnskap om hva løsningene innebærer, skriver Nervik.

Utdanning har tidligere fortalt at det var først i 2019 at fylkesmennene har fått et felles verktøy for sikker sladding av elektroniske dokumenter.

Kan ende med bøter

I hele 2018 fikk Datatilsynet inn 1275 avviksmeldinger om håndtering av persondata. Fram til november i år har de allerede mottatt 1743 avviksmeldinger. I 2017 var antallet kun 349. Mye av økningen er knyttet til innføringen av de nye GDPR-reglene om behandling av persondata.

– Vi har hatt en enorm økning i antall meldinger til oss, skriver Nervik.

Camilla Nervik i Datatilsynet. Foto: Ilja Hendel.
Camilla Nervik i Datatilsynet. Foto: Ilja Hendel.

Hun forklarer at meldinger som utgjør lovbrudd kan følges opp med alle virkemidlene Datatilsynet har, inkludert bøter.

– Mange av sakene avsluttes raskt, noen gjøres det grundigere undersøkelser i, og noen har endt opp med overtredelsesgebyr fra oss, skriver Nervik.

Hun sier reaksjonen avhenger av hvor alvorlig de vurderer at avviket er, hvilke mennesker det rammer og hvilke typer opplysninger det dreier seg om.

– Hva som blir reaksjonen i dette konkrete tilfellet, må vi komme tilbake til når saken er ferdig behandlet hos oss, skriver Nervik.

– Må sette seg inn i situasjonen til de som kan bli rammet

Også Hans Marius Tessem, seniorrådgiver ved Norsk senter for informasjonssikring, har sett flere eksempler på saker hvor den tekniske kompetansen knyttet til sladding av elektroniske dokumenter har vært lav.

– Vi har sett eksempler på steder hvor det har skjedd feil gjentatte ganger, sier Tessem som leder tjenesten slettmeg.no. Han sitter også i Personvernnemnda.

– Menneskelig svikt vil av og til skje, men det er enda mer problematisk i de tilfellene hvor dårlig systematikk og rutiner ser ut til å ligge bak, sier Tessem.

Han sier de som behandler slike data i langt større grad må evne å sette seg inn i situasjonen til de som kan bli rammet av dårlig håndtering av sensitive opplysninger.

– Da ville man behandlet denne type informasjon langt mer varsomt, sier Tessem.

Han understreker at når noe først er lagt ut på nett, har man ingen garanti for å kunne få det bort.

– Det er en dårlig strategi å tro at du kan fjerne ting etter det er lagt ut på nett. Den vurderingen må du gjøre før du legger ut noe, sier Tessem.

Slik avdekket Utdanning sladde-svikten

I forbindelse med en annen sak søkte vi på navnet til en skoleleder. Da dukket tilsynsrapporten opp i søketreffet fra Google.

Underteksten til søketreffet inneholdt skolelederens navn og tekst fra tilsynsrapporten.

Vi åpnet pdf-filen og søkte etter skolelederens navn. Vi fikk treff, men navnet var svartsladdet. Da forsto vi at dokumentet var dårlig sladdet, og at teksten lå tilgjengelig under sladden.

Vi merket den sladdete teksten og limte den inn i Word. Dermed kunne vi lese hele rapporten, som viste seg å inneholde svært sensitive personopplysninger om navngitte elever.

Teksten ble indeksert av Google og dukket derfor opp hvis man søkte på navnene i rapporten.