Rutinesvikt: OsloMet har brutt personvern

En klage til diskrimineringsnemnda, en tvilsmelding om en navngitt student, vedtak om pleiepenger for en ansatt, samt et dokument om lønnsendringer hos ansatt: Dette er fire saker der OsloMet har brutt reglene for personvern. I de tre første sakene er det utlevert navn, telefonnummer, mailadresse eller annen informasjon som gjør personen identifiserbar. I dokumentet om lønnsendringene er personens fulle personnummer blitt eksponert. 

Enkelt å fjerne sladd 

Journalen oppdaget feilen etter å ha fått innsyn i en rekke dokumenter i OsloMet sine postjournaler. Det personsensitive innholdet hadde blitt dekket til, men i de fire overnevnte sakene hadde derimot OsloMet slurvet i rutinen for sladding.

I en av sakene kunne en lett trykke på sladden og fjerne den med «delete»-knappen, mens i de tre andre fikk en opp all informasjon ved å kopiere innholdet til et annet dokument. De fire dokumentene ble behandlet av hver sin saksbehandler, så det var altså ikke bare én ansatt som hadde gjort samme feil.

– Ubehagelig om informasjonen kommer i feil hender

Journalen har vært i kontakt med en av de berørte personene, som er fortvilet over at OsloMet ikke har gjort en grundig nok jobb i behandlingen av hennes dokumenter. 

– Selve innholdet i dokumentene synes jeg det er bra at offentligheten kan lese, men at navnet mitt ikke er ordentlig sladdet bort synes jeg er skummelt. Personvernet er der av en grunn, sier hun. 

Hun forteller videre at hun er glad feilen er blitt oppdaget, slik at OsloMet ikke gjør en lignende feil igjen. OsloMet har bekreftet at Journalen er den eneste som har hatt innsyn i saken, men hun synes fortsatt det er skummelt at hvem som helst kunne ha fått tak i dette. 

– Det er ubehagelig at denne informasjonen kunne ha kommet i feil hender. Det finnes mange uredelige personer som kunne ha misbrukt dette.

Saken fortsetter under bildet. 

Kan i verste fall føre til identitetstyveri 

– Personvernbrudd er prinsipielt uheldig for den berørte personen fordi det skjer et tillitsbrudd når opplysninger som skal behandles konfidensielt deles med uvedkommende, sier Grete Alhaug fra Datatilsynet. 

Hun sier hun ikke kan kommentere denne konkrete saken, men forteller at brudd på personvern kan være belastende for den berørte når private opplysninger deles med andre enn de som har god grunn for å behandle slike opplysninger. 

– I verste fall kan slike opplysninger på avveie benyttes i forbindelse med identitetstyveri, sier hun. 

– En menneskelig glipp 

Da Journalen ba om en kommentar fra Curt Rice om personvernbruddet, ble vi videresendt av hans PR-rådgiver til seksjon for dokumentasjons- og informasjonsforvaltning. 

– Dette er svært beklagelig og burde ikke ha skjedd. Vi har gjennomgått våre systemer for å utelukke teknisk svikt, og i disse sakene har det dessverre skjedd en menneskelig glipp, sier Lars Eirik Vorland, seksjonssjef for avdelingen. 

Han forklarer at dokumenter som krever sladding egentlig skal lagres på nytt som bildefil (JPEG), slik at muligheten til å redigere i bildet senere forsvinner. Det er altså dette som ikke har blitt gjort i disse tilfellene. 

– For å sikre oss at dette ikke skal skje igjen har vi nå valgt å legge inn en siste manuell gjennomgang av dokumentene før de sendes ut til mottaker, sier Vorland.