Datatilsynets referanse: 16/00982-8/EKA

PVN-2016-14 Årdal kommune – sensitive personopplysninger i offentlig postjournal

Klage over Datatilsynets overtredelsesgebyr

Personvernnemndas avgjørelse av 21. desember 2016 (Eva I E Jarbekk, Arve Føyen, Ørnulf Rasmussen, Nina Melsom, Ann R Sætnan, Gisle Hannemyr)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage over tilsynets overtredelsesgebyr.

2 Saksgang og faktum

I brev av 23. februar 2016 skrev Årdal kommune til Datatilsynet og meldte om avvik på offentlig postjournal.
     Avviket skjedde i forbindelse med et varslet tilsyn av Fylkesmannen i Hordaland innenfor området «spesialomsorg». Det ble da oversendt dokumentasjon på 15 brukere som mottar tjenester fra Årdal kommune. Spesialomsorg omfatter tjenester som psykiatri, psykisk helsetjeneste, botilbud for personer med psykisk utviklingshemming og barneboliger med heldøgnstilbud. Dokumentasjonen ble sendt kryptert via meldingsutvekslingstjenesten «BEST» og inneholdt et generelt følgebrev og to vedlegg med underlagsdokumentasjon.
     «BEST» er en løsning som baserer seg på sikker meldingsutveksling ved bruk av sertifikater mellom forskjellige NOARK-systemer. Det benyttes WebServices for kommunikasjon internt innenfor egen organisasjon. Innholdet i eposten krypteres før det blir sendt.
     Hoveddokumentet var et generelt følgeskriv som ikke inneholdt taushetsbelagt informasjon. Begge vedleggene inneholdt imidlertid taushetsbelagte opplysninger og skulle vært unntatt offentlighet med hjemmel i offentleglova § 13. Vedlegg 1 ble unntatt offentlighet og kom ikke på postlista. Vedlegg 2 ble også besluttet unntatt offentlighet, men ble lagret på en måte som gjorde at dette ikke ble gjort gjeldende i publiseringsløsningen. Konsekvensen av dette var at dokumentene som fremgikk av postlista var tilgjengelige i klartekst via en lenke, og sensitive personopplysninger om 15 brukere med nedsatt funksjonsevne lå tilgjengelig i ett døgn for det ble oppdaget. I dokumentet var det opplysninger om fødselsnummer, kontonummer, diagnose, medisinbruk og personlige behov. Alle brukerne var over 18 år.
     At dokumentene lå offentlig tilgjengelig ble oppdaget av en journalist i Sogn Avis, som kontaktet Fylkesmannen i Hordaland, som igjen tok kontakt med kommunen. Årdal kommune har laget rutiner for kvalitetssikring av offentlig postliste på papir og på nett. Rutinene inneholder også krav om å kontrollere alle de aktive «linkene» i offentlig postliste på nettet, både hoveddokument og vedlegg.
     I telefonsamtale mellom rådmannen i kommunen og Datatilsynet den 10. mars 2016 ble det opplyst at kommunen den 8. mars 2016 hadde hatt et informasjonsmøte med alle vergene til de 15 psykisk utviklingshemmede. Kommunen har kommet til en minnelig ordning med de berørte, og disse har bekreftet at de anser seg ferdig med saken. I samtalen ba Datatilsynet også om å få tilgang til kommunens risikovurdering knyttet til publisering av postliste på nett. I brev av 15. mars 2016 ble kommunens rutiner og risikovurdering oversendt, herunder en oppdatering av arkivplan datert 16. mars 2016.
     I brev av 8. april 2016 sendte Datatilsynet kommunen et varsel om overtredelsesgebyr.
Varselet ble besvart av kommunen i brev av 25. april 2016.
     I brev av 16. juni 2016 sendte Datatilsynet vedtak om pålegg og overtredelsesgebyr til kommunen.
     Overtredelsesgebyret ble i varsel om vedtak av 8. april 2016 satt til kr 250 000, men nedjustert til kr 150 000 i vedtak av 16. juni 2016. Datatilsynets vedtak om overtredelsesgebyr:

Årdal kommune pålegges i medhold av personopplysningslovens § 46, første ledd, jf. §§ 8, 9 13 og 14 å betale et overtredelsesgebyr til statskassen, stort kroner 150.000 – etthundreogfemtitusen, for å ha behandlet personopplysninger uten behandlingsgrunnlag, jf. §§ 8 og 9, og uten å etablere tilfredsstillende tiltak for a hindre uautorisert tilgjengeliggjøring i personopplysninger hvor konfidensialitet er nødvendig, jf. forskriften § 2-11, og for ikke å ha gjennomført risikovurdering for å klarlegge sannsynligheten for, og konsekvenser av, sikkerhetsbrudd, jf. forskriften § 2-4 andre ledd.

Kommunen påklaget gebyrets størrelse i brev av 11. juli 2016.
     Saken ble oversendt Personvernnemnda 5. september 2016, som mottok saken 7. september 2016. Klager ble orientert om dette i brev fra nemnda datert 8. september 2016, med frist til uttalelse innen 26. september 2016. Det er ikke innkommet kommentarer.

3 Klagers anførsler

Klager anfører at gebyret er satt for høyt og ber om en ny vurdering av dette. Kommunen skriver at det tar ansvar for det som har skjedd og at det er iverksatt tiltak for at det ikke skal skje igjen.

4 Datatilsynets vurdering

Datatilsynet skriver i oversendelsesbrevet at klager har erkjent de faktiske forhold, men er av den oppfatning at selv om ROS-analyse, rutiner, organisasjon og teknisk tilrettelegging er på plass vil man aldri kunne sikre seg mot menneskelig svikt. I tilsvaret av 25. april 2016 påpeker kommunen at det ikke er tatt nødvendig hensyn til at avviket skyldes en personlig feil fra en ansatt, og at man aldri kan gardere seg fullt ut mot at dette skal skje i fremtiden.
Datatilsynet deler dette synspunktet, men er av den oppfatning at kommunen ikke har gjort nok for å minimalisere hendelsen.
     Tilsynet legger til grunn at Årdal kommune har bare påklaget størrelsen på overtredelsesgebyret, ikke selve vedtaket om å ilegge overtredelsesgebyr. Datatilsynet har funnet det nødvendig å reagere på lovovertredelsen. Det er lagt særlig vekt på at overtredelsen betydelig har krenket grunnleggende interesser som loven verner, jf. § 46 annet ledd bokstav a, jf. § 1. Brukere av kommunens tjenester har en klar beskyttelsesverdig interesse mot publisering av konfidensielle opplysninger. Slik publisering kan få alvorlige konsekvenser for den enkelte både fordi omgivelsene får tilgang til informasjon som den registrerte ikke selv har valgt å gjøre kjent, men også fordi tilgjengeligheten på internett gjør det uforutsigbart hvor mange som har skaffet seg informasjonen og om det er mulig å få slettet denne. Datatilsynet mener at allmennpreventive grunner og hensynet til at reglene skal ha effekt og virke etter sin hensikt taler for at reageres med et virkemiddel som overtredelsesgebyr. I skjerpende retning tillegges det vekt på at kommunen ikke har risikovurdert behandlingen av personopplysninger på internett, slik forskriften § 2-4 forutsetter. Manglende risikovurdering har også som følge at det ikke er blitt utarbeidet kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger.
     Ved vurderingen av gebyrets størrelse er det særlig sett hen til at dette avviket omfatter svært sensitive personopplysninger om en gruppe personer (psykisk utviklingshemmede) som i liten grad kan ivareta sine rettigheter selv. Datatilsynet ønsker å tydeliggjøre at slike hendelser ikke må skje og at alle offentlige instanser som behandler sensitive personopplysninger, må være sitt ansvar bevisst. Og det selv om hendelsen ikke var tilsiktet. I denne saken har mangelfulle/svake rutiner hatt en reell konsekvens som også tilsier en skjerpet reaksjon.
     Lignende saker hvor Datatilsynet har reagert med overtredelsesgebyr har vært blant annet en personalsak om oppsigelse av en ansatt (Askvoll kommune – kr 75 000), dokument i barnevernssak (Os kommune – kr 100 000) og personsensitiv informasjon (diagnose) på internett (Harstad kommune – kr 100 000).
     Klager etterlyser også en nærmere vurdering av problemstillingen rundt Sogn Avis som har lastet ned og publisert dokumentet via epost. Sogn Avis sin behandling av personopplysninger i denne saken vil etter tilsynets syn antagelig omfattes av begrepet «journalistisk formål» slik dette er definert i personopplysningsloven § 7, og derfor ikke være gjenstand for samme vurdering. Dette innebærer at personopplysningsloven bare får anvendelse i begrenset grad, nemlig i forhold til §§ 13-15 og §§ 36 – 41, jf kap. VIII. Datatilsynets ser ingen grunn til å intervenere i forhold til Sogn Avis.

5 Personvernnemndas syn

Årdal kommune meldte Datatilsynet om avvik på offentlig postjournal. Datatilsynet ila et overtredelsesgebyr på kr 150 000 for bruddet på personopplysningsloven. Årdal kommune har uttalt at kommunen tar ansvar for avviket, men mener at gebyret er satt for høyt. Kommunen har derfor påklaget vedtaket og bedt om en fornyet vurdering av gebyrets størrelse.
     Det er ubestridt at det har skjedd et brudd på personopplysningsloven. Nemnda skal vurdere gebyrets størrelse.
     Det følger av personopplysningsloven § 46 annet ledd at ved utmålingen av overtredelsesgebyr skal det særlig legges vekt på de momenter som er nevnt i bokstavene a til h.
     Etter bokstav a) skal det legges vekt på hvor alvorlig overtredelsen har krenket de interesser loven verner. I denne saken besto overtredelsen i å legge ut en lenke i et dokument i offentlig postjournal som lenket til sensitive personopplysninger om 15 brukere innen området «spesialomsorg». Denne informasjonen skulle vært skjermet mot innsyn. Etter nemndas syn representerer dette en krenkelse av de interesser som personopplysningsloven verner.
     Når det gjelder graden av skyld, jf § 46 bokstav b), skal det ved vurderingen legges vekt på om overtredelsen er resultat av et uhell eller en planmessig, villet handling. I denne saken er opplysningene lagt ut ved et ikke tilsiktet rutinebrudd.
     Videre skal det ifølge § 46 bokstav c) legges vekt på om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen. Som omtalt ovenfor skyldes lekkasjen brudd på rutiner. De eksisterende rutinene ville ha hindret slike lekkasjer så lenge de ble fulgt, men åpner for menneskelig svikt. I tilbakeblikk kan nemnda se at andre rutiner eller en mer robust sikkerhetsarkitektur kunne redusert mulighetene for menneskelig rutinesvikt.
     Ifølge § 46 bokstav d) skal det vektlegges om overtredelsen er begått for å sikre overtrederens interesser. Dette momentet er ikke relevant i saken.
     Videre skal det legges vekt på om overtrederen har hatt eller kunne ha oppnådd noen fordel ved overtredelsen, jf bokstav e). Nemnda kan ikke se at klager har hatt noen fordel av dette eller at det er relevant i saken.
     Det følger av § 46 bokstav f) at det skal vektlegges om det foreligger gjentakelse. Etter nemndas oppfatning var overtredelsen en enkeltstående handling. Nemnda vektlegger det som positivt at kommunen umiddelbart tok tak i saken da de ble oppmerksom på at personopplysningene var på avveie, at kommunen sendte avviksrapport til Datatilsynet, offentliggjorde avviket, kontaktet samtlige 15 individer som var rammet og inngikk avtale om kompensasjon med dem.
     Det skal legges vekt på om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff, jf bokstav g). Det er ikke tilfelle i denne saken.
     Endelig skal det legges vekt på overtrederens økonomiske evne, jf bokstav h). Klagers økonomi er ikke omtalt i saken.
     Nemnda finner etter en helhetsvurdering at utmålingen skal reduseres og setter gebyret ned til kr 50 000.

6 Vedtak

Klagen tas delvis til følge. Gebyr nedsettes til kr 50 000.

 

 

Oslo, 21. desember 2016

Eva I E Jarbekk
Leder