Tromsø kommune oppdaga 27. juni at det er publisert personopplysningar i kommunen si offentlege postliste.
Det opplyser dei i ei pressemelding.
Dette skal ha skjedd over to ulike periodar, med to ulike datasystem. Ein periode på totalt 20 år.
Opplysningane var av slik art at det inneber brot på tausheitsplikta.
Publiserte namn og fødselsdato
Ved ein feil har namn og fødselsdato blitt publisert saman med tittel på dokument, slik at det samla sett er av sensitiv karakter.
To døme på dette er:
Søknad om «kommunal teneste/tilbod» + namn + fødselsdato
Oppfølging av «saksnavn» + navn + fødselsdato
– Dette er høgst beklageleg. Årsaka til feilen er brot på rutinar, og rutinane har nok ikkje vore gode nok, seier Geir Mikkelsen, seksjonsleiar for IT, digitalisering og arkiv.
Dei aktuelle dokumenta vart umiddelbart fjerna frå Tromsø kommune si postliste då feilen vart oppdaga.
Minst 445 personar råka
Ifølge kommunen skal minst 445 personar vere råka – i periodar med to ulike datasystem.
I 2019 bytta kommunen saksbehandlings-, arkiv - og dokumenthandteringssystem. I perioden 2019–2025 skal 60 personar vere råka.
I perioden 2005 til 2019 har eit liknande brot skjedd. Her er Tromsø kommune enno ikkje i mål med ei komplett oversikt over omfang og kor mange som er råka, men det er snakk om minst 385 personar.
Dei som er råka, vil i nær framtid motta eit brev frå Tromsø kommune med informasjon om personopplysningsbrotet dei er råka av.
Advokat: – Brot på teieplikta
Vebjørn Søndersrød, advokat i advokatfirmaet Føyen, seier til NRK at forvaltningsvedtak som gjeld enkeltpersonar ofte er underlagt lovpålagt teieplikt.
– Juridisk er dette eit brot på teieplikta i forvaltningslova.
Han understrekar at det òg ville vore eit brot dersom berre namn og sakstittel låg ute offentleg, og at tilgang til fødselsdato gjer situasjonen endå meir alvorleg.
Feilen kan føre til at kven som helst kan lese om du til dømes har fått eit vedtak om bustøtte, forklarar Søndersrød.
– Mange har same namn, men med fødselsdato blir det klart kven det gjeld.
Søndersrød meiner saka framstår som ein glipp frå Tromsø kommune, og reagerer på at det ikkje har blitt oppdaga tidlegare.
– Det er svært alvorleg at dette har pågått i 20 år utan at ein har oppdaga det sjølv.
– At dei har hatt så dårlege rutinar så lenge utan å oppdage det sjølve, er etter alle solemerke òg eit brot på GDPR, altså regelverket for personopplysningar.
Han peikar på at kommunen skal ha system for å kontrollere eigen praksis.
– Dette er ei ulovleg spreiing av personopplysningar, som rett nok ikkje er gjort med vilje. Men då skal systema fange det opp lenge før det har gått 20 år.
Advokat Vebjørn Søndersrød, advokat i advokatfirmaet i Føyen.
Foto: Nicolas TourrencUnderstrekar at dokumenta ikkje er publiserte
Mikkelsen seier at det er viktig å påpeike at sjølve dokumenta ikkje har vore offentleg tilgjengelege, og heller ikkje innhaldet.
– Dokumenta i sin heilskap har, med andre ord, ikkje vore mogleg å laste ned eller lese, understrekar seksjonsleiar Mikkelsen.
Ved brot på personopplysningslova er kommunar forplikta til å melde ifrå til Datatilsynet. Det gjorde kommunen i førre veke.
– Dette har Tromsø kommune meldt til tilsynet som eit avvik. Kommunen gjer ytterlegare kartleggingsarbeid i tida framover for å få oversikt over omfanget, og vi jobbar med rutinane våre for at dette ikkje skal skje igjen, understrekar Mikkelsen.
Han skriv vidare at det er eit omfattande arbeid som er tidkrevjande, noko som betyr at kommunen må bruke sommarperioden til arbeidet.
– Vi tek sikte på å ha kartlagt det mest vesentlege, og fått oversikt over dei fleste råka til etter sommaren, også for dei som er råka i perioden 2005-2019.
Publisert 10.07.2025, kl. 14.59 Oppdatert 10.07.2025, kl. 16.58