Datatilsynet har nå avsluttet saken knyttet til den tidligere avviksmeldingen fra Sortland kommune angående brudd på sikkerheten knyttet til personopplysninger.
Kommunen hadde rapportert om utilsiktet eksponering av personopplysninger på den digitale postlisten. Datatilsynet konstaterer nå at Sortland kommune har gjennomført nødvendige tiltak for å rette opp bruddet. Kommunen har begrenset potensielle konsekvenser for de berørte enkeltpersonene.
I sitt brev til kommunen uttaler Datatilsynet følgende: – Vi legger til grunn at dere har gjennomført de tiltakene som er nødvendige for å utbedre bruddet og begrense eventuelle konsekvenser for enkeltpersoner som er berørt. Vi har derfor avsluttet saken. Dere må likevel følge opp bruddet internt, opplyser Datatilsynet.
Må dokumentere
I henhold til personvernforordningen er det nødvendig at Sortland kommune dokumenterer hvordan de håndterer bruddet. Dette skal gjøres for å sikre at lignende hendelser unngås i fremtiden.
Datatilsynet gjør også oppmerksom på at ved grenseoverskridende behandling av personopplysninger, der en virksomhet opererer under en ledende tilsynsmyndighet innenfor EØS, skal avviksmeldinger kun sendes til Datatilsynet.
Sortland kommune er pålagt å fortsette å sikre forsvarlig håndtering av personopplysninger i samsvar med personvernregelverket, og Datatilsynet vil følge med på at kommende praksis er i tråd med kravene.
Åpent i 26 timer
Det var den 9. august at kommunen oppdaget at det forelå en alvorlig personvern-hendelse. Personopplysninger har blitt eksponert på kommunens digitale postliste. Avviket involverer utilsiktet publisering av sensitive opplysninger om flere familier som har søkt integreringstjenester hos kommunen.
Kommunen har opplyst at avviket stammer fra en feil i kommunens rutiner for dokumentkontroll. Et dokument fra integreringstjenesten til oppvekst, som inneholdt detaljert informasjon om fem forskjellige familier, ble ved en feil publisert på kommunens postliste. Dette dokumentet var tilgjengelig på postlisten fra 8. august 2023 til 9. august 2023, over en periode på rundt 26 timer.
Skoletilhørighet
Eksponeringen av de sensitive opplysningene har skapt bekymring blant de berørte familiene. Informasjonen har vært tilgjengelig for allmennheten, inkludert innbyggere og media, i mer enn et døgn, noe som har potensielt truet privatlivet og sikkerheten til de involverte personene.
Håndtering
Sortland kommune har reagert raskt på hendelsen ved å umiddelbart skjerme og fjerne det feilpubliserte dokumentet fra postlisten. Kommunen arbeider nå intenst med å styrke interne kontrollrutiner for å hindre lignende hendelser i fremtiden og sikre en tryggere håndtering av personopplysninger. Det opplyser kommunen selv i sin rapportering til Datatilsynet.
