KJØREREGLER: Norsk skole trenger tydelige kjøreregler som forklarer hvorfor personvern er viktig, mener Simen Sommerfeldt i Bouvet. (Foto: Stine Marie Hagen)

– Dette er alvorlig, og et klart brudd på GDPR

Google-søk avslørte navn på elever i en sensitiv tilsynsrapport fra Fylkesmannen i Oslo og Viken.

Publisert Sist oppdatert

– Dette er alvorlig. Det gjelder de mest sårbare innbyggerne våre, sier Simen Sommerfeldt, teknologidirektør i Bouvet og medforfatter av boka Personvern og GDPR i praksis. 

Det var i forrige uke at Utdaningsnytt kunne avsløre at Fylkesmannen i Oslo og Viken hadde publisert to tilsynsrapporter som var så dårlig sladdet at elever ble navngitt på Google. 

Et navnsøk på elevene i søkemotoren var alt som skulle til. Da fikk man vite at de var varslere eller fornærmede i en overgrepssak. I over ett år lå dokumentene ute via Fylkesmannen i Oslo og Vikens nettsider, skriver Utdaningsnytt på sine sider.

I de elektroniske rapportene fra fylkesmannen stod det oppført sensitiv informasjon om blant annet diagnoser og atferdsproblemer.

En av elevene var varsler i overgrepssaken, og foreldrene mener at han er utsatt for en alvorlig sikkerhetsrisiko ved å bli offentliggjort.  

– Har foreldrene rett i det?

– Ja, dette er ødeleggende. Har det først havnet på internett i søkbar form, må en anta at det kan ha blitt kopiert videre, sier Sommerfeldt.

Manglende verktøy

Rapporten fra fylkesmannen skal ha ligget tilgjengelig på nett i over ett år. 

Utdanningsnytt jobbet opprinnelig med en annen sak da de søkte på navnet til en skoleleder. Det var da tilsynsrapporten dukket opp i søketreffet fra Google. 

Da fagbladet åpnet pdf-filen og søkte etter skolelederens navn, fikk de treff til tross for at navnet var svartsladdet. Da forstod de at den fullstendige teksten lå tilgjengelig under sladden. Ved å lime teksten inn i et Word-dokument kunne de lese hele den sensitive rapporten i sin helhet. 

Ifølge Utdaningsnytt er det først i år at fylkesmennene har fått på plass et felles verktøy for sikker sladding av elektroniske dokumenter.

Før var rutinen at man skulle skrive ut dokumentet og sladde for hånd. Deretter skulle dokumentet skannes inn igjen, før det ble sendt elektronisk, skriver fagbladet i en oppfølgingssak. 

Tillittsbrudd

Utdanningsnytt har vært i dialog med Datatilsynet, som kan fortelle at de har behandlet flere saker om dårlig sladding av personopplysninger, men kanskje ikke med så alvorlige konsekvenser som denne saken.

Datatilsynet har ennå ikke har behandlet denne saken, og Simen Sommerfelt vil ikke uttale seg om hva konsekvensene bør være for Fylkesmannen. Det får bli opp til Datatilsynet, mener han. Likevel regner han med at vi vil se større og raskere sanksjoner derfra fremover.

– Dette er et klart brudd på GDPR, sier Sommerfeldt til Computerworld. Han er svært skuffet over det han karakteriserer som et tillittsbrudd fra en myndighet man burde kunne stole på.

– Når det gjelder personopplysninger av sensitiv art for sårbare grupper er det spesielt viktig å gjøre gode konsekvens- og risikovurderinger, sier han, og kommer med følgende tips til saksbehandlerne:

– En slik vurderingsprosess ville i dette tilfellet kunne ha resultert i at saksbehandlerne fikk en god veiledning: Både om hva slags verktøy en skulle ha brukt til sladding av dokumenter på en grundig måte, og en klassifiseringsveiledning av dokumentene som eventuelt ville ha ført til at de ble unndratt offentligheten.