Gebyr til Lillestrøm Kommune for brudd på konfidensialitet
Datatilsynet har gitt Lillestrøm Kommune et overtredelsesgebyr på 300 000 kr for brudd på kravet om konfidensialitet. Kommunen har akseptert gebyret.
Bakgrunnen for gebyret er at kommunen ved en feiltakelse publiserte et dokument som inneholdt særlige kategorier av personopplysninger, jf personvernforordningen artikkel 9 nr.1. Dokumentet gikk gjennom kvalitetskontroller uten at opplysningene ble oppdaget. Kommunen ble gjort oppmerksom på bruddet av en journalist i Romerikes Blad.
Datatilsynet uttalte at hendelsen er et brudd på forordningens artikkel 32 nr. 1 bokstav b. Denne bestemmelsen krever blant annet at behandlingsansvarlige og databehandlere skal sikre at personopplysningene behandles på en måte som sikrer konfidensialitet. Datatilsynet mente videre at bruddet avslørte et ikke godt nok sikkerhetsnivå og manglende rutiner hos kommunen når vedlegget med særlige kategorier av personopplysningene ble publisert, eventuelt at rutiner som finnes ikke fungerer etter hensikten.
Datatilsynet hadde opprinnelig satt gebyret til 500.000 kroner. Tatt i betraktning kommunens håndtering av bruddet, herunder at kommunen hadde rutiner på plass, men bruddet skyltes menneskelige svikt, ble gebyret redusert til 300.000 kr.
Kommunen kunngjorde på sine nettsider at de aksepterer boten og at de jobber med å utvikle nye digitale løsninger for å unngå at slike feil forekommer igjen.
