OsloMet slumset med personvernet. – Ubehagelig at denne informasjonen kunne kommet i feil hender

En klage til diskrimineringsnemnda, en tvilsmelding om en navngitt student, vedtak om pleiepenger for en ansatt samt et dokument om lønnsendringer hos ansatt: Dette er fire saker der OsloMet har brutt reglene for personvern.

I de tre første sakene er det utlevert navn, telefonnummer, mailadresse eller annen informasjon som gjør personen identifiserbar. I dokumentet om lønnsendringene er personens fulle personnummer blitt eksponert.

• Les også: Flertall i indre by støtter fjerning av p-plasser for å bygge sykkelvei

Enkelt å fjerne sladd

Vi oppdaget feilen etter å ha fått innsyn i en rekke dokumenter i OsloMet sine postjournaler. Det personsensitive innholdet hadde blitt dekket til, men i de fire overnevnte sakene hadde derimot OsloMet slurvet i rutinen for sladding.

I en av sakene kunne en lett trykke på sladden og fjerne den med «delete»-knappen, mens i de tre andre fikk en opp all informasjon ved å kopiere innholdet til et annet dokument. De fire dokumentene ble behandlet av hver sin saksbehandler, så det var altså ikke bare én ansatt som hadde gjort samme feil.

– Ubehagelig i feil hender

Journalen har vært i kontakt med en av de berørte personene, som er fortvilet over at OsloMet ikke har gjort en grundig nok jobb i behandlingen av hennes dokumenter.

– Selve innholdet i dokumentene synes jeg det er bra at offentligheten kan lese, men at navnet mitt ikke er ordentlig sladdet bort synes jeg er skummelt. Personvernet er der av en grunn, sier hun.

Hun forteller videre at hun er glad feilen er blitt oppdaget, slik at OsloMet ikke gjør en lignende feil igjen. OsloMet har bekreftet at Journalen er den eneste som har hatt innsyn i saken, men hun synes fortsatt det er skummelt at hvem som helst kunne ha fått tak i dette.

– Det er ubehagelig at denne informasjonen kunne ha kommet i feil hender. Det finnes mange uredelige personer som kunne ha misbrukt dette.

Kan i verste fall føre til identitetstyveri

– Personvernbrudd er prinsipielt uheldig for den berørte personen fordi det skjer et tillitsbrudd når opplysninger som skal behandles konfidensielt deles med uvedkommende, sier Grete Alhaug fra Datatilsynet.

Hun sier hun ikke kan kommentere denne konkrete saken, men forteller at brudd på personvern kan være belastende for den berørte når private opplysninger deles med andre enn de som skal behandle opplysningene.

– I verste fall kan slike opplysninger på avveie benyttes i forbindelse med identitetstyveri, sier hun

– En menneskelig glipp

Da vi ba om en kommentar fra rektor Curt Rice ved OsloMet om personvernbruddet, ble vi videresendt av hans PR-rådgiver til seksjon for dokumentasjons- og informasjonsforvaltning.

– Dette er svært beklagelig og burde ikke ha skjedd. Vi har gjennomgått våre systemer for å utelukke teknisk svikt, og i disse sakene har det dessverre skjedd en menneskelig glipp, sier Lars Eirik Vorland, seksjonssjef for avdelingen.

Han forklarer at dokumenter som krever sladding egentlig skal lagres på nytt som bildefil (JPEG), slik at muligheten til å redigere i bildet senere forsvinner. Det er altså dette som ikke har blitt gjort i disse tilfellene.

– For å sikre oss at dette ikke skjer igjen har vi nå valgt å legge inn en siste manuell gjennomgang av dokumentene før de sendes ut til mottaker, sier Vorland.

PS: Denne saken har tidligere vært publisert i Journalen.