Stensberggata 25
De sensitive personopplysningene byrådsavdelingen innhentet ulovlig stammer fra barnevernstjenesten i bydel St. Hanshaugen, i Stensberggata 25. Foto: Google Maps

Byrådet innhenter sensitive personopplysninger ulovlig. Nå truer Datatilsynet med dagsbøter

Datatilsynet slår fast at byrådsavdeling for eldre, helse og sosiale tjenester ikke har gode nok rutiner for behandling av sensitive personopplysninger. Nå truer tilsynet med bøter hvis praksisen ikke endres.

Pålegget fra Datatilsynet om å utarbeide bedre rutiner for innhenting av sensitive personopplysninger kommer i kjølevannet av en klagesak mot barnevernstjenesten i bydel St. Hanshaugen.

Klagen gjelder om byrådsavdelingen har lov til å innhente personopplysninger om klagers sønn og opplysninger i hans barnevernssak, og hvordan disse opplysningene blir behandlet videre.

Kommunen mangler tilstrekkelige kontrollrutiner

I sin behandling av klagesaken har Datatilsynet funnet at kommunen i den konkrete saken ikke hadde noen lovhjemmel for å innhente sensitive personopplysninger.

I tillegg mener tilsynet at byrådsavdelingen mangler rutiner for å forsikre seg om at sensitive personopplysninger behandles på korrekt måte. Tilsynet har nå derfor utarbeidet et pålegg om at rutinene må endres.

Eirin Oda Lauvset
Seniorrådgiver i Datatilsynet, Eirin Oda Lauvset. Foto: Datatilsynet

 Byrådsavdelingen har ikke dokumentasjon som tilsier at personopplysninger bare behandles når det er tillatt etter personopplysningloven. Dette er et avvik fra plikten til internkontroll, skriver seniorrådgiver, Eirin Oda Lauvset, i varselet fra Datatilsynet.

I sitt tidligere svar på klagesaken har byrådsavdelingen lagt ved sine retningslinjer for håndtering av slik informasjon. Tilsynet mener retningslinjene er svært mangelfulle.

Tilsynet mener dokumentet verken beskriver hvilke rettslige grunnlag byrådsavdelingen har for å behandle personopplysninger, hvilke rutiner som gjelder for å ta stilling til hvilket rettslig grunnlag som eventuelt gjelder i hvert enkelt tilfelle, eller hvilke formål byrådet har med sin behandling av personopplysninger.

De interne retningslinjene sier, etter tilsynets syn, heller ikke noe om hvilke rutiner som finnes for å ta stilling til hvilke konkrete personopplysninger som er nødvendige og relevante i det enkelte tilfelle.

— Dette er følgelig ikke et dokument som indikerer at byrådet har internkontroll som tilfredsstiller pliktene personopplysningsloven gir, mener Lauvset.

Krever nye rutiner – truer med bøter

I varselet som nå er sendt byrådet gis det en frist til 28. februar for å imøtekomme tilsynets krav om nye rutiner for innhenting og lagring av sensitive personopplysninger. Byrådsavdelingen gis også samme frist til å slette de personopplysningene som ble hentet inn i den aktuelle klagesaken.

— Byrådsavdelingen må utarbeide en oversikt over hvilke personopplysninger som behandles. Det må gjennomføres en risikovurdering og en redegjørelse for akseptabel risiko forbundet med behandlingen av disse personopplysningene, sier Lauvset.

Endre Sandvik
Kommunaldirektør for eldre, helse og sosiale tjenester, Endre Sandvik, har frist til utgangen av måneden på å svare på kritikken fra Datatilsynet. Foto: Foto: Medisinsk fakultet, UIO

Er ikke Datatilsynet fornøyd med svaret de mottar kan det bli aktuelt å pålegge kommunen mulkt eller dagbøter.

— Vi vil behandle svaret fra byrådsavdelingen så raskt vi får det inn. Finner vi at dette ikke oppfyller kravene i loven vil vi måtte vurdere å pålegge kommunen å lage nye rutiner. Følger de ikke opp dette vil vi vurdere å ilegge tvangsmulkt eller dagbøter for å få ønsket resultat, sier Lauvset.

Kommunen innrømmer å ha brutt loven

Byrådsavdelingen har tidligere fortalt tilsynet at de omtalte opplysningene ble innhentet med hjemmel i kommuneloven. Loven omhandler byrådets tilsynsansvar ovenfor kommunale tjenester, herunder barnevernstjenesten.

Byrådsavdelingen bekrefter at den påfølgende behandlingen av personopplysningene var et avvik fra gjeldende rutiner for journalføring og arkivering.

I avdelingens interne retningslinjer heter det: «Det er ikke brudd på taushetsplikten å overlevere taushetsbelagte opplysninger til EHS [byrådsavdelingen for eldre, helse og sosiale tjenester, journ. anm.] men dette skal begrenses i størst mulig grad. EHS skal derfor be bydelen/etaten om at redegjørelsen er anonymisert, både ved muntlig og skriftlig redegjørelse.»

Reagerer sterkt

Datatilsynet reagerer sterkt på retningslinjene.

— Det er urovekkende at rutinene på generelt grunnlag slår fast at det ikke er brudd på
taushetsplikten å overlevere taushetsbelagte opplysninger fra bydel/etat til
byrådsavdelingen. Om en utlevering er lovlig må være basert på en konkret vurdering i
hver enkelt sak. Rutinene må korrigeres på dette punkt, påpeker seniorrådgiveren.

Det har ikke vært mulig å få en kommentarer direkte fra byrådsavdelingen i saken på grunn av vinterferien. Pressekontakt Odd Christian Klafstad sier til VårtOslo at de vil komme tilbake til saken over ferien.

MELD DEG PÅ NYHETSBREVET VÅRT

Kommentarer