Alvorligt brud på sikkerheden: Kommunen udleverede oplysninger om borgers gæld

Det var i starten af marts, at tre forskellige ansatte i opkrævningen i Sønderborg Kommune udleverede fortrolige oplysninger om en borgers gældsforhold. Det har nu givet anledning til en 'konstruktiv snak' i kommunen. Arkivfoto: Claus Thorsted

Alvorligt brud på sikkerheden: Kommunen udleverede oplysninger om borgers gæld

Modtagerens email *:
Din e-mail *:
Dit navn *:
Evt. kommentar:

*) skal udfyldes.

I mindst tre tilfælde har ansatte i Sønderborg Kommune udleveret og udtalt sig om en borgers fortrolige oplysninger uden at sikre sig, at den pågældende borger havde givet samtykke til det. Det er et brud på persondataforordningen og vidner om et sikkerhedsniveau, der ikke er højt nok, mener ekspert.

Sikkerhedsbrud: I mindst tre tilfælde har ansatte i Sønderborg Kommune udleveret fortrolige oplysninger om en borger uden den nødvendige tilladelse. Det afslører lydoptagelser af tre telefonsamtaler, som JydskeVestkysten er kommet i besiddelse af.

De tre telefonsamtaler er dateret til henholdsvis den 1. og 5. marts i år. Her ringer 53-årige Mogens Rasmussen, der er frivillig bisidder og gældsrådgiver, til opkrævningen i Sønderborg Kommune. I hvert tilfælde får han oplysninger om en kvindes gæld, blot ved at oplyse kvindens CPR-nummer og navn. Desuden får han i et tilfælde tilsendt en oversigt over kvindens gæld til sin egen mailadresse.

Faktisk ringer Mogens Rasmussen på vegne af kvinden, som har bedt ham hjælpe sig med sin gæld. Men det ved de tre ansatte ikke med sikkerhed, for ingen af dem beder om at se en fuldmagt, der viser, at kvinden rent faktisk har givet Mogens Rasmussen tilladelse til at se hendes fortrolige oplysninger.

Redaktionen kender kvindens identitet og har valgt, at hun skal være anonym af hensyn til privatlivets fred.

Det siger loven
Databeskyttelsesforordningen er en EU-forordning, der har til formål at beskytte fysiske personer i forbindelse med behandling af personoplysninger. Den kaldes også for GDPR.

Databeskyttelsesloven er en dansk lov, som supplerer EU-forordning. Begge gælder på området.

Artikel 32 i databeskyttelsesforordninger siger:

"Samtykke bør gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved vedkommende accepterer, at personoplysninger om vedkommende behandles, f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring. Dette kan f.eks. foregå ved at sætte kryds i et felt ved besøg på et websted, ved valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklæring eller handling, der tydeligt i denne forbindelse tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger (..)"
Ingen af de tre ansatte i Sønderborg Kommune, der udleverede de fortrolige oplysninger, bad om at se en fuldmagt fra borgeren. De stolede på gældsrådgiveren, der ringede ind, lyder det fra kommunen. Arkivfoto
Ingen af de tre ansatte i Sønderborg Kommune, der udleverede de fortrolige oplysninger, bad om at se en fuldmagt fra borgeren. De stolede på gældsrådgiveren, der ringede ind, lyder det fra kommunen. Arkivfoto
Foto: Michael Bothager/Scanpix Denmark

Sikkerheden ikke i orden

Ifølge Ayo Næsborg-Andersen, der er lektor i persondataret ved Syddansk Universitet, er det brud på databeskyttelsesforordningen, også kaldet persondataforordningen eller GDPR.

- Deres sikkerhedsniveau er slet ikke højt nok, og det er et brud på databeskyttelsesforordningen. Her mangler de at se en fuldmagt, der giver samtykke. Hvis man er i tvivl, skal man altid sørge for at indhente flere oplysninger, siger hun og fortæller, at oplysninger om gæld defineres som fortrolige oplysninger.

Det særligt alvorlige i sagen er, at det virker til, at sikkerheden helt generelt ikke er i orden, mener hun.

- Det er, som om der mangler en fast procedure for, hvad man skal gøre i kommunen. Problemet er, at det kan få konsekvenser for borgerne. Uvedkomne kan få oplysninger om deres gæld. Ude i ekstremerne kan det bruges til afpresning, siger Ayo Næsborg-Andersen.

Hun fastslår, at der er tale om et brud på databeskyttelsesforordningen i alle tre telefonsamtaler.

Mulige konsekvenser
Datatilsynet har flere forskellige måder at reagere på, hvis de får kendskab til et brud på datasikkerheden.Hvis der er tale om et enkeltstående tilfælde, vil Datatilsynet oftest udtale kritik. Hvis der er tale om en generel praksis, kan Datatilsynet overveje en anden sanktionsmulighed. Det kan for eksempel være påbud eller forbud eller i sidste ende at indgive en politianmeldelse med indstilling om bøde.

Kilde: Datatilsynet

Har andre fået adgang?

Kvinden, hvis gældsoplysninger blev videregivet, havde selv bedt Mogens Rasmussen om at hjælpe sig med at få overblik over sin økonomi. Hun havde derfor også sendt ham en fuldmagt, men hun blev meget overrasket, da hun fandt ud af, at kommunen slet ikke havde spurgt til den.

- Jeg synes, det var forfærdeligt. Så går tankerne jo i gang. Er der andre, der har kunnet få adgang til mine oplysninger? De havde ingen ret til at gøre det, så nu tænker jeg på, hvad de gør ved andre, siger hun.

Mogens Rasmussen, der er frivillig gældsrådgiver, fortæller, at han havde sagt ja til at hjælpe kvinden, fordi han gennem sit eget liv har fået godt kendskab til reglerne i det offentlige.

- Jeg er et barn af systemet. Jeg har været på forskellige institutioner og på kontanthjælp næsten hele mit liv. Derfor er jeg utroligt skarp til regler og lovgivning. Jeg synes, at vores system er råddent. Derfor hjælper jeg andre på privat, gratis og frivillig basis, siger han.

Han er ofte i kontakt med kommuner og Skat på vegne af andre. Men det er første gang, han oplever, at han ikke er blevet bedt om at sende en underskrevet fuldmagt.

- Jeg optog bare samtalerne, fordi det gør jeg altid. Så kan jeg også bagefter huske, hvad der er blevet sagt.

Ikke nye regler

Datatilsynet, som er den myndighed, der fører tilsyn med, at reglerne om databeskyttelse bliver overholdt, vil ikke kommentere en konkret sag. Men det bekræfter, at det er korrekt, at en myndighed skal træffe passende foranstaltninger for at sikre sig, at de ikke giver personoplysninger, herunder for eksempel oplysninger om gæld, til uvedkommende. I de fleste tilfælde vil det ikke være tilstrækkeligt blot at oplyse CPR-nummer.

- Sådan har det altid været. Man har altid skullet sikre sig tilstrækkelig behandlingssikkerhed, siger Katrine Valbjørn Trebbien, der er souschef og chefkonsulent i Datatilsynets tilsynsenhed.

Sønderborg Kommune oplyser, at man efter henvendelse fra JydskeVestkysten om sagen har haft en 'konstruktiv snak om retningslinjer og håndtering af samtykker eller fuldmagter'.

Alvorligt brud på sikkerheden: Kommunen udleverede oplysninger om borgers gæld

Modtagerens email *:
Din e-mail *:
Dit navn *:
Evt. kommentar:

*) skal udfyldes.

Annonce
Annonce
Annonce
Annonce
Annonce