Datatilsynet har bötfällt Lillestrøms kommun med 300 000 norska kronor för överträdelse av artikel 32.1 (b) i dataskyddsförordningen (GDPR).
Av beslutet framgår att Lillestrøms kommun publicerat ett dokument i sin offentliga posttidskrift där 10 av 21 bilagor innehöll känsliga personuppgifter enligt artikel 9 GDPR. Kommunen glömde att markera de 10 relevanta bilagorna med sekretess. Detta upptäcktes inte av handläggaren och handlingen gick igenom ytterligare två manuella kvalitetskontroller i dokumentationscentralen utan att felet upptäcktes. Lillestrøms kommun fick kännedom om att handlingen med bilagor gjorts tillgänglig på kommunens webbplats den 27 september 2021 av en journalist.
Den 29 september 2021 fick Datatilsynet en anmälan om en inträffad personuppgiftsincident från Lillestrøms kommun. Datatilsynets utredning visade att fyra olika ip-adresser (inklusive Romerikes Blad) tagit del av dokumentet. Handlingarna togs bort från e-postlistan och markerades med sekretess direkt efter att händelsen upptäckts. De drabbade underrättades om händelsen.
Datatilsynets bedömning är att när ett dokument med bilaga om en elev publiceras på kommunens hemsida är det tydligt att en tillräckligt bra säkerhetsnivå inte har fastställts, eller att särkerhetsåtgärderna inte fungerar som det är tänkt. Att händelsen inte upptäcks av kommunen, utan av tredje part, tyder också på bristfälliga rutiner på området. Personuppgifter som borde ha skyddats har enligt Datatilsynet gjorts tillgängliga för obehöriga på internet och gäller uppgifter om till exempel elevers namn, födelsedatum, provsvar, bedömningar av beteende och utmaningar samt eventuella diagnoser. Enligt Datatilsynet innebär incidenten ett brott mot artikel 32.1 (b) GDPR , som kräver upprättande av en säkerhetsnivå som är lämplig för att säkerställa fortsatt sekretess.
Datatilsynet har tidigare skickat ett meddelande till Lillestrøms kommun avseende sanktionsavgiften på 500 000 norska kronor. Av kommunens svar på sanktionsavgiften framgår att kommunen har rutiner, och att händelsen beror på ett mänskligt misstag. Datatilsynet har uppmärksammat detta vilket resulterat i att sanktionsavgiften sänkts från 500 000 norska kronor till 300 000 norska kronor.