Ressurskrevende: Av over 2000 avviksmeldinger i fjor ble bare snaue 250 behandlet videre hos Datatilsynet.

Datatilsynet lukket UiO-sak:

Stortingsrepresentant stusser

Personopplysninger til særlig utsatte forskere var på avveie i over ett år. Likevel gikk ikke Datatilsynet videre med saken.

Publisert

For tre uker siden skrev Universitas om personopplysninger til forfulgte forskere ved UiO som lå åpent tilgjengelig på nett i over ett år. Forskerne er i Norge gjennom det internasjonale nettverket Scholars at Risk, som generelt er begrenset til forskere som står overfor trusler om vold, tortur, fengsling på feilaktig grunnlag eller forfølgelse i sine hjemland.

«Nadia», en av de berørte forskerne som Universitas omtalte i saken, frykter at informasjon om forskerstillingen hennes i Norge kan bli brukt mot henne og føre til fengsling på feilaktig grunnlag i hjemlandet.

Datatilsynet konkluderer med at det ikke var et alvorlig brudd på personopplysningssikkerheten (GDPR), også kalt avvik, og har lukket saken.

Tøffe prioriteringer

– Vi får over 2000 avviksmeldinger i året, og vi er til sammen 60 ansatte. Så vi har ikke kapasitet til å nærmere saksbehandle hvert eneste avvik.

Det forklarer seksjonssjef ved Datatilsynet Camilla Nervik på telefon til Universitas. I fjor behandlet de omtrent 250 av de 2000 innmeldte avvikene.

Ifølge Nervik er det ofte tre vurderinger som avgjør om de går videre i en sak eller avslutter den: om feilen har ført til alvorlige personvernkonsekvenser, om feilen hos organisasjonen er rettet opp, eller om berørte parter er informert. Dersom Datatilsynet skal pålegge UiO eller andre et gebyr, er en eventuelt avskrekkende effekt viktigst i vurderingen, forklarer Nervik og viser til personopplysningsregelverket.

– Fordi vi ikke har kapasitet til å gjøre absolutt alt må vi plukke ut de sakene hvor det vi gjør kan ha en funksjon, sier Nervik og forklarer:

– Hvis vi gir overtredelsesgebyr for eksempel, så er den preventive samfunnseffekten et av de viktigste vilkårene i personvernregelverket for slike vedtak.

En rekke andre universiteter og høyskoler i Norge er del av Scholars at Risk-programmet. Følgelig vil også de behandle lignende sensitive personopplysninger. På spørsmål om Datatilsynet har tatt dette med i sin vurdering svarer Nervik følgende:

– Vi har behandlet denne saken slik vi normalt gjør. Det vil si at vi har sett på avviksmeldingen og informasjonen i den som tilsier at dette er en sak som er håndtert på en tilfredsstillende måte.

Kan endres ved klage

Nervik er fast bestemt på at de har gjort sitt i denne saken, og at det er lite de kan gjøre for å endre på situasjonen i dette tilfellet.

– Ja, noen andre kunne ha lært av det, det er Datatilsynet også enig i. Men her er det en svikt i rutinene. Det skulle ikke ha skjedd og alle er klar over det.

Datatilsynet kunne gjort andre vurderinger dersom det kom en klage fra en berørt part med andre perspektiver enn universitetet. UiO er derimot ikke pliktig til å informere om muligheten for å klage på Datatilsynets vedtak, og gjør heller ikke det i sitt brev til de berørte forskerne.

Innrømmer usikkerhetsmomenter

Nettsiden med personopplysningene til SAR-forskerne ble besøkt av flere titalls utenlandske IP-adresser. Nervik refererer til Universitas’ tidligere omtale av saken og medgir at det medfører usikkerhetsmomenter.

– IP-adresser sier jo ikke noe mer enn hvor datamaskinen er registret at den har stått. Det er ikke nødvendigvis et troverdig bilde. Så vi ser også at det er elementer her som er usikkert.

Etter å ha lest Universitas’ sak, har Nervik forståelse for at det er alvorlig for dem det gjelder.

– Hvis ikke det generelle systemet er godt nok egnet til å ivareta risikoen, så må man vurdere om man må ha noen spesielle tiltak for personer i særskilte grupper. Det er mulig universitetet har erfart dette gjennom denne konkrete saken.

Regjering til veggs

Stortingsrepresentant for Venstre Alfred Bjørlo mener saken er alvorlig. Til Datatilsynets beslutning om å lukke saken, sier Bjørlo følgende:

– Jeg stusser på den beslutningen. Nettopp fordi dette ikke er en vanlig personvernsak. Det handler om personvernet til folk vi vet det finnes et trusselbilde rundt. Bjørlo sier det er bra at UiO har ryddet opp.

Likevel påpeker han at det også er andre utdanningsinstitusjoner som bruker ordningen. Derfor vil Bjørlo stille skriftlig spørsmål til regjeringen denne uken om de har kontroll på at personvernrutinene er ivaretatt hos andre som bruker Scholars at Risk-ordningen.

– Vi må være sikre på at ordningen er trygg uansett hvilken institusjon forskerne kommer til i Norge.

Man kan jo spekulere i om Datatilsynet ikke er så harde i klypa fordi de er avhengige av at organisasjoner selv melder inn brudd på personopplysningssikkerheten.Trenger Datatilsynet andre verktøy?

– Det kan godt tenkes at de gjør det. Men vi ønsker tross alt å ha en kultur der institusjoner som oppdager brudd sier ifra om det. Så jeg holder en dør åpen for at det er en del av vurderingen som er gjort her.

– Samtidig mener jeg at det er skjerpende at det er snakk om Scholars at Risk og at man her bør være hundre prosent sikker på at du har gode rutiner på forhånd, når du vet at det står mye på spill for de det gjelder.

– Mener du da at den åpenhetskulturen veier tyngst?

– Generelt er åpenhet bra, men vi kan ikke ha en kultur der det er fritt frem å ikke har rutiner på plass, og så får du tilgivelse i ettertid uansett.

Powered by Labrador CMS