«Glemte» å sikre personvernet

- 160 kommuner har sovet i timen. Det er overraskende og svært alvorlig for tillitsforholdet mellom kommuner og innbyggere, sier avdelingsdirektør Leif T. Aanensen i Datatilsynet til Kommunal Rapport.

Sem & Stenersen Prokom er en av landets største leverandører av systemer for elektroniske søknader. Nærmere 100.000 søknader fra innbyggerne om alt fra barnehageplass til sosialstønad er blitt håndtert og lagret av selskapet siden april 2005.

Etter et tilsyn fra Datatilsynet i oktober i fjor fikk selskapet varsel om at det måtte avvikle hele søknadstjenesten (Kommune 24:7), hvis ikke sikkerheten ble utbedret på sju punkter. Datatilsynet ser spesielt alvorlig på at ansatte i selskapet har hatt full tilgang til sensitive helseopplysninger som er håndtert og lagret uforsvarlig.

Ingen ting tyder på at opplysningene har blitt misbrukt. Men de 160 kommunene på firmaets kundeliste kan heller ikke garantere sine innbyggere at det ikke har skjedd, ifølge Aanensen.

Sendt med e-post

Sikkerheten hos systemleverandøren er nå i ferd med å bli brakt i orden. Men kritikken ble først offentlig kjent gjennom NRK i forrige uke. Overfor Kommunal Rapport retter Datatilsynet nå også kritikk mot selskapets kunder.

- Når leverandøren sender søknader med sensitive personopplysninger som usikret e-post, bør det ringe en bjelle. Dette er så åpenbart tvilsomt at kommunene burde ha reagert, sier Aanensen.

- Kommunene har en tendens til å lene seg litt for godt tilbake i godstolen når de kjøper tjenester av andre. Men de kan ikke fraskrive seg ansvaret.

Datatilsynet mener kommunene både kan og bør forvisse seg om at risikovurdering og sikkerhetssystemer er på plass, før de skriver kontrakt.

Press for døgnåpent

Asker kommune er kunde hos Sem & Stenersen, men benytter ikke deres skjemaer for helsetjenester, som er de mest sensitive. IKT-leder Ole Kristian Tangen tar likevel kritikken til seg.

- Det kan godt hende vi burde hatt bedre kontroll på informasjonssikkerheten. Det får vi ta kritikk på. Selv om det kan være ubehagelig der og da, oppfatter jeg Datatilsynet som en positiv pådriver, sier han.

Det var i forbindelse med et tilsyn med Hobøl kommune at Datatilsynet fant grunn til å se nærmere på Sem & Stenersen Prokom. Hobøl fikk selv påpakning. Men rådmann Arne G. Berg forteller at han hadde utsatt å skrive kontrakt med selskapet, fordi han var skeptisk til sikkerheten. Samtidig så han få alternativer for å innfri kravet om elektronisk søknadsbehandling.

- I ettertid blir jeg litt paff. Når regjeringen presser på for døgnåpen kommune, forventer jeg at sikkerheten er avklart. Men det er den ikke.