Informasjon om koronapandemien og vaksinering i Asker

Les om smittesituasjonen og registrer deg for vaksinering.

Aksepterer gebyr fra Datatilsynet

Asker kommune aksepterer Datatilsynets overtredelsesgebyr på 1 million kroner i etterkant av personvernhendelsen i Asker kommunes postlister 19.5.2020.

Illustrasjonsbilde

- Dette var en alvorlig og svært beklagelig sak. Kommunen tar personvern og informasjonssikkerhet på største alvor, og har iverksatt en rekke tiltak fra umiddelbart etter hendelsen og fram til i dag. Asker kommune aksepterer overtredelsesgebyret på en million kroner, sier organisasjonsdirektør Lars Joakim Tveit i Asker kommuner.

Erkjenner alvoret

Datatilsynet har, i etterkant av personvernhendelsen 19.5.2020 hvor personsensitiv informasjon var offentlig tilgjengelig på Asker kommunes postlister, i sitt endelige vedtak opprettholdt det varslede overtredelses-gebyret på en million kroner.  

- Vi har vært forberedt på at Datatilsynet ville kunne komme til en slik vurdering, vi har vært i dialog med Datatilsynet underveis, erkjenner alvoret i saken og aksepterer gebyret, sier Tveit.

Her er brev med avsluttende kommentar fra Asker kommune til Datatilsynet om gebyret (PDF).

Allerede i gang med tiltak

Kommunen hatt dialog med og rådført seg med andre kommuner vedrørende saken, og iverksatte en rekke tiltak umiddelbart etter hendelsen i mai, blant annet en ekstern vurdering av personvern og informasjonssikkerhet og IKT-sikkerhet.

Kommunen har tidligere oversendt til Datatilsynet en grundig gjennomgang av tiltak som er iverksatt helt siden hendelsen.

- Etter det vi kan se av Datatilsynets begrunnelse, kan det virke som om de i deres endelige vedtak i saken ikke har vurdert, eller tatt hensyn til, det vi tidligere har påpekt av både faktafeil, påbegynte og planlagte tiltak, sier Tveit.

Dette gjelder særlig tiden informasjonen har vært offentlig tilgjengelig, årsaken til at informasjonen har vært offentlig tilgjengelig og kommunens tiltaksplan for personvern, informasjonssikkerhet og IKT-sikkerhet.

- Selv om Asker kommune aksepterer gebyret, og dermed ikke vil påklage det endelige vedtaket, har vi sendt et brev til Datatilsynet, hvor disse viktige forholdene på nytt påpekes. Vi har tatt grep om problemet og har iverksatt en rekke tiltak. Det er viktig for oss å få tydeliggjort, understreker Tveit.

Nye stillinger på personvern og informasjonssikkerhet

Asker kommune har i løpet av siste halvår 2020 etablert en tiltaksplan for personvern, informasjonssikkerhet og IKT-sikkerhet.

- Vi er igang med iverksettelsen av denne, og den dekker blant annet nye stillinger til personvern og informasjonssikkerhet, samarbeid med andre kommuner, kompetanse og kunnskapsheving i organisasjonen og automatiserte løsninger, sier Tveit.

Tveit legger til at kommunen er glad for at Datatilsynet anerkjenner Asker kommunes etablerte tiltaksplan for personvern, informasjonssikkerhet og IKT-sikkerhet, og basert på den har henlagt saken hvor personsensitiv informasjon fra kommunens BraArkiv var offentlig tilgjengelig.

Kommunens tiltaksplan

Tiltaksplanen for personvern, informasjonssikkerhet og IKT-sikkerhet har følgende hovedelementer:

  • Styrking av sentrale personvern- og informasjonssikkerhetsressurser
  • Samarbeide med andre kommuner og sentrale myndigheter om personvern, informasjonssikkerhet og IKT-sikkerhet
  • Styrke kompetanse og bevisstgjøring på alle nivåer i organisasjoner
  • Fra manuelle til digitale og automatiserte prosesser
  • «Fra lukkede til sikre åpne løsninger» - offentlighet sett opp mot personvern
  • Måling av effekt av tiltakene – 2021 og 2022

Se vår tidligere nettsak om sikkerhetsbruddet fra mai 2020.