Avvikene gjelder brudd på personopplysningsregelverkets krav om konfidensialitet, og omfatter både rutinesvikt og teknisk svikt. Personopplysninger som skulle vært skjermet er blitt gjort tilgjengelig for uvedkommende på kommunens hjemmeside.
Kommunen ble varslet 19. mai 2020 av en privatperson om at dokumenttitler fra kommunens postlister inneholdt 127 navn og fødselsnummer i til sammen 170 journalposter. Opplysningene som var tilgjengelige var tittel på dokumentet, i tillegg til navn og fødselsnummer.
Flere av sakene gjaldt barn. I enkelte tilfeller har dette medført at også taushetsbelagte opplysninger er blitt offentliggjort, for eksempel i forbindelse med vedtak om PPT, spesialundervisning og boligtilskudd. Selve dokumentet har ikke vært offentlig tilgjengelig. Dokumenttitlene på de omtalte sakene ble umiddelbart fjernet fra kommunens nettsider.
Personopplysningene som omfattes av bruddet er navn, fødselsnummer og tittel på dokumentet. Opplysningene har vært tilgjengelige på kommunens hjemmeside i ett år. Det føres ikke logg på hvem som er inne og ser eller laster ned personopplysninger fra kommunens postliste.
Bruddet på personopplysningssikkerheten har ført til at enkeltpersoner har mistet kontroll på opplysninger om seg selv, og andre kan ha sett opplysninger om dem ifølge Datatilsynet.
Kommunen har selv lagt ut en pressemelding om saken og aksepterer gebyret. Den påpeker imidlertid at det i Datatilsynets vedtaksbrev er faktafeil (blant annet om antall år på nettsidene) og at kommunen hadde iverksatt en rekke tiltak som ikke ble nevnt. Dette tar Datatilsynet til etterretning og beklager, men gebyrets størrelse opprettholdes.
Kilde: Datatilsynet