Nordfyns Kommune har på sin hjemmeside offentliggjort, hvad en ekspert betragter som personfølsomme oplysninger om sårbare personer.
I en oversigt over deltagerne i projektet "Helhedsorienteret indsats for familier", der skal støtte og hjælpe udsatte familier, skriver kommunen om de ti familiers problemer, kommunens indsats og status på de enkelte sager.
Oversigten og status på projektet skal drøftes på Arbejdsmarkedsudvalgets møde onsdag eftermiddag. Under punktet på dagsordenen, som ligger på kommunens hjemmeside, havde kommunen lagt et bilag med oplysninger om de i alt ti familier, der deltager eller har deltaget i projektforløbet.
Men mængden af detaljer om de enkelte familier i bilaget gør det muligt at genkende de personer, der er omtalt, og derfor er det et klart brud på datasikkerhedsreglerne.
Det er særligt følsomme oplysninger, og det er alvorligt. Det er helt galt
Det vurderer professor ved Juridisk Institut på Syddansk Universitet Sten Schaumburg-Müller.
- Med så høj detaljegrad vil jeg sige, at familierne er identificerbare. Det vil jeg mene. Det er særligt følsomme oplysninger, og det er alvorligt. Det er helt galt, siger Sten Schaumburg-Müller.
Oplysningerne
I dokumentet om de ti familier er der hverken nævnt navne, adresser, cpr-numre eller lignende informationer. Til gengæld står der blandt andet oplysninger om psykisk sygdom, mistrivsel, fængselsdomme, tvangsfjernelse af børn, detaljer om job- og uddannelsesstart, sundhedsmæssige udfordringer, personlighedsforstyrrelser og diagnoser.
Hver for sig giver oplysningerne ifølge professoren ikke nogen problemer, men når de står samlet, giver det et andet billeder.
Ifølge professoren må man i og for sig skrive rigtig mange personfølsomme oplysninger, så længe personerne ikke kan identificeres ud fra dem. Men kan de identificeres, er det en anderledes alvorlig sag.
- Ved identificerbar forstås der ifølge GDPR-bestemmelserne, at man direkte eller indirekte kan identificeres, blandt andet ved et eller flere elementer, der er særlige. Det kan være økonomiske, psykiske eller geografiske oplysninger eller social identitet. Og det må man jo sige, når der omtales en familie med så præcise angivelser.
![IMG_20210810_100130[1]](https://cdn.fyn.bazo.dk/images/c49ba061-9136-4244-a2f8-bea5d0d8d97f/d/1-1/s/2048)
- Hvis jeg har ret i min vurdering af, at der er tale om identificerbare personer, er det ret alvorligt. Særligt følsomme oplysninger har ikke noget at gøre i en offentlig sammenhæng. Der er tale om et mindre miljø, og der er mange oplysninger, og derfor vil jeg anse det som en overtrædelse af GDPR-reglerne, siger Sten Schaumburg-Müller.
Afviser kritik
Formanden for Arbejdsmarkedsudvalget i Nordfyns Kommune, Kim Johansen (S), deler på ingen måde juraprofessorens vurdering af oplysningerne i bilaget.
Tværtimod forklarer han, at det ikke er første gang, kommunen har offentliggjort oplysninger om familierne i projektet.
- Der er ikke tale om personfølsomme oplysninger. Det ved jeg. Vi har tidligere haft disse oplysninger liggende på vores hjemmeside, så det er helt normalt, siger Kim Johansen.
- Vi er jo nødt til at have oplysningerne ude, så politikerne ved, hvad sagen handler om, siger han.
Alligevel har udvalget valgt at ændre punktet på dagsordenen fra at være åbent til nu at være lukket. Dermed er bilaget ikke længere offentligt tilgængeligt.
- Når vi nu har fået en henvendelse om, at det støder nogen, så tager vi det alvorligt. Derfor har vi nu fjernet oplysningerne. Vi ønsker ikke, at dokumentet skaber problemer, siger Kim Johansen.
Ingen indberetning
Når der sker brud på datasikkerheden i for eksempel kommuner, skal det indberettes til Datatilsynet. Men fordi kommunen ifølge udvalgsformanden ikke vurderer, at der er noget at komme efter, har de ikke – i hvert fald ikke endnu - gjort noget ved det.
- Vi har ikke indberettet denne sag. For der ikke tale om personfølsomme oplysninger, og derfor er der ingen grund til at lave en indberetning, siger Kim Johansen.
Af samme årsag havde udvalgsformanden heller ikke af sig selv kontaktet kommunens databeskyttelsesrådgiver, som hjælper kommunen i tilfælde af brud på datasikkerheden.
Men efter juraprofessor Sten Schaumburg-Müllers kritik af kommunens håndtering af de personfølsomme informationer vil han nu tage sagen op igen.
- Det er helt nye oplysninger, og det må jeg forelægge for forvaltningen. Jeg har fået at vide, at der ikke er tale om personfølsomme oplysninger, men nu må vores jurister gennemgå sagen igen, lyder fra Kim Johansen.