Gagnalekinn er á ábyrgð sveitarfélaganna: Persónuvernd segir málið af þeirri stærðargráðu að embættið nýtir heimild til frumkvæðisrannsóknar

Gagnaleki þriggja sveitarfélaga á viðkvæmum persónugögnum er af þeirri stærðargráðu að Persónuvernd hyggst gera frumkvæðisrannsókn á því hvers vegna aðgengi að þessum upplýsingum var óhindrað. Í einhverjum tilfellum var opið fyrir upplýsingarnar í tvo til þrjá mánuði. Forstjóri Persónuverndar lítur málið alvarlegum augum.

Upplýsingar um sálfræðimeðferðir, greiðslu lyfja fyrir einstaklinga og fjárhagsaðstoð eru aðeins brot af þeim upplýsingum sem aðgengi var opið að á heimasíðum Seltjarnarnesbæjar, Garðabæjar og Akraneskaupstaðar. Þá var einnig að finna nöfn barna í barnaverndarkerfinu sem og upplýsingar um fósturforeldra, kennitölur og upplýsingar um greiðslur. Sveitarfélögin hafa öll unnið að auknu gagnsæi í fjármálum sínum en Garðabær opnaði bókhald sitt síðasta sumar, Seltjarnarnesbær um áramótin og Akranes í gær. Samskonar upplýsingar var ekki að finna á vef Reykjanesbæjar sem keyrir á sama hugbúnaði.

Fjögur sveitarfélög fengu aðstoð frá KPMG við að birta upplýsingar úr bókhaldi sínu í gegnum hugbúnað frá Microsoft. Svo virðist sem að aðeins þrjú þessara sveitarfélaga hafi birt þessar viðkvæmu upplýsingar en þegar öryggisrofið uppgötvaðist var lokað að aðgengi gagnanna hjá öllum sveitarfélögunum.

Sjá einnig: Viðkvæmar upplýsingar birtar á heimasíðum sveitarfélaga

Aðgengileg frá því í febrúar

Sviðstjóri ráðgjafarsviðs KPMG sagði í samtali við fréttastofu í dag að gögnin hafi orðið aðgengileg eftir sjálfvirka hugbúnaðaruppfærslu hjá Microsoft í febrúar síðast liðnum. Gögnin hafa því verið aðgengileg öllum í 2-3 mánuði. Forstjóri Persónuverndar lítur málið alvarlegum augum.

„Þetta mál lítur ekki vel út en að sama skapi að þá er þetta mál sem að væntanlega verður kært til okkar þegar á morgun að má gefast sé af mörgum aðilum. Nú ef ekki að þá er stærðargráðan að því er virðist slík að Persónuvernd mundi alltaf nýta sér heimild til frumkvæðisathugunar á þessu máli,“ segir Helga Þórisdóttir, forstjóri Persónuverndar.

Samkvæmt núgildandi lögum er birting gagnanna á ábyrgð sveitarfélaganna og eiga þau að trygga vernd persónuupplýsinga sem eru undir á hverjum tíma.

„Það lítur út fyrir að þarna hafi persónu upplýsingar komist til þeirra sem þær eiga ekki að komast til og ef að viðkvæmar persónuupplýsingar eru undir að þá er það bara gríðarlega alvarlegt mál,“ segir Helga.

Fljótfærni

Helga segir fljótfærni gæti hafa átt þátt gagnaleka sveitarfélaganna við að opna bókhald sitt fyrir almenningi.

„Eins og ég segi þá gefur það auga leið að þarf hefur verið unnið of hratt mögulega og ekki að nægilegri vandvirkni og yfirvegun sem að þarf þegar það er verið að meðhöndla þessar upplýsingar. Þetta eru viðkvæmar upplýsingar, má gefa sér, sem jafnvel er ekki verið að segja frá innan fjölskyldunnar, hvað þá að þær séu aðgengilegar öllum almenningi á Íslandi hvar sem þér ber niður,“ segir Helga.

Helga segir fólk eiga rétt á því að fá að vita hvort verið sé að vinna með persónu upplýsingar um sig.

„Að sjálfsögðu eiga einstaklingar rétt á því að fá að vita hvort að þær upplýsingar hafi verið undir í þessum leka,“ segir Helga.