Vinnubrögð KPMG verulega ámælisverð að mati Persónuverndar Tryggvi Páll Tryggvason skrifar 13. febrúar 2019 07:45 Ráðhús Garðabæjar. Fréttablaðið/Ernir Lög voru brotin þegar viðkvæmar persónuupplýsingar voru birtar á vef Garðabæjar á síðasta ári. Ráðgjafafyrirtækið KPMG er húðskammað af Persónuvernd sem hóf rannsókn eftir fréttaflutning af málinu.Greint var frá því í kvöldfréttum Stöðvar 2 á síðasta ári að þrjú sveitarfélög birtu viðkvæmar upplýsingar um einstaklinga sem notið hafa þjónustu bæjarfélaganna, til dæmis greiðslur vegna sálfræðimeðferðar og fjárhagsaðstoðar, á vefjum sem hýstu opið bókhald sveitarfélaganna Kerfið sem sveitarfélögin notuðust við var keypt af KPMG. Í svari sviðstjóra fyrirtækisins til Persónuverndar sagði að málið mæti rekja til uppfærslu hjá Microsoft, en hugbúnaður frá bandaríska tæknifyrirtækinu var notaður til þess að birta opið bókhald sveitarfélaganna. Í svari Garðabæjar til Persónuverndar segir að við hönnun og framsetningu hins opna bókhalds hafi meðal annars verið lagt til grundvallar að útgjöld undir 500 þúsund krónum skyldu undanskilin. KPMG hafi séð um að útfæra þá forsendu að beiðni Garðabæjar. Það hafi átt að tryggja að ekki væri hægt að kalla fram upplýsingar sem geti talist persónupplýsingar eða viðkvæmar upplýsingar. Þá hafi engar skýringar borist frá KMPG af hverju þetta hafi ekki virkað sem skyldi, né hafi starfsmenn Garðabæjar geta staðfest niðurstöður KPMG að rekja mætti öryggisbrestinn til þeirrar uppfærslu sem fyrirtækið nefndi. KPMG.vísir/gettyHægt að nálgast upplýsingar um 14 einstaklinga Persónuvernd óskaði einnig eftir upplýsingum frá Microsoft á Íslandi um hvenær umrædd uppfærsla hafi verið framkvæmd. Í svari Microsoft sagði að valmöguleikinn sem gerði það að verkum að upplýsingarnar fóru á netið hafi verið fyrst kynntur í apríl 2016, umræddar upplýsingar voru birtar um ári síðar. Í niðurstöðu Persónuverndar segir að það hafi verið „verulega ámælisvert“ af hálfu KMPG að viðhafa þau vinnubrögð að ekki væri gengið úr skugga um að ekki væri mögulegt að nálgast upplýsingar um einstaklinga úr því kerfi sem notast var við. Komst Persónuvernd að þeirri niðurstöðu að lög um Persónuverd hafi verið brotin í málinu en þar sem eldri lög hafi gilt þegar brotið var framið, því gæti Persónuvernd ekki lagt á stjórnvaldssekt vegna málsins. Er lagt fyrir Garðabæ að gera viðeigandi ráðstafanir til að koma í veg fyrir að slíkt geti endurtekið sig. Í svarinu segir einnig að Garðabær hafi brugðist strax við málinu, tekið umræddar upplýsingar af netinu og borin hafi verið fram afsökunarbeiðni og unnið að því að hafa samband við þá einstaklinga sem áttu hlut að máli. Samkvæmt greiningu Garðabæjar var hægt að nálgast upplýsingar um fjórtán skjólstæðinga í 50 tilvikum. Ekkert bendi þó til að umræddar upplýsingar hafi verið vistaðar, þeim dreift eða þær nýttar með öðrum hætti. Garðabær Persónuvernd Tengdar fréttir Viðkvæmar upplýsingar birtar á heimasíðum sveitarfélaga Þrjú sveitarfélög birtu á heimasíðum sínum viðkvæmar upplýsingar um einstaklinga sem notið hafa þjónustu bæjarfélaganna til dæmis greiðslur vegna sálfræðimeðferðar og fjárhagsaðstoðar. 28. apríl 2018 19:23 Gagnalekinn er á ábyrgð sveitarfélaganna: Persónuvernd segir málið af þeirri stærðargráðu að embættið nýtir heimild til frumkvæðisrannsóknar Í einhverjum tilfellum var opið fyrir upplýsingarnar í tvo til þrjá mánuði. 29. apríl 2018 18:44 Mest lesið Haft höggbor beint fyrir utan í hálft ár og kominn með nóg Innlent Tveggja vikna tvíburasystrum vísað úr landi Innlent Thunberg meðal 500 handtekinna aðgerðasinna Erlent „Brotamenn eru nú ekki oft miklir borgunarmenn“ Innlent Stímir óhrædd í gin ísraelska sjóhersins Innlent Söguðu gat á flugsafn til að stinga inn Boeing 757 Innlent Heimila gjaldtöku vegna fjarheilbrigðisþjónustu og útkalls án flutnings Innlent Demókrötum kennt um og uppsögnum hótað Erlent Fjórir særðir eftir árás við bænahús gyðinga í Manchester Erlent Hafði hvorki þekkingu né umboð til að tjá sig um fjármálin Innlent Fleiri fréttir Rúmlega þrjátíu skjálftar á Vesturlandi „Brotamenn eru nú ekki oft miklir borgunarmenn“ Heimila gjaldtöku vegna fjarheilbrigðisþjónustu og útkalls án flutnings Haft höggbor beint fyrir utan í hálft ár og kominn með nóg Stímir óhrædd í gin ísraelska sjóhersins Kom ráðherra á óvart að viðræðum hefði verið slitið Söguðu gat á flugsafn til að stinga inn Boeing 757 Tveggja vikna tvíburasystrum vísað úr landi Gæti stefnt í þungavigtarslag um varaformannsembættið Atvinnuþátttaka innflytjenda meiri en Íslendinga en fjárhagsstaða verri Hafði hvorki þekkingu né umboð til að tjá sig um fjármálin Framsóknarflokkurinn mælist aftur inni Áttatíu starfsmenn í biðstöðu og HM-hópur Íslands Viðreisn býður fram undir eigin merkjum í Árborg Ekið á hjólreiðamann og hann fluttur á bráðamóttöku Val á þingflokksformanni bíður betri tíma Tvö vilja byggja Fossvogsbrú en bæði yfir áætluðum kostnaði Tálbeitan ákærð fyrir rangt brot Ekki sama manneskjan eftir hörmungarnar á Gasa Skorar á ríkisstjórnina að fjármagna íslenskunám Eggert Benedikt settur forstjóri Hafró Samtök „gamalla karla“ sem sumum finnst „kúl“ Rafmagnslaust á Dalvík, Hrísey og nágrenni Hætt við sameiningu HA og Háskólans á Bifröst Bjóða Grindvíkingum á seiglunámskeið Fimmtungur getur ekki keypt afmælisgjafir fyrir börnin sín Reyna að bjarga starfseminni á Möltu og slæmar fregnir af makrílveiðinni Bein útsending: Loftslagsdagurinn Bein útsending: Staða launafólks á Íslandi Létu sér andlát Hjörleifs í léttu rúmi liggja Sjá meira
Lög voru brotin þegar viðkvæmar persónuupplýsingar voru birtar á vef Garðabæjar á síðasta ári. Ráðgjafafyrirtækið KPMG er húðskammað af Persónuvernd sem hóf rannsókn eftir fréttaflutning af málinu.Greint var frá því í kvöldfréttum Stöðvar 2 á síðasta ári að þrjú sveitarfélög birtu viðkvæmar upplýsingar um einstaklinga sem notið hafa þjónustu bæjarfélaganna, til dæmis greiðslur vegna sálfræðimeðferðar og fjárhagsaðstoðar, á vefjum sem hýstu opið bókhald sveitarfélaganna Kerfið sem sveitarfélögin notuðust við var keypt af KPMG. Í svari sviðstjóra fyrirtækisins til Persónuverndar sagði að málið mæti rekja til uppfærslu hjá Microsoft, en hugbúnaður frá bandaríska tæknifyrirtækinu var notaður til þess að birta opið bókhald sveitarfélaganna. Í svari Garðabæjar til Persónuverndar segir að við hönnun og framsetningu hins opna bókhalds hafi meðal annars verið lagt til grundvallar að útgjöld undir 500 þúsund krónum skyldu undanskilin. KPMG hafi séð um að útfæra þá forsendu að beiðni Garðabæjar. Það hafi átt að tryggja að ekki væri hægt að kalla fram upplýsingar sem geti talist persónupplýsingar eða viðkvæmar upplýsingar. Þá hafi engar skýringar borist frá KMPG af hverju þetta hafi ekki virkað sem skyldi, né hafi starfsmenn Garðabæjar geta staðfest niðurstöður KPMG að rekja mætti öryggisbrestinn til þeirrar uppfærslu sem fyrirtækið nefndi. KPMG.vísir/gettyHægt að nálgast upplýsingar um 14 einstaklinga Persónuvernd óskaði einnig eftir upplýsingum frá Microsoft á Íslandi um hvenær umrædd uppfærsla hafi verið framkvæmd. Í svari Microsoft sagði að valmöguleikinn sem gerði það að verkum að upplýsingarnar fóru á netið hafi verið fyrst kynntur í apríl 2016, umræddar upplýsingar voru birtar um ári síðar. Í niðurstöðu Persónuverndar segir að það hafi verið „verulega ámælisvert“ af hálfu KMPG að viðhafa þau vinnubrögð að ekki væri gengið úr skugga um að ekki væri mögulegt að nálgast upplýsingar um einstaklinga úr því kerfi sem notast var við. Komst Persónuvernd að þeirri niðurstöðu að lög um Persónuverd hafi verið brotin í málinu en þar sem eldri lög hafi gilt þegar brotið var framið, því gæti Persónuvernd ekki lagt á stjórnvaldssekt vegna málsins. Er lagt fyrir Garðabæ að gera viðeigandi ráðstafanir til að koma í veg fyrir að slíkt geti endurtekið sig. Í svarinu segir einnig að Garðabær hafi brugðist strax við málinu, tekið umræddar upplýsingar af netinu og borin hafi verið fram afsökunarbeiðni og unnið að því að hafa samband við þá einstaklinga sem áttu hlut að máli. Samkvæmt greiningu Garðabæjar var hægt að nálgast upplýsingar um fjórtán skjólstæðinga í 50 tilvikum. Ekkert bendi þó til að umræddar upplýsingar hafi verið vistaðar, þeim dreift eða þær nýttar með öðrum hætti.
Garðabær Persónuvernd Tengdar fréttir Viðkvæmar upplýsingar birtar á heimasíðum sveitarfélaga Þrjú sveitarfélög birtu á heimasíðum sínum viðkvæmar upplýsingar um einstaklinga sem notið hafa þjónustu bæjarfélaganna til dæmis greiðslur vegna sálfræðimeðferðar og fjárhagsaðstoðar. 28. apríl 2018 19:23 Gagnalekinn er á ábyrgð sveitarfélaganna: Persónuvernd segir málið af þeirri stærðargráðu að embættið nýtir heimild til frumkvæðisrannsóknar Í einhverjum tilfellum var opið fyrir upplýsingarnar í tvo til þrjá mánuði. 29. apríl 2018 18:44 Mest lesið Haft höggbor beint fyrir utan í hálft ár og kominn með nóg Innlent Tveggja vikna tvíburasystrum vísað úr landi Innlent Thunberg meðal 500 handtekinna aðgerðasinna Erlent „Brotamenn eru nú ekki oft miklir borgunarmenn“ Innlent Stímir óhrædd í gin ísraelska sjóhersins Innlent Söguðu gat á flugsafn til að stinga inn Boeing 757 Innlent Heimila gjaldtöku vegna fjarheilbrigðisþjónustu og útkalls án flutnings Innlent Demókrötum kennt um og uppsögnum hótað Erlent Fjórir særðir eftir árás við bænahús gyðinga í Manchester Erlent Hafði hvorki þekkingu né umboð til að tjá sig um fjármálin Innlent Fleiri fréttir Rúmlega þrjátíu skjálftar á Vesturlandi „Brotamenn eru nú ekki oft miklir borgunarmenn“ Heimila gjaldtöku vegna fjarheilbrigðisþjónustu og útkalls án flutnings Haft höggbor beint fyrir utan í hálft ár og kominn með nóg Stímir óhrædd í gin ísraelska sjóhersins Kom ráðherra á óvart að viðræðum hefði verið slitið Söguðu gat á flugsafn til að stinga inn Boeing 757 Tveggja vikna tvíburasystrum vísað úr landi Gæti stefnt í þungavigtarslag um varaformannsembættið Atvinnuþátttaka innflytjenda meiri en Íslendinga en fjárhagsstaða verri Hafði hvorki þekkingu né umboð til að tjá sig um fjármálin Framsóknarflokkurinn mælist aftur inni Áttatíu starfsmenn í biðstöðu og HM-hópur Íslands Viðreisn býður fram undir eigin merkjum í Árborg Ekið á hjólreiðamann og hann fluttur á bráðamóttöku Val á þingflokksformanni bíður betri tíma Tvö vilja byggja Fossvogsbrú en bæði yfir áætluðum kostnaði Tálbeitan ákærð fyrir rangt brot Ekki sama manneskjan eftir hörmungarnar á Gasa Skorar á ríkisstjórnina að fjármagna íslenskunám Eggert Benedikt settur forstjóri Hafró Samtök „gamalla karla“ sem sumum finnst „kúl“ Rafmagnslaust á Dalvík, Hrísey og nágrenni Hætt við sameiningu HA og Háskólans á Bifröst Bjóða Grindvíkingum á seiglunámskeið Fimmtungur getur ekki keypt afmælisgjafir fyrir börnin sín Reyna að bjarga starfseminni á Möltu og slæmar fregnir af makrílveiðinni Bein útsending: Loftslagsdagurinn Bein útsending: Staða launafólks á Íslandi Létu sér andlát Hjörleifs í léttu rúmi liggja Sjá meira
Viðkvæmar upplýsingar birtar á heimasíðum sveitarfélaga Þrjú sveitarfélög birtu á heimasíðum sínum viðkvæmar upplýsingar um einstaklinga sem notið hafa þjónustu bæjarfélaganna til dæmis greiðslur vegna sálfræðimeðferðar og fjárhagsaðstoðar. 28. apríl 2018 19:23
Gagnalekinn er á ábyrgð sveitarfélaganna: Persónuvernd segir málið af þeirri stærðargráðu að embættið nýtir heimild til frumkvæðisrannsóknar Í einhverjum tilfellum var opið fyrir upplýsingarnar í tvo til þrjá mánuði. 29. apríl 2018 18:44