Vinnubrögð KPMG verulega ámælisverð að mati Persónuverndar Tryggvi Páll Tryggvason skrifar 13. febrúar 2019 07:45 Ráðhús Garðabæjar. Fréttablaðið/Ernir Lög voru brotin þegar viðkvæmar persónuupplýsingar voru birtar á vef Garðabæjar á síðasta ári. Ráðgjafafyrirtækið KPMG er húðskammað af Persónuvernd sem hóf rannsókn eftir fréttaflutning af málinu.Greint var frá því í kvöldfréttum Stöðvar 2 á síðasta ári að þrjú sveitarfélög birtu viðkvæmar upplýsingar um einstaklinga sem notið hafa þjónustu bæjarfélaganna, til dæmis greiðslur vegna sálfræðimeðferðar og fjárhagsaðstoðar, á vefjum sem hýstu opið bókhald sveitarfélaganna Kerfið sem sveitarfélögin notuðust við var keypt af KPMG. Í svari sviðstjóra fyrirtækisins til Persónuverndar sagði að málið mæti rekja til uppfærslu hjá Microsoft, en hugbúnaður frá bandaríska tæknifyrirtækinu var notaður til þess að birta opið bókhald sveitarfélaganna. Í svari Garðabæjar til Persónuverndar segir að við hönnun og framsetningu hins opna bókhalds hafi meðal annars verið lagt til grundvallar að útgjöld undir 500 þúsund krónum skyldu undanskilin. KPMG hafi séð um að útfæra þá forsendu að beiðni Garðabæjar. Það hafi átt að tryggja að ekki væri hægt að kalla fram upplýsingar sem geti talist persónupplýsingar eða viðkvæmar upplýsingar. Þá hafi engar skýringar borist frá KMPG af hverju þetta hafi ekki virkað sem skyldi, né hafi starfsmenn Garðabæjar geta staðfest niðurstöður KPMG að rekja mætti öryggisbrestinn til þeirrar uppfærslu sem fyrirtækið nefndi. KPMG.vísir/gettyHægt að nálgast upplýsingar um 14 einstaklinga Persónuvernd óskaði einnig eftir upplýsingum frá Microsoft á Íslandi um hvenær umrædd uppfærsla hafi verið framkvæmd. Í svari Microsoft sagði að valmöguleikinn sem gerði það að verkum að upplýsingarnar fóru á netið hafi verið fyrst kynntur í apríl 2016, umræddar upplýsingar voru birtar um ári síðar. Í niðurstöðu Persónuverndar segir að það hafi verið „verulega ámælisvert“ af hálfu KMPG að viðhafa þau vinnubrögð að ekki væri gengið úr skugga um að ekki væri mögulegt að nálgast upplýsingar um einstaklinga úr því kerfi sem notast var við. Komst Persónuvernd að þeirri niðurstöðu að lög um Persónuverd hafi verið brotin í málinu en þar sem eldri lög hafi gilt þegar brotið var framið, því gæti Persónuvernd ekki lagt á stjórnvaldssekt vegna málsins. Er lagt fyrir Garðabæ að gera viðeigandi ráðstafanir til að koma í veg fyrir að slíkt geti endurtekið sig. Í svarinu segir einnig að Garðabær hafi brugðist strax við málinu, tekið umræddar upplýsingar af netinu og borin hafi verið fram afsökunarbeiðni og unnið að því að hafa samband við þá einstaklinga sem áttu hlut að máli. Samkvæmt greiningu Garðabæjar var hægt að nálgast upplýsingar um fjórtán skjólstæðinga í 50 tilvikum. Ekkert bendi þó til að umræddar upplýsingar hafi verið vistaðar, þeim dreift eða þær nýttar með öðrum hætti. Garðabær Persónuvernd Tengdar fréttir Viðkvæmar upplýsingar birtar á heimasíðum sveitarfélaga Þrjú sveitarfélög birtu á heimasíðum sínum viðkvæmar upplýsingar um einstaklinga sem notið hafa þjónustu bæjarfélaganna til dæmis greiðslur vegna sálfræðimeðferðar og fjárhagsaðstoðar. 28. apríl 2018 19:23 Gagnalekinn er á ábyrgð sveitarfélaganna: Persónuvernd segir málið af þeirri stærðargráðu að embættið nýtir heimild til frumkvæðisrannsóknar Í einhverjum tilfellum var opið fyrir upplýsingarnar í tvo til þrjá mánuði. 29. apríl 2018 18:44 Mest lesið Stöðugleiki norðlægrar hringrásar skammgóður vermir fyrir Ísland Innlent Kröfur kvennaárs komnar í innheimtu og gjalddaginn fallinn Innlent Engin lausn og ákveðin sjálfsblekking að banna börnum að nota tölvuleiki Innlent Leggur viðskiptaþvinganir á rússneska olíurisa Erlent Mikill hiti í síðustu kappræðunum fyrir kosningar Erlent Segir tilvalin íbúðasvæði opnast með Sundabraut Innlent „Ég skoðanakúgaði sjálfa mig í þágu friðar og þæginda félagslega“ Innlent Næstum öllum sagt upp hjá dótturfélagi Play Innlent Niðurrif hafið á gamla Morgunblaðshúsinu Innlent Fasteignamarkaðurinn „kaupendamarkaður“ að mati fasteignasala Viðskipti innlent Fleiri fréttir Embættismenn sitji að hámarki í fjórtán ár og aðstoðarmenn hætti fyrir kosningar Engin lausn og ákveðin sjálfsblekking að banna börnum að nota tölvuleiki Stöðugleiki norðlægrar hringrásar skammgóður vermir fyrir Ísland Kröfur kvennaárs komnar í innheimtu og gjalddaginn fallinn Segir tilvalin íbúðasvæði opnast með Sundabraut Niðurrif hafið á gamla Morgunblaðshúsinu Næstum öllum sagt upp hjá dótturfélagi Play „Ég skoðanakúgaði sjálfa mig í þágu friðar og þæginda félagslega“ Burðardýr fengu þungan dóm fyrir kókaínsmygl Skora á ráðherra og segir skjaldborg slegið um vændiskaupendur Fresta fundi til tíu í fyrramálið Stórskemmtilegur innhringjandi og óhefðbundin útför Viðgerð muni taka einhverja mánuði „Afar ólíklegt“ að Nadine taki slaginn í borginni fyrir Miðflokkinn Grunuð um íkveikju í Nettó, Nytjamarkaðnum og eigin húsi Segir borgina refsa foreldrum til að mæta rekstrarvanda Aflýsa verkfalli öðru sinni Umferðarslys á Fagradal og veginum lokað Segir sorglega illa hafa verið haldið á hagsmunum flugsins Umferðarteppa í Ártúnsbrekku vegna aftanákeyrslu Bein útsending: Verndum vatnið Víða vetrarfærð, Fjarðarheiði lokuð og björgunarsveitir aðstoða fólk í föstum bílum Kettlingur í hættu vegna sprautunála og haldið í gíslingu af nágranna Kona í fjölbýlishúsinu talin brennuvargur en gengur laus „Vonbrigði hvað kom lítið út úr fundinum í gær“ Fangavörður rekinn fyrir að stela af fanga Óvissa á Grundartanga og flugumferðarstjórar funda Hafsteinn Dan tekur við formennsku í refsiréttarnefnd Klórar sér í kollinum yfir kvennaverkfallinu Hálfsdagslokun leikskóla skyndilega orðin að heilsdagslokun Sjá meira
Lög voru brotin þegar viðkvæmar persónuupplýsingar voru birtar á vef Garðabæjar á síðasta ári. Ráðgjafafyrirtækið KPMG er húðskammað af Persónuvernd sem hóf rannsókn eftir fréttaflutning af málinu.Greint var frá því í kvöldfréttum Stöðvar 2 á síðasta ári að þrjú sveitarfélög birtu viðkvæmar upplýsingar um einstaklinga sem notið hafa þjónustu bæjarfélaganna, til dæmis greiðslur vegna sálfræðimeðferðar og fjárhagsaðstoðar, á vefjum sem hýstu opið bókhald sveitarfélaganna Kerfið sem sveitarfélögin notuðust við var keypt af KPMG. Í svari sviðstjóra fyrirtækisins til Persónuverndar sagði að málið mæti rekja til uppfærslu hjá Microsoft, en hugbúnaður frá bandaríska tæknifyrirtækinu var notaður til þess að birta opið bókhald sveitarfélaganna. Í svari Garðabæjar til Persónuverndar segir að við hönnun og framsetningu hins opna bókhalds hafi meðal annars verið lagt til grundvallar að útgjöld undir 500 þúsund krónum skyldu undanskilin. KPMG hafi séð um að útfæra þá forsendu að beiðni Garðabæjar. Það hafi átt að tryggja að ekki væri hægt að kalla fram upplýsingar sem geti talist persónupplýsingar eða viðkvæmar upplýsingar. Þá hafi engar skýringar borist frá KMPG af hverju þetta hafi ekki virkað sem skyldi, né hafi starfsmenn Garðabæjar geta staðfest niðurstöður KPMG að rekja mætti öryggisbrestinn til þeirrar uppfærslu sem fyrirtækið nefndi. KPMG.vísir/gettyHægt að nálgast upplýsingar um 14 einstaklinga Persónuvernd óskaði einnig eftir upplýsingum frá Microsoft á Íslandi um hvenær umrædd uppfærsla hafi verið framkvæmd. Í svari Microsoft sagði að valmöguleikinn sem gerði það að verkum að upplýsingarnar fóru á netið hafi verið fyrst kynntur í apríl 2016, umræddar upplýsingar voru birtar um ári síðar. Í niðurstöðu Persónuverndar segir að það hafi verið „verulega ámælisvert“ af hálfu KMPG að viðhafa þau vinnubrögð að ekki væri gengið úr skugga um að ekki væri mögulegt að nálgast upplýsingar um einstaklinga úr því kerfi sem notast var við. Komst Persónuvernd að þeirri niðurstöðu að lög um Persónuverd hafi verið brotin í málinu en þar sem eldri lög hafi gilt þegar brotið var framið, því gæti Persónuvernd ekki lagt á stjórnvaldssekt vegna málsins. Er lagt fyrir Garðabæ að gera viðeigandi ráðstafanir til að koma í veg fyrir að slíkt geti endurtekið sig. Í svarinu segir einnig að Garðabær hafi brugðist strax við málinu, tekið umræddar upplýsingar af netinu og borin hafi verið fram afsökunarbeiðni og unnið að því að hafa samband við þá einstaklinga sem áttu hlut að máli. Samkvæmt greiningu Garðabæjar var hægt að nálgast upplýsingar um fjórtán skjólstæðinga í 50 tilvikum. Ekkert bendi þó til að umræddar upplýsingar hafi verið vistaðar, þeim dreift eða þær nýttar með öðrum hætti.
Garðabær Persónuvernd Tengdar fréttir Viðkvæmar upplýsingar birtar á heimasíðum sveitarfélaga Þrjú sveitarfélög birtu á heimasíðum sínum viðkvæmar upplýsingar um einstaklinga sem notið hafa þjónustu bæjarfélaganna til dæmis greiðslur vegna sálfræðimeðferðar og fjárhagsaðstoðar. 28. apríl 2018 19:23 Gagnalekinn er á ábyrgð sveitarfélaganna: Persónuvernd segir málið af þeirri stærðargráðu að embættið nýtir heimild til frumkvæðisrannsóknar Í einhverjum tilfellum var opið fyrir upplýsingarnar í tvo til þrjá mánuði. 29. apríl 2018 18:44 Mest lesið Stöðugleiki norðlægrar hringrásar skammgóður vermir fyrir Ísland Innlent Kröfur kvennaárs komnar í innheimtu og gjalddaginn fallinn Innlent Engin lausn og ákveðin sjálfsblekking að banna börnum að nota tölvuleiki Innlent Leggur viðskiptaþvinganir á rússneska olíurisa Erlent Mikill hiti í síðustu kappræðunum fyrir kosningar Erlent Segir tilvalin íbúðasvæði opnast með Sundabraut Innlent „Ég skoðanakúgaði sjálfa mig í þágu friðar og þæginda félagslega“ Innlent Næstum öllum sagt upp hjá dótturfélagi Play Innlent Niðurrif hafið á gamla Morgunblaðshúsinu Innlent Fasteignamarkaðurinn „kaupendamarkaður“ að mati fasteignasala Viðskipti innlent Fleiri fréttir Embættismenn sitji að hámarki í fjórtán ár og aðstoðarmenn hætti fyrir kosningar Engin lausn og ákveðin sjálfsblekking að banna börnum að nota tölvuleiki Stöðugleiki norðlægrar hringrásar skammgóður vermir fyrir Ísland Kröfur kvennaárs komnar í innheimtu og gjalddaginn fallinn Segir tilvalin íbúðasvæði opnast með Sundabraut Niðurrif hafið á gamla Morgunblaðshúsinu Næstum öllum sagt upp hjá dótturfélagi Play „Ég skoðanakúgaði sjálfa mig í þágu friðar og þæginda félagslega“ Burðardýr fengu þungan dóm fyrir kókaínsmygl Skora á ráðherra og segir skjaldborg slegið um vændiskaupendur Fresta fundi til tíu í fyrramálið Stórskemmtilegur innhringjandi og óhefðbundin útför Viðgerð muni taka einhverja mánuði „Afar ólíklegt“ að Nadine taki slaginn í borginni fyrir Miðflokkinn Grunuð um íkveikju í Nettó, Nytjamarkaðnum og eigin húsi Segir borgina refsa foreldrum til að mæta rekstrarvanda Aflýsa verkfalli öðru sinni Umferðarslys á Fagradal og veginum lokað Segir sorglega illa hafa verið haldið á hagsmunum flugsins Umferðarteppa í Ártúnsbrekku vegna aftanákeyrslu Bein útsending: Verndum vatnið Víða vetrarfærð, Fjarðarheiði lokuð og björgunarsveitir aðstoða fólk í föstum bílum Kettlingur í hættu vegna sprautunála og haldið í gíslingu af nágranna Kona í fjölbýlishúsinu talin brennuvargur en gengur laus „Vonbrigði hvað kom lítið út úr fundinum í gær“ Fangavörður rekinn fyrir að stela af fanga Óvissa á Grundartanga og flugumferðarstjórar funda Hafsteinn Dan tekur við formennsku í refsiréttarnefnd Klórar sér í kollinum yfir kvennaverkfallinu Hálfsdagslokun leikskóla skyndilega orðin að heilsdagslokun Sjá meira
Viðkvæmar upplýsingar birtar á heimasíðum sveitarfélaga Þrjú sveitarfélög birtu á heimasíðum sínum viðkvæmar upplýsingar um einstaklinga sem notið hafa þjónustu bæjarfélaganna til dæmis greiðslur vegna sálfræðimeðferðar og fjárhagsaðstoðar. 28. apríl 2018 19:23
Gagnalekinn er á ábyrgð sveitarfélaganna: Persónuvernd segir málið af þeirri stærðargráðu að embættið nýtir heimild til frumkvæðisrannsóknar Í einhverjum tilfellum var opið fyrir upplýsingarnar í tvo til þrjá mánuði. 29. apríl 2018 18:44