Herold

Kommunen har brutt personvernregelverket: – Skyldes sårbarhet i arkivsystem

Plus
Kilde: KV Author: Kari-Ane Hiis Hanssen Published: 2025-12-20 03:00:00
Kommunen har brutt personvernregelverket: – Skyldes sårbarhet i arkivsystem

Dokumenter sendt ut av Kragerø kommune har ved en feil inneholdt personopplysninger som bryter med personvernregelverket. Kommunen har nå 72 timer på å varsle de berørte og melde avviket til Datatilsynet.

Kragerø kommune har nylig blitt gjort oppmerksom på at det ved en feil har blitt sendt ut informasjon fra kommunen som inneholder personopplysninger. Dette er et avvik i henhold til personvernregelverket (GDPR).

Arkivleder Fredrik Vik Nilsen sier til KV at de ble gjort oppmerksomme på problemet etter å ha mottatt varsel fra sin leverandør av arkivsystemer. Dette gjelder kunder som bruker systemer fra ACOS, helt konkret de som benytter WebSak dokumentsladding for å produsere offentlige varianter av PDF-dokumenter.

Sårbarhet i systemet

– Dette gjelder mange kunder og mange kommuner, ikke bare Kragerø. Men vi var raske med å gi leverandøren samtykke til å sjekke hvilke dokumenter som var sendt ut fra oss og som dette kunne gjelde.

Vik Nilsen forteller at feilen ligger i en sårbarhet i systemet, som fører til at det kan være spor av informasjon i filene som er sendt ut.

– Hvis sensitiv informasjon ligger i en overskrift i dokumentet, vil selve teksten bli sladdet som normalt. Informasjonen kan likevel bli synlig i PDF-filens innholdsfortegnelse (bokmerker). Sensitiv informasjon kan dermed potensielt komme på avveie, skriver ACOS i en e-post til kommunen.

– Vi har manuelt sjekket over 400 dokumenter, forteller Vik Nilsen.

KV har mottatt dokumenter

– Til sammen er 7 avvik funnet. De feilsendte opplysningene er sendt til KV og ingen andre. Vi har ikke fått tilbakemelding om at privatpersoner har mottatt dokumenter, sier Vik Nilsen.

Journalistene som har mottatt dokumentene, har blitt bedt om å slette dem.

I e-posten sendt fra kommunen til de journalistene står det:

  • Slett dokumentene fra din e-post og eventuelle lagringsområder.
  • Bekreft til oss at sletting er utført. Dette haster fordi dette er informasjon vi skal gi de berørte.

KV har som oppfordret slettet de aktuelle dokumentene.

Har 72 timer på seg

Kragerø kommune har 72 timer på å melde fra om avviket til dem som har fått personvernet brutt, som vil si at det måtte skje før helgen. Kommunen beklager feilen og melder avviket til Datatilsynet, noe som også må skje innen 72 timer etter at det ble oppdaget.

Vik Nilsen forteller videre at han er glad for at Kragerø kommune var raske med å reagere på advarselen. Ifølge ham er flere kommuner berørt, blant annet i Grenland, som ennå ikke har tatt grep for å rette opp feilen.

– I Kragerø har vi vært tidlig ute. Jeg går ut ifra at mange kommuner vil komme etter, sier arkivlederen.

Read Original Article ← Back to Articles

🏷️ Extracted Entities (7)

Arkivleder Fredrik Vik Nilsen (person) Kragerø (entity) ACOS (entity) Datatilsynet (entity) GDPR (entity) Grenland (place) WebSak (entity)