logga-ligg-tjock

Kommunanställdas läkarintyg kunde ses av all personal

Kommunanställdas läkarintyg kunde ses av all personal

Uppgifter från medarbetarsamtal, läkarintyg med mera var under mer än ett år möjliga för alla kommunanställda att se. Foto: Urban Önell

En grupp anställdas läkarintyg och anteckningar från medarbetarsamtal och lönesamtal var tillgängliga för all personal, cirka 5 000 personer, på Hässleholms kommuns intranät under mer än ett år. Anledningen var ett tekniskt fel i samband med ett systembyte. I anmälan till Datainspektionen bedömer kommunen allvarlighetsgraden för incidenten som “obetydlig”.

Enligt Datainspektionens jurist är ett läkarintyg en känslig personuppgift och när känsliga uppgifter röjs kan det få negativa konsekvenser för enskilda.

Frilagt berättade för några veckor sedan att uppgifter om elevers stödbehov med mera låg i delade mappar som alla med tillgång till barn- och utbildningsförvaltningens intranät kunde nå. Tusentals elever och skolpersonal har haft möjlighet att ta del av dessa uppgifter under flera års tid. Först när Frilagt uppmärksammade läckan vidtogs åtgärder.

Totalt har kommunen under 2019 och 2020 gjort fyra anmälningar om så kallade personuppgiftsincidenter enligt dataskyddsförordningen, där personuppgifter röjts i kommunens digitala nätverk.

Den 11 december 2019 anmälde kultur- och fritidsförvaltningens att fem anställdas läkarintyg och anteckningar från medarbetar- och lönesamtal läckt ut.

Blev upprörd och rädd

Frilagt har haft kontakt med en av de drabbade.

– Det kändes för jävligt såklart, det är ju känslig information som helt plötsligt låg öppet för alla inom kommunen.

– Jag blev otroligt upprörd och rädd, jag loggade ju in och hittade enkelt mina och andras läkarintyg med mera, säger hen som dock bara tittade på sina egna uppgifter.

På läkarintygen fanns bland annat uppgifter om diagnoser. I anteckningarna stod chefens åsikter efter medarbetarsamtalen.

– Klart det är känsliga uppgifter.

Vad tycker du om att kommunen i sin anmälan till Datainspektionen skriver att skadan som händelsen kan ha orsakat är ”obetydlig”?

– Jag kan förstå att det på det stora hela inom kommunen inte spelar så stor roll men för oss kunde det haft riktiga konsekvenser. Det är ju så klart hjärtskärande att folks läkarintyg eller vad vi sagt i våra lönesamtal mellan arbetstagare och chef ses som obetydliga om det nu har öppnats och lästs av flera, vilket vi inte vet något om.

Gemensam mapp på kommunens servrar

Uppgifterna skulle enligt kommunens anmälan ligga i en mapp i en chefs hemmakatalog med endast personlig åtkomst, men i samband med ett systembyte hösten 2018 hamnade de i en gemensam mapp på kommunens servrar. Vem som helst med tillgång till kommunens nätverk kunde därmed nå dem, men bara genom att söka på “medarbetarsamtal”.

Hur många som faktiskt gjort det är oklart. Men problemet upptäcktes av en anställd som inte skulle haft tillgång till uppgifterna. Det var den 11 december klockan 13:18. I anmälan står att incidenten också inträffade vid denna tidpunkt, vilket alltså är fel. Efter larmet raderade kommunen snabbt uppgifterna och kontaktade de drabbade. En djupare utredning gjordes för att säkerställa att inte mer känslig information hamnat fel.

I anmälan skriver kommunen att konsekvenserna av händelsen blev att de berörda förlorade kontrollen över de egna personuppgifterna och förlorade konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt. Trots detta bedöms alltså skadan som obetydlig. Alternativen hade varit begränsad, betydande eller mycket allvarlig.

Få drabbade och liten volym data

Calle Alm, informationssäkerhetsansvarig på Hässleholms kommun. Foto: Berit Önell

Kommunens informationssäkerhetsansvarige Calle Alm gav kultur- och fritidsförvaltningen rekommendationer om hur bedömningen skulle göras. Han minns dock inte exakt vad som gjorde att allvarlighetsgraden blev obetydlig.

– Ett antal faktorer avgör hur vi värderar allvarlighetsgraden i en incident, förklarar han.

I detta fall drar han sig till minnes att det bland annat var få drabbade och liten volym av data.

– I läkarintygen stod att personen varit hos läkare, inte varför, säger han också.

Måste veta sökvägen

Han menar dessutom att det inte var så enkelt att komma åt informationen eftersom man var tvungen att veta sökvägen och skriva in den i sökfältet.

Han konstaterar att kommunen ändå kontaktade de utsatta.

– Om det hade varit obetydligt hade vi sannolikt inte gjort det.

Calle Alm säger att det var liten risk att uppgifterna exponerats för andra.

– Men risken fanns, säger han.

Varför har ni inte skrivit hur många som hade möjlighet att se uppgifterna?

– Jag kan faktiskt inte svara på det. Det var teoretiskt möjligt att alla skulle kunna hitta dem. Men väldigt få använder sökfältet.

Anders Rosengren är chef över kultur- och fritidsförvaltningen. Foto: Lotta Persson

Han anser att det viktigaste att värdera är om det är en incident på den undre eller övre halvan av allvarlighet.

Kultur- och fritidsförvaltningschef Anders Rosengren berättar att de ansvariga trodde att allt känsligt material plockats bort direkt efter larmet.

– Men efter ytterligare någon timme upptäcktes att allt inte var borta. Nu har vi gått igenom alla mappar så att det inte ska finnas något mer sådant. Vi har också en pågående information till alla om hur de ska spara material. Det här är jättebeklagligt för de drabbade. Ens läkarintyg vill man inte ska ligga så, säger han.

Svårt att komma fram till att det var obetydligt

Murat Vrana, jurist på Datainspektionen, förklarar att vid en anmälan om så kallad personuppgiftsincident är det den som är personuppgiftsansvarig, i detta fall på kommunen, som ska bedöma skadans allvarlighetsgrad och ange den i anmälan till Datainspektionen. Det görs på en fyragradig skala där “obetydlig” är den lägsta nivån.

– Ju känsligare personuppgifter det rör sig om, desto större är i regel intrånget i den personliga integriteten. Omständigheter som kan sänka risken när känsliga personuppgifter ligger tillgängliga är exempelvis om man via tillförlitliga logguppgifter kan visa att ingen tagit del av informationen trots att den varit tillgänglig, förklarar Murat Vrana.

Han säger att läkarintyg utgör känsliga uppgifter och att det som framgår av medarbetarsamtal, exempelvis personliga omdömen och prestationsomdömen, av många anses vara integritetskänsliga uppgifter.

– Så fort ett läkarintyg säger något om en persons hälsa är det en känslig uppgift. Det räcker att det står att en person har en viss diagnos eller sökt läkarvård för en viss krämpa, säger han.

Kan en incident vara obetydlig, trots att läkarintyg kommit ut till obehöriga?

– Nej, det skulle jag säga att det är svårt att komma fram till, säger Murat Vrana, som betonar att han inte kan uttala sig i ett enskilt fall utan att ha gjort en gedigen utredning.

Lång tid höjer risken

Hur lång tid uppgifterna ligger ute har också betydelse.

– Om personuppgifter av misstag tillgängliggörs under lång tid är det en omständighet som kan höja risken för intrång i den personliga integriteten, säger Murat Vrana.

 Omständigheter som däremot kan sänka risken för intrång i den personliga integriteten är om personuppgifter inte röjs utanför den egna organisationen, om det finns möjlighet att vidta direkta åtgärder när incidenten inträffat och om man inom organisationen tydligt har gett instruktioner till anställda om hur de ska agera vid en personuppgiftsincident.

När den potentiella skaderisken ska bedömas handlar det också om eventuell risk för id-kapning, falsk ryktesspridning eller ekonomisk skada.

– Om en incident innebär att de registrerade kan drabbas av allvarliga negativa konsekvenser och risken för det är hög kan man utgå ifrån att det föreligger en hög risk för deras friheter och rättigheter. Ett exempel är om journalsystemet hos en vårdgivare ligger nere under några timmar och patienter inte kan få den vård som de behöver på grund av att informationen i journalerna är otillgänglig, säger Murat Vrana.

När det gäller de läckta filerna om elevers stödbehov på grund av dyslexi och talsvårigheter är han mer osäker på om de kan betraktas som uppgifter om hälsa.

– Men om andra elever har kunnat se dem kan det vara ett stigma för enskilda elever som bland annat skulle kunna riskera ryktesspridning, säger han.

Berit Önell

Läs mer:

2020-03-22 Elevers namn och stödbehov läckte till obehöriga

2020-03-23 Genomgång av läckta elevuppgifter kan ta hela veckan

Uppskattar du Frilagt?
Frilagt behöver ditt stöd för att fortsätta granska!

Bankgiro: 
597-6535
Konto: 8403-8, 33 403 635-7
Swish: 0708938399
Kontakt: prenumeration@frilagt.se