Känsliga personuppgifter hade felaktigt sparats på en molntjänst – nu utreder kommunen händelsen.
Det var ett dokument från socialförvaltningen som innehöll "känsliga och extra skyddsvärda personuppgifter" om drygt 500 personer, som felaktigt hade sparats på molntjänsten Google drive. Det rör sig bland annat om personnummer och adresser, men även om kommuninvånares etniska tillhörighet och om de har något missbruk.
Den vanligaste orsaken till att obehöriga får tillgång till känsliga personuppgifter som de inte borde ha, är genom att mejl går till fel personer.
– Om man ska skicka ett mejl till någon, och skriver in dennes förnamn, men råkar få upp någon annan ur kontaktlistan med samma namn, så händer det att man skickar till den personen istället, förklarar kommunens dataskyddsombud Svitlana Jelisic.
Men i det här fallet gick det inte till så. Problemet med att förvara känsliga personuppgifter på Google drive är att molntjänsten är amerikansk, och där gäller inte dataskyddsförordningen GDPR. Risken med att uppgifterna finns hos ett amerikanskt bolag, är att amerikanska myndigheter kan begära ut uppgifterna. Dessutom kan fler inom kommunen som inte borde ha tillgång till uppgifterna, fått det via molntjänsten.
– Vi har ingen möjlighet att kontrollera om uppgifterna har hamnat i orätta händer, säger Svitlana Jelisic.
Efter att läckan upptäcktes tillsattes en särskild utredning för att få bukt med problemet. Redan den 10 juni fanns en ny rutin tillgänglig för kommunens medarbetare, som beskriver hur dokument med känsliga personuppgifter ska behandlas.
– Dokumenten ska hanteras i särskilda system, som inte är molntjänster. Om det inte finns några sådana system ska man kontakta IT-supporten, säger Jelisic.
Enligt dataskyddsförordningen GDPR skulle personuppgifterna inte ha hanterats på det sättet som de gjorde.
Nu har ytterligare dokument som inte borde förvaras på Google drive upptäckts, något som också för någonting positivt med sig, förklarar Svitlana Jelisic.
– Det här ska absolut inte förekomma, men nu när det väl har gjort det ser vi till att verkligen granska oss själva, säger hon.
Redan 2020 utbildades kommunens personal i säker hantering av personuppgifter, där det ska ha framgått att sådana uppgifter inte ska finnas på Google drive. Nu ska personalen ges fler tillfällen till utbildning för att minska risken för fortsatt felaktig hantering av känslig information.