Publiceringen ska ha skett av Samhällsbyggnadsnämnden den 16 oktober klockan 9.30 och uppgifterna ska sedan ha legat öppna för allmänheten fram till klockan 15 samma dag. Incidenten ska ha upptäckts av en privatperson som i sin tur informerade ansvariga på kommunen.
Enligt anmälan rör det sig om 14 personuppgifter varav ett personnummer, som okrypterat ska ha legat ute på kommunens egen hemsida, något som strider mot Dataskyddsförordningen (GDPR), som i våras ersatte den gamla personuppgiftslagen (PuL).
– Det är den mänskliga faktorn som ligger bakom det här misstaget, säger Svitlana Jelisic.
Svitlana Jelisic är dataskyddsombud på Flens kommun. Hon berättar att alla nödvändiga åtgärder har tagits.
– Vi anmälde incidenten till Datainspektionen direkt och uppgifterna togs bort när de upptäcktes, säger hon.
Kommunen har valt att inte informera den drabbade personen om incidenten i samband med anmälan.
– Vi har argumenterat för och emot och vår bedömning är att denna incident inte är så pass allvarlig att det kan komma att skada den drabbade personen. Sen kan Datainspektionen komma med en annan bedömning såklart. Det får vi se när beslutet kommer.
Samhällsbyggnadsnämndens ordförande, Tage Persson (C), hoppas att misstaget inte upprepas.
– Det är ett mycket märkligt fel och vi har åtagit de åtgärder som vi ska. Men det här arbetet fortsätter och vi får se det här som en påminnelse om hur viktigt det är att behandla personuppgifter på rätt sätt, dessvärre är människan inte ofelbar och här skedde det ett misstag, säger han.
I anmälan till Datainspektionen uppger kommunen förvisso att incidenten inte bedöms som tillräckligt allvarlig för att behöva informera den drabbade, men Tage Persson (C) vill gärna se att en ursäkt går fram till den drabbade.
– Vi hoppas att det aldrig händer igen och jag skulle vilja be om ursäkt till den som drabbades. Jag kommer att ha ett möte med nämnden och höra vad vi har för möjligheter till att framföra en ursäkt, även om vi inte måste, säger han.
Lagen som reglerar hur personuppgifter får behandlas, GDPR, är fortfarande ny och det finns få domar där GDPR ligger som grund. I Sverige finns än så länge bara några tillsynsärenden publicerade och i dessa fall har inga sanktioner dömts ut. Det som kan komma att bli följden av en personuppgiftsincident är böter i fall där Datainspektionen anser att åtgärderna som vidtagits är otillräckliga eller bristfälliga.