Da pandemien brøt ut, var det kaotiske tilstander på kommunens smittevernkontor. Navn på smittede og nærkontakter ble skrevet ned med penn og papir. Til slutt opprettet man en Excel-fil som ble oppdatert fortløpende.

I april 2022 hadde listen strukket seg til å omfatte informasjon om over 120.000 innbyggere. BA har avslørt hvordan kommunen ikke har fulgt retningslinjer i forbindelse med personvernet.

Nå kan vi fortelle hvordan dine opplysninger har blitt oppbevart og håndtert.

Penn og papir var opplagt ikke en god løsning i lengden. Informasjonen måtte lagres digitalt. Hva gjorde man da?

– Fra februar til mars 2020 ble det lagret på en minnepenn som smittevernoverlegen oppbevarte.

Det skriver kommunaldirektør Kjell Wolff i en e-post til BA.

At smittevernoverlegen skulle gå rundt med en minnepenn med data om smittede bergensere var heller ikke en bærekraftig ordning. Fra slutten av mars ble det besluttet å bruke delingsverktøyet Sharepoint for å gi samtidig tilgang til flere personer som jobbet med smittesporing.

Digital sky

Sharepoint er en digital skyløsning hvor man kan lagre og dele blant annet dokumenter, rapporter og arkiver. Det er Microsoft som er leverandør.

– Etat for helsetjenester konkluderte med at i henhold til Datatilsynet og erklæring av 20. mars fra det europeiske personvernrådet, ville det være mulig å bruke Sharepoint som lagringssted, skriver Wolff.

– Mappen der listen lå var styrt med tilgangskontroll, fortsetter han.

Har du tips om saken?

Kontakt meg på e-post, telefon eller på kryptert melding via Signal.

[email protected] | 47661546

Erklæringen fra det europeiske personvernrådet sier imidlertid ingenting om at Sharepoint er en godkjent lagringskilde for sensitive personopplysninger. I 2015 la Datatilsynet ut en blogg hvor de tar opp temaet med skydeling. Der skriver de:

«Vi i Datatilsynet kan ikke si «ja, dere kan bruke skytjenester», fordi vi er ikke juridisk ansvarlig for virksomheters behandling av personopplysninger. Så det er ikke bare å legge personopplysninger ut i skyen? Nei, det er det ikke. Det er mange aspekter og problemstillinger man må vurdere.»

Dette er saken:

– Vil ta en gjennomgang

Kristian Gjøsteen er professor på NTNU hvor han blant annet forsker på kryptografi, digital sikkerhet og sårbarhet. Han reagerer på måten kommunen har håndtert dataene.

– Hvis informasjonen ligger på én minnepenn, har man til en viss grad mulighet til å holde kontroll på dataene. I det øyeblikket dataene legges på en løsning som Sharepoint, får man mye mindre kontroll over hvor dataene beveger seg, forklarer Gjøsteen.

– Det er helt opplagt at denne typen informasjon ikke har noe på en Sharepoint-løsning å gjøre.

Kommunaldirektør Wolff sier de vil gjennomgå vurderingene som ble gjort.

– Da listen ble overført til Sharepoint, var Etat for helsetjenester i dialog med rådgiver ved Personvernombudet for å få råd.

– Vi vil nå sammen med Personvernombudet i kommunen, ta en gjennomgang av vurderingene som ble gjort rundt dette.

Les også

Datatilsynet: – Kan være et lovbrudd

Listen er passordbeskyttet

Sommeren 2021 ble det opprettet en kopi som smittesporerne brukte. I denne lå det bare informasjon registrert de siste tre ukene. Hovedregisterer ble sikret ved bruk av passord som bare noen få personer hadde tilgang til.

Data ble deretter overført ukentlig fra arbeidslisten til den passordbeskyttede listen.

– Når en ikke lenger hadde behov for å bruke listen til smittesporing, ble filen flyttet over til sikker sone i kommunens datasystem. Listen er fortsatt passordbeskyttet, forklarer Wolff.

Les også

Sterke reaksjoner på korona-listen. Byråden kalles inn på teppet.

I april 2022 ble arbeidet med å oppdatere listen stanset. I dag er det kun assisterende kommuneoverlege Arild Iversen og en annen spesialrådgiver som har tilgang til listen.

Totalt har 103 personer hatt full tilgang til Hovedlisten for covid-19, ifølge Wolff.

Han mener det ble gjort tilstrekkelige tiltak for å ivareta personvernet til innbyggerne i forbindelse med registreringen.

– Fokus under pandemien har vært på å sikre innbyggernes liv og helse, og kontrollaktiviteter har hatt lavere prioritet. Etaten gjennomførte risikovurderinger og det ble satt inn tiltak slik at personvernrisiko skulle være akseptabel.

– Bare fantasien som setter grenser

Maria Bartnes er forskningssjef ved SINTEF Digital og leder en avdeling innen systemutvikling og sikkerhet. Hun mener man må ha forståelse for at omstendighetene var ekstreme da pandemien brøt ut, og at retningslinjer ikke alltid ble fulgt.

– Jeg skjønner at det går an å sette spørsmålstegn ved denne registreringen og oppbevaringen av helseopplysninger. Samtidig skal man huske på at det var stor usikkerhet i hele samfunnet, og hensynet til liv og helse trumfer alt i en slik situasjon, sier hun.

– Hvem kan være interessert i slike personopplysninger og helsedata?

– Det er et godt marked for personopplysninger, inkludert helseopplysninger, ikke minst når en henter opplysninger fra ulike registre og sammenstiller dem. Da er det bare fantasien som setter grenser for hva det kan brukes og misbrukes til.