Februar 2020. Frykten for viruset sprer seg. Mens folk hamstrer hermetikk og dopapir, starter et prosjekt i Bergen kommune. Et prosjekt som krever intens innsats og kontroll.
For å få oversikt over situasjonen registrerer man så mye som mulig om de som er smittet.
Det starter med en liste ført ned på et ark. Kolonner og linjer blir nærmest tegnet med blyant og linjal, mens man fyller inn informasjon for hånd.
Dette var starten på et register som Bergen kommune i dag kaller «unikt i nasjonal og internasjonal sammenheng». Listen som startet på et papirark, har blitt til en Excel-fil med store mengder informasjon om over 120.000 mennesker som ble smittet i kommunen vår.
Navn og helsehistorie
«Hovedlisten for COVID-19» er navnet på registeret. Ble du smittet av korona i Bergen under pandemien er det stor sannsynlighet for at du står på listen.
Der står det informasjon som navnet ditt, fødselsnummer, hvor du bor, hvor du jobber, telefonnummeret ditt, levekårssone, hvordan du ble smittet og kort helsehistorikk.
Foruten de som har jobbet med listen, er det få som vet at den eksisterer. Det finnes ingen informasjon om listen på Bergen kommune sine nettsider.
– Vi var nødt å ha et system for registrering og sporing under pandemien. Kommunen var pliktig til å gjøre det med tanke på smittevernloven. Det ble samlet inn data som vi mente var nødvendig for å drive smittesporing, sier Arild Iversen.
Han er i dag assisterende kommuneoverlege i Bergen. Iversen og en annen spesialrådgiver i kommunen er de eneste personene som i dag har tilgang til Hovedlisten, ifølge Iversen.
– Under pandemien hadde de som jobbet med smittesporing delvis tilgang til listen. Det var fordi vi ville unngå at veldig mange personopplysninger var tilgjengelig, forklarer Iversen.
Personvernombudet visste ingenting
Gjennom pandemien ble det opprettet en rekke registre for å følge, overvåke, lære av og spore korona-situasjonen i Norge. Felles for de fleste er at de er forankret hos nasjonale helsemyndigheter som FHI, Helsedirektoratet eller Norsk pandemiregister.
Førsteamanuensis Malgorzata Cyndecka på UiB er ekspert på personvern. Hun stiller spørsmål ved hvordan kommunen har forholdt seg til dataene man har samlet inn.
– Kommunen må redegjøre for hvordan de tolket bestemmelsene slik at det kom frem at kommunen hadde en rettslig plikt og at det var nødvendig med en, nokså omfattende, behandling av personopplysninger, forteller hun til BA.
I kommunen er det personvernombudet som vanligvis vurderer lovligheten av for eksempel datainnsamling og lagring. Når BA spør om personvernombudet i kommunen hadde tatt stilling til korona-listen, får vi dette svaret:
Nåværende personvernombud i Bergen kommune, Knut Roald, forteller at han ikke har hørt om Hovedlisten for COVID-19.
– Jeg kjenner ikke til at kommunen har vært inne og vurdert denne listen, sier Roald, som presiserer at han startet i jobben i februar 2022 og ikke kan svare for tidligere personvernombud.
Kan få gigantbot
– Dette er ikke til å tro. Skal man bortforklare alt med «gode intensjoner» og en «ekstraordinær situasjon», spør Cyndecka retorisk.
Hun er overrasket over at kommunen ikke har gjort en såkalt personvernkonsekvensvurdering (DPIA) når man har behandlet Hovedlisten. Enkelt forklart skal en DPIA sikre at personvernet til de som får sine personopplysninger behandlet, er ivaretatt.
– Gitt at kommunen behandlet personopplysninger til 120.000 innbyggere og disse inkluderte helseopplysninger, som er sensitive personopplysninger, hadde kommunen en plikt til å gjennomføre en DPIA.
I Norge er det blant annet EU-regelverket GDPR som regulerer virksomheters plikter i forbindelse med personvern.
– Etter GDPR kan en mangel på en DPIA føre til at Datatilsynet pålegger sanksjoner. Hvis det ikke gjennomføres en DPIA der det er pålagt, kan det føre til administrative bøter på opptil 10 millioner euro.
Totalt samlet kommunen inn 46 datapunkter om innbyggerne. Ikke alle punktene har blitt brukt på alle som ble registrert. En av kategoriene Cyndecka reagerer på, er innsamling av informasjon om levekårssone.
– Uten at jeg kan skissere noen skrekkscenarioer, er jeg svært skeptisk til å samle og koble opplysninger om smitte, vaksinasjon og levekårssone uten at man har en svært god grunn til dette og sørger for at dette ikke fører til noen uheldige antakelser, forteller Cyndecka.
Byråden kjente til listen
Kenneth Oppedal var personvernombud i kommunen ved pandemiutbruddet og frem til høsten 2021. Han forteller at han aldri mottok noen forespørsel fra ledelsen i kommunen om å vurdere personvernet til innbyggerne som havnet på listen.
– Jeg ser poenget med at denne listen har en sentral posisjon og nok burde vært gjenstand for nærmere oppfølging, forteller han.
For mange er det tidligere helsebyråd Beate Husa som representerer kommunens handlinger under pandemien. Det var hun som sto, ofte sammen med byrådsleder Roger Valhammer, på pressekonferanser når smitten skjøt i været og tiltak ble innført.
Husa bekrefter at hun kjenner til listen.
– Ja, jeg kjente til at kommunen hadde denne listen. Jeg kan ikke huske å ha vært med i diskusjoner knyttet til det som omhandler personvern og innsynsrett knyttet til listen, sier hun til BA.
– Burde ikke den politiske ledelsen tatt ansvar for at kommunen gjorde de riktige tiltakene og vurderingene før man gikk i gang med innsamling av data om over 120.000 innbyggere?
– På generelt grunnlag er det min erfaring at byrådsavdeling for helse og omsorg har et bevisst forhold til alt som handler om personvern og sikker behandling av helseopplysninger, svarer Husa.
Personvern-ekspert Malgorzata Cyndecka er ikke særlig imponert over kommunens håndtering.
– Dette er ganske uhørt. En DPIA måtte klart gjennomføres i lys av at Hovedlisten innebar behandling i stor skala av særlige kategorier av sensitive personopplysninger. Ifølge lovverket er kommunen pålagt å be om råd fra personvernombudet når en DPIA skal utføres, sier Cyndecka.
– Viktig for tilliten
Også nasjonale myndigheter samlet personinformasjon under pandemien. I motsetning til i Bergen kommune finnes det utstrakt informasjon om registre, hvordan informasjonen er samlet inn, hvordan den blir behandlet – og ikke minst hvordan du kan få innsyn i dine opplysninger.
I flere av dokumentene BA har fått tilgang til, vises det til smittevernloven og kommunens plikt til blant annet smittesporing. Vurderingene av innbyggernes rett til innsyn og reservering, blir sjelden nevnt.
Juridisk seniorrådgiver i Datatilsynet, Susanne Lie, skriver i en e-post at de forventer at kommunen har fulgt lovverket.
– Vi forutsetter at Bergen kommune er kjent med pliktene i personvernregelverket blant annet knyttet til rettslig grunnlag, formålsbegrensning og dataminimering. Enhver behandling av personopplysninger krever rettslig grunnlag, opplyser Lie.
Hun forteller at Datatilsynet ikke er kjent med listen, og at de derfor uttaler seg på generelt grunnlag.
– Det er svært viktig for tilliten til offentlige myndigheter at kommunene håndterer helseopplysninger om innbyggerne på en lovlig og betryggende måte.