Personvern: Fylkeskommunen behandler ikke kritiske avvik

PERSONVERN: Fagskolen Innlandet har ansvar for håndtering av avvik i egen organisasjon, også for personsikkerhet. Fylkeskommunen har åpenbart ikke samme oppfatning ved at kritiske avvik ikke blir behandlet, eller besvart, skriver innsenderen.

PERSONVERN: Fagskolen Innlandet har ansvar for håndtering av avvik i egen organisasjon, også for personsikkerhet. Fylkeskommunen har åpenbart ikke samme oppfatning ved at kritiske avvik ikke blir behandlet, eller besvart, skriver innsenderen. Foto:

Av
DEL

leserinnlegg
Det siste året har det vært fokus på det nye EU-direktivet for personvernsikkerhet, GDPR – General Data Protection Regulation. Vi liker gjerne å tro at vår personsikkerhet er godt ivaretatt både i privat og offentlig sammenheng. Medieoppslag over mange år viser med tydelighet at dette ikke er tilfelle.

I denne kronikken omtales Fagskolen Innlandet (FI) og Oppland fylkeskommune (OFK), offentlige arbeidsgivere som har et større ansvar enn normalt, gjennom lagring av et stort volum sensitiv personinformasjon.

Min bakgrunn for denne ytringen er ansvarsroller som TEKNA-plasstillitsvalgt, hovedtillitsvalgt og ansattes representant i styret ved FI.
FI er et eget foretak, eid av OFK. OFK administrerer blant annet lønn- og datasystemer for ansatte ved fagskolen, ca. 70 i tallet, og studentmassen, i alt ca. 1200 stk.
FI har et eget styre som er ansvarlig for at fagskolen ledes og organiseres i samsvar med Fagskoleloven og våre fagplaner godkjennes og følges opp av Norsk Organ for Kvalitet i Utdanningen – NOKUT.

FI har et kvalitetssikringssystem (KS) som lærerkollegiet skal innrette sin opplæring og undervisning etter. Styret ved styreleder og rektor ved skolen har overordnet ansvar for å oppfylle alle lovkrav til skolen. OFK er representert at fylkesskolesjefen er medlem i Fagskolestyret.

Slik er det ikke den praktiske hverdagen ved at OFK har gjennom sin IT-avdeling, har ansvar for datasystemer. Disse er i hovedsak skrudd sammen med et helt annet formål enn fagskolens behov da OFK sitt hovedansvar for IT er fylkeskommunens administrative aktivitet og gjennom driften av de videregående skolene.

FI sitt lovpålagte KS-system omhandler i hovedsak organisering og rapporteringsrutiner for skolevirksomheten. Rektor og hans stab ved FI er mindre grad omfattet av KS-systemet for studentene da de opererer på en annen dataplattform i OFK-organisasjonen.

Utfordringene for person- og datasikkerhet oppstår i vakuumet mellom fagskolens ansvar og OFK som skoleeier. Rutiner for data og sikkerhet er ikke del av KS-rutinene til fagskolen.

De læreransatte er ikke derfor ikke opplyst om rutinene i OFK. Det betyr i praksis at fagskolen benytter dataløsninger fra en ekstern leverandør, OFK, uten at rutiner og avviksrapportering for skolen er samordnet opp mot OFK sin IT-avdeling.

Dette har jeg som tillitsvalgt tatt opp i avviksmeldinger flere ganger, uten å få gehør.

FI har ansvar for håndtering av avvik i egen organisasjon, også for personsikkerhet. Fylkeskommunen har åpenbart ikke samme oppfatning ved at kritiske avvik ikke blir behandlet, eller besvart.

OFK har også et lønns- og adm. system fra VISMA. Her lagres sensitiv informasjon om den enkelte ansatte. Blant annet en CV-database med informasjon om utdanning, vitnemål, attester, personnummer mv.
Ved en anledning «forsvant» alle ansattopplysninger fra VISMA-databasen. Avviksmelding ble avsendt til ledelsen ved FI, men aldri besvart. Det må betyr at OFK ikke på noe tidspunkt kunne redegjøre for når, og hvordan kritiske data var blitt «borte».

Ved senere omlegging av data for e-post også under ansvar IT hos OFK, ble det kjørt backup på e-post for samtlige ansatte ved fagskolen. Denne ble lagt tilgjengelig for alle i organisasjonen. På ny ble avviksmelding avsendt. E-postsamlingen lå på tross av det alvorlige avviket tilgjengelig i flere måneder. Tilsvar på avviket er aldri mottatt.

Alvoret eskaleres ytterligere ved at avvikene er tatt opp i tillitsmannsutvalget og senere med styreleder og styret, fortsatt uten at det fører til aksjon.

Læreransatte ved skolen har i medhold av åndsverkloven reservasjonsrett i forhold tredjepersons bruk av eget undervisningsmateriell. De ansatte ved skolen bruker OFK sine lagringsplattformer for dette, også for lagring av sensitive personlige datasamlinger opparbeidet praksis i næringslivet. Også her mangler det opplyste rutiner som må formidles ved oppstart og avslutning av arbeidsforholdet.

For et kjent tilfelle stengte OFK tilgang til alle dataplattformer, uten at den ansatte får melding, eller opplyst rutiner for sikring og uthenting av personlig datasamling. Saken ble tatt opp og rutiner ble etterlyst. Tre måneder forløp uten avklaring.
Fra rektor fikk jeg i etterhånd vite at rutiner var etterlyst hos IT-sjefen i OFK. Det tok han over en måned å svare, etter purring. Han kunne da meddele at Microsoft sine rutiner for lagring var at data slettes fire uker etter at OFK stenger tilgangen.

Det må bety at ledere i OFK, og ved FI, ikke er kjent med kritiske rutiner som sikrer lærerne ved skolen. En tilbakemelding om sletting av data, etter utløpt periode som kunne ha reddet datasamlingen, sier sitt. Resultatet er at dataeier sitter fortvilet og konstaterer tap av mange års arbeid, uten at det har konsekvens for arbeidsgiver.

Hvordan kan slik mangel på personsikkerhet tilknyttet databruk kunne fortsette, på tross av varslinger?

Ansvaret for situasjonen ligger hos våre ledere som fortsetter å peke bort fra sin egen ansvarsposisjon slik situasjonen over er opplevd og beskrevet.

Les også: Oppland fylkeskommune tar personvern på alvor


Ola E. Skrautvol

Lillehammer, siv. ing.

Skriv ditt leserbrev her «

DELTA I DEBATTEN! Vi oppfordrer leserne til å bidra med sine meninger, både på nett og i papir

Artikkeltags