Millioner av dokumenter: Sender ut usensurerte grunnbøker fulle av personnumre [Ekstra]

[Martin Braathen Røise]

<br data-mce-bogus="1">

Millioner av dokumenter: Sender ut usensurerte grunnbøker fulle av personnumre [Ekstra]

[jarlekh]

Dette har Arkivverket og Datatilsynet vist om i flere år. Aftenposten hadde en sak[1] om dette i 2016 og Arkivverket og Datatilsynet sa mye det samme som i denne artikkelen. Siden har ingen hørt noe. Denne gangen er de litt mer i tvil og skal møtes for å snakke om det. Løsningen var den samme da som i dag. Skal noen hente dagens grunnbok må de autentisere seg med bankid eller tilsvarende og da får de ikke utlevert fødselsnummer.

 

Jeg spurte Arkivverket i begynnelsen av mai hvilke vurderinger som var gjort med tanke på personvern i denne løsningen. Arkivverket svarte da at

1) de må følge offentlighetsloven og tilgjengeliggjøre offentlig informasjon til de som ber om innsyn i dette.

2) fødselsnummer ikke er sensitiv informasjon og ikke underlagt taushetsplikt.

3) en må arbeide en del for å finne eiendommer hvor det er oppført fødselsnummer.

4) en må arbeide en del med å finne fødselsnummeret til en person som lever i dag.

 

Mine kommentarer til dette blir:

1) Selvfølgelig, men de må også følge andre lover.

2) Riktig, men viktig informasjon ved identitetstyveri. Offentlegforskrifta §7 sier og at personnummer ikke skal tilgjengeliggjøres på internett. Det å gå inn på en webside og automatisk få tilsendt link til data på e-post uten at dataene er kvalitetssikret bør regnes som tilgjengeliggjøring på internett.

3) Jeg har sjekket syv grunnbøker. I tre av disse grunnbøkene fant jeg fødselsnummer til seks personer. Dette er ikke et representativt utvalg, men det var ikke vanskelig å finne fødselsnummer.

4) Her lurer jeg litt på Arkivverkets virkelighetsbilde. Tjenesten har grunnbøker for eiendommer frem til begynnelsen av 1990-tallet. De som kjøpte eiendom da er nå fra 50 år og oppover og lever forhåpentligvis i 30-40 år til.

 

I artikkelen argumenters det også med at det er teknisk vanskelig å fjerne fødselsnummer. At noe er teknisk vanskelig gir en ikke lov til å bryte loven.

 

I eposten i begynnelsen av mai avsluttet Arkivverket med "Når det er sagt, så ønsker vi stadig å forbedre oss og vi ser derfor på mulighetene til å kunne ivareta personvernhensynet bedre samtidig som vi ikke bryter med offentleglova." I dette leser jeg en innrømmelse av at det sansynligvis bryter loven.

 

For snart tre år siden sa Datatilsynet at Arkivverket sin løsning har "sitt på det tørre" siden data måtte bestilles og ikke lå direkte ute. Jeg mener dette ikke har noe å si. Fødselsnummerene er gjort tilgjengelig på internett og kan hentes uten nevneverdig forsinkelse. Det kan ikke ha noen betydning om data leveres med over http(s), smtp eller annen _internett_-protokoll. Forskriften skiller ikke mellom protokoller, den sier internet, og det er som kjent mer en webben (http). Datatilsynet sa også at "dette er ikke innebygd personvern, og misbrukspotensialet er til stede. Det er en mindre god løsning for personvernet, og i en ideell verden burde det vært sladdet".

 

Her må det ryddes opp!

 

Håper Digi følger opp denne saken og ikke lar Datatilsynet "glemme" det denne gangen også.

 

[1] https://www.aftenposten.no/norge/i/wLrVo/Arkivverket-har-lagt-ut-svart-mange-nordmenns-personnumre-pa-nettet