Personuppgiftsincident anmäls till Integritetsskyddsmyndigheten

Publicerat 6 maj, 2022

I de så kallade V6-kommunerna, Lidköping, Skara, Vara, Götene, Grästorp samt Essunga finns en intern användarkatalog (AD) som bland annat har som uppgift att förse webbpubliceringssystemet för intranät och extern webb med adekvata användaruppgifter gällande anställda inom kommunen. Kommunerna blev den 4 maj uppmärksammade på att det från denna katalog går att söka ut namn, användar-id, klasstillhörighet samt e-postadresser till alla elever som finns från förskoleklass till och med gymnasie- och vuxenutbildning i det interna system som används för webbpublicering. Det går även att söka ut uppgifter på tidigare anställda i kommunen.

Vara kommuns logotyp.

Händelsen bedöms vara en personuppgiftsincident och ska som sådan anmälas till Integritetsskyddsmyndigheten (IMY) eftersom det gäller ett stort antal personer inklusive omyndiga.

Personuppgifterna i vår användarkatalog anses var och en för sig som harmlösa. Men vi ser allvarligt på detta på grund av personuppgiftsincidentens omfattning och att det till viss del gäller omyndiga som anses särskilt skyddsvärda enligt dataskyddsförordningen. Utifrån dessa omständigheter bedöms det vara sannolikt att personuppgiftsincidenten medför en risk för personers rättigheter och friheter enligt dataskyddsförordningen, säger Elin Karls, kommunjurist vid kommunledningsförvaltningen i Lidköpings kommun.

Webbpubliceringssystemet i sig har ingen koppling till ordinarie system som behövs för att administrera uppgifter om elever i verksamheterna.
Totalt är det drygt 300 personer inom V6-kommunerna som har potentiell möjlighet att göra utsökningar i systemet då dessa uppgifter kan bli synliga.

Nu anmäler Lidköpings kommun detta ärende till IMY och parallellt kommer vi nu att vidta åtgärder för att säkerställa så att vi uppfyller lagkraven. Vi behöver också se till att sk. PUB-avtal finns för det aktuella systemet, säger Elin Karls.

Övriga kommuner arbetar också med frågan om anmälan till IMY och avgör om en anmälan ska göras. Vara kommun kommer därför också göra en egen anmälan till IMY.

Under de senaste åren har kraven kontinuerligt skärpts kring användaruppgifter och personlig integritet utifrån dataskydd och GDPR, spårbarhet och lagring. När systemet för webbpublicering installerades för 17 år sedan var kraven helt andra än idag. Drift för samtliga system som är berörda av incidenten sköts av det kommungemensamma kommunalförbundet Göliska IT. Göliska IT kommer nu tillsammans med kommunerna att se över vilka eventuellt ytterligare system som är påverkade av ett liknande upplägg med koppling till denna typ av katalog och se till så att möjligheten att söka ut personer på detta sätt försvinner.

Kontaktpersoner

Lidköping

Kanslichef och tf utvecklingschef: Madelén Schöldberg, 0510-77 67 60
Kommunjurist och GDPR-samordnare för Lidköpings kommun: Elin Karls, 0510-77 01 69
Kommunikationschef: Michael Malmborg, 0738-55 23 34

Vara

Kommunjurist och tf kanslichef Ingrid Everhag (kommunjurist för både Vara och Grästorp) 0512-310 66
Kommunikationschef Maria Joelsson: 0512-310 16

Skara

Chefsjurist Mikael Hätting: 0511-324 29
Kommunikationsstrateg Edith Rudström: 0511-321 98

Götene

Kommunikationsstrateg Charlotta Lövgren, 0511-38 60 47
GDPR-samordnare Ted Ek, 0511-38 60 43