PVN-2023-09 Brudd på personopplysnings- og informasjonssikkerheten i Karmøy kommune - overtredelsesgebyr
I nesten tre år hadde Karmøy kommune manglende tilgangskontroll i mappestrukturen i kommunens systemer på fellesområdet. Opplysningene i mappene omfattet bl.a. helseopplysninger og var tilgjengelig for 1 727 ansatte innen sektoren helse og omsorg, også ansatte uten tjenstlig behov. Det dreide seg om en uaktsom overtredelse av artikkel 32 og artikkel 24, samt pasientjournalloven §§ 22 og 23. Nemnda var enig med Datatilsynet i at sikkerhetsbruddet, som omfattet særlige kategorier opplysninger, var alvorlig og at kommunen skulle ilegges et gebyr på 300 0000 for bruddet på personopplysningssikkerheten. I formildende retning la nemnda vekt på at kommunen selv avdekket den ulovlige behandlingen og iverksatte tiltak for å unngå eller minimere skaden. I skjerpende retning ble det lagt vekt på at det tok tre uker fra kommunen oppdaget avviket til dette ble lukket og først ble meldt til Datatilsynet på dette tidspunktet, lenge etter fristen på 72 timer. Hensynet til likebehandling, samt kommunens størrelse og økonomi ble også hensyntatt ved gebyrfastsettelsen.