Vinnubrögð KPMG verulega ámælisverð að mati Persónuverndar

Lög voru brotin þegar viðkvæmar persónuupplýsingar voru birtar á vef Garðabæjar á síðasta ári. Ráðgjafafyrirtækið KPMG er húðskammað af Persónuvernd sem hóf rannsókn eftir fréttaflutning af málinu.

Greint var frá því í kvöldfréttum Stöðvar 2 á síðasta ári að þrjú sveitarfélög birtu viðkvæmar upplýsingar um einstaklinga sem notið hafa þjónustu bæjarfélaganna, til dæmis greiðslur vegna sálfræðimeðferðar og fjárhagsaðstoðar, á vefjum sem hýstu opið bókhald sveitarfélaganna

Kerfið sem sveitarfélögin notuðust við var keypt af KPMG. Í svari sviðstjóra fyrirtækisins til Persónuverndar sagði að málið mæti rekja til uppfærslu hjá Microsoft, en hugbúnaður frá bandaríska tæknifyrirtækinu var notaður til þess að birta opið bókhald sveitarfélaganna.

Í svari Garðabæjar til Persónuverndar segir að við hönnun og framsetningu hins opna bókhalds hafi meðal annars verið lagt til grundvallar að útgjöld undir 500 þúsund krónum skyldu undanskilin. KPMG hafi séð um að útfæra þá forsendu að beiðni Garðabæjar.

Það hafi átt að tryggja að ekki væri hægt að kalla fram upplýsingar sem geti talist persónupplýsingar eða viðkvæmar upplýsingar.

Þá hafi engar skýringar borist frá KMPG af hverju þetta hafi ekki virkað sem skyldi, né hafi starfsmenn Garðabæjar geta staðfest niðurstöður KPMG að rekja mætti öryggisbrestinn til þeirrar uppfærslu sem fyrirtækið nefndi. 

Hægt að nálgast upplýsingar um 14 einstaklinga

Persónuvernd óskaði einnig eftir upplýsingum frá Microsoft á Íslandi um hvenær umrædd uppfærsla hafi verið framkvæmd. Í svari Microsoft sagði að valmöguleikinn sem gerði það að verkum að upplýsingarnar fóru á netið hafi verið fyrst kynntur í apríl 2016, umræddar upplýsingar voru birtar um ári síðar.

Í niðurstöðu Persónuverndar segir að það hafi verið „verulega ámælisvert“ af hálfu KMPG að viðhafa þau vinnubrögð að ekki væri gengið úr skugga um að ekki væri mögulegt að nálgast upplýsingar um einstaklinga úr því kerfi sem notast var við.

Komst Persónuvernd að þeirri niðurstöðu að lög um Persónuverd hafi verið brotin í málinu en þar sem eldri lög hafi gilt þegar brotið var framið, því gæti Persónuvernd ekki lagt á stjórnvaldssekt vegna málsins.

Er lagt fyrir Garðabæ að gera viðeigandi ráðstafanir til að koma í veg fyrir að slíkt geti endurtekið sig.

Í svarinu segir einnig að Garðabær hafi brugðist strax við málinu, tekið umræddar upplýsingar af netinu og borin hafi verið fram afsökunarbeiðni og unnið að því að hafa samband við þá einstaklinga sem áttu hlut að máli.

Samkvæmt greiningu Garðabæjar var hægt að nálgast upplýsingar um fjórtán skjólstæðinga í 50 tilvikum. Ekkert bendi þó til að umræddar upplýsingar hafi verið vistaðar, þeim dreift eða þær nýttar með öðrum hætti.