<b>SKANDALE?</b> Da selvangivelsen for 2011 ble lagt ut 20. mars 2012 fikk flere brukere se en kopi av meldingsboksen til Kenneth (36). Men det var ingen som faktisk ble logget inn som 36-åringen, og således var det heller ingen personvernskandale. Foto: Altinn
SKANDALE? Da selvangivelsen for 2011 ble lagt ut 20. mars 2012 fikk flere brukere se en kopi av meldingsboksen til Kenneth (36). Men det var ingen som faktisk ble logget inn som 36-åringen, og således var det heller ingen personvernskandale. Foto: AltinnVis mer

Altinn har aldri lekket sensitive personopplysninger

Bare navnet og fødselsnummeret til Kenneth og kona hans – og det er ikke spesielt alvorlig. Eller?

Tidligere denne måneden skrev DinSide om Skatteetaten som nå ønsker å si farvel til selvangivelsen på papir. I den forbindelse var det naturlig å nevne problemene som oppsto da selvangivelsen for 2011 ble lagt ut på Altinn i mars 2012.

Kenneth-saken omtalte DinSide som en personvernskandale – men den karakteristikken er ikke Altinn spesielt begeistret for. Og de får, overraskende nok, full støtte av Datatilsynet.

– Sett opp mot annen, institusjonalisert masseutlevering av folks personopplysinger, så var Altinn-saken ikke noen personvernskandale i det hele tatt, sier Ove Skåra, informasjonsdirektør i Datatilsynet, til DinSide.

Sannheten om Kenneth-saken

For å oppklare hva som virkelig skjedde 20. mars i fjor har Altinn lagt ut informasjon om Kenneth-saken på sine nettsider.

– Den uheldige hendelsen i mars 2012 ga ingen uvedkommende tilgang til Kenneth (36) sin selvangivelse, skriver Altinn i forklaringen.

Feilen i en såkalt cache-modul førte til at en kopi av meldingsboksen til 36-åringen ble vist til brukere som ennå ikke hadde logget inn i Altinn. I realiteten var altså ingen innlogget som 36-åringen, og de som klikket på lenken til selvangivelsen hans, fikk beskjed om at de ikke hadde tilgang. Personopplysningene som ble vist, var navn og fødselsnummer til to personer: Den mye omtalte Kenneth og kona hans.

Ekteparet gikk senere til sak og fikk utbetalt til sammen 20.000 kroner i erstatning. Ikke fordi Brønnøysund-registrene (som drifter Altinn) mente at de hadde noen formell erstatningsplikt, men nærmest som et plaster på såret for all oppmerksomheten ekteparet ble utsatt for i mediene.

Langt verre ting har skjedd

En prat med Datatilsynet om saken er ikke nødvendigvis beroligende. Informasjonsdirektør Ove Skåra kan nemlig fortelle at langt verre ting har skjedd - helt lovlig. Foto: Hans Fredrik Asbjørnsen/Datatilsynet Vis mer


Skåra forklarer hvorfor Datatilsynet mener at Kenneth-saken ikke var noen personvernskandale. Forklaringen er offentlighetsloven, som har åpnet for at langt mer avslørende informasjon har blitt delt ut fra kommunale og statlige etater, og det med nettopp loven i hånd.

Med bakgrunn i offentlighetsloven kan nemlig hvem som helst be om utskrifter fra statlige og kommunale registre. Eksempler på forespurt informasjon er lister over elever ved de kommunale skolene, innsyn i lønnen til alle ansatte i et departement eller annen informasjon de fleste av oss vil oppfatte som personlig.

Dersom personnummer var en del av den registrerte informasjonen som ble etterspurt, skulle man i følge offentlighetsloven også inkludere personnummer i informasjonen som ble sendt til den som hadde begjært innsyn. Sammenlignet med denne lovlige utleveringen av informasjonen, er Kenneth-saken bare peanøtter i forhold, skal vi tro Skåra i Datatilsynet.

Dette ble imidlertid strammet inn i slutten av 2011, slik at fødselsnummer ikke lenger skal være inkludert når informasjon utleveres.

Les også: Pass på neste gang du skal fylle bensin – her blir du nemlig svindlet

Masseutlevering av informasjon

Skattelistene er blant offentlig informasjon som har blitt mindre tilgjengelig. Men fortsatt er det en vei å gå, skal vi tro Datatilsynet. Foto: Per Ervland Vis mer

Under henvisning til offentlighetsloven henvendte en kommersiell aktør seg til NTNU i Trondheim og krevde utlevert lister over tusenvis av studenter. Listene skulle inneholde navn, studieretning og år, adresse, e-post og telefonnummer. Universitetet nektet først, men måtte med bakgrunn i loven utlevere listene til et selskap som ville benytte opplysningene til å bygge opp en større database med personopplysninger til bruk for rekrutteringsformål.


– Da offentlighetsloven ble vedtatt i 1970 var det ingen som kunne forutse hvordan moderne teknologi ville øke tilgjengeligheten til offentlige registre, sier Skåra.

Selv med innstramningen knyttet til utlevering av fødselsnummer i 2011, ser Datatilsynet det nødvendig å jobbe videre med problemstillinger knyttet til masseutlevering av informasjon fra offentlige registre. Du kan lese mer om problemstillingen og Datatilsynets prioriteringer her.

Les også: Skattegrepene du bør gjøre før nyttår

Likefullt en skandale

DinSide-redaksjonen har nå fått klarhet i at Kenneth-saken ikke var en personvernskandale. Men en skandale var det likefullt. Dette med bakgrunn i at løsningen måtte stenges, forvirringen det skapte og opplysningene som faktisk ble eksponert.

Vår konklusjon er altså fortsatt den samme: Vi får håpe Altinn ikke går på en ny smell når selvangivelsen for inneværende år blir tilgjengelig 19. mars 2013.

Flere ferske saker fra DinSide Økonomi finner du her!