KPMG einnig skammað vegna viðkvæmra upplýsinga á vefjum Akraness og Seltjarnarness

Birting Akranesskaupstaðar og Seltjarnarnesbæjar á viðkvæmum persónuupplýsingum á vef bæjanna samrýmdist ekki lögum um Persónuvernd. Ráðgjafafyrirtækið KPMG fær skammir í hattinn frá Persónuvernd fyrir vinnubrögð sín við ráðgjöf og vinnu við verkefni sveitarfélaganna tveggja.

Líkt og Vísir greindi frá í dag komst Persónuvernd að sömu niðurstöðu í máli Garðabæjar en greint var frá því í kvöldfréttum Stöðvar 2 á síðasta ári að þessi þrjú sveitarfélög birtu viðkvæmar upplýsingar um einstaklinga sem notið hafa þjónustu bæjarfélaganna, til dæmis greiðslur vegna sálfræðimeðferðar og fjárhagsaðstoðar, á vefjum sem hýstu opið bókhald sveitarfélaganna.

Kerfið sem sveitarfélögin notuðust við var keypt af KPMG sem taldi að rekja mætti málið til uppfærsl á hugbúnaði frá Microsoft sem sveitarfélögin notuðu til að birta bókhaldsgögnin.

Í tilviki Akraneskaupstaðar birtust persónuupplýsingar um 190 skjólstæðinga í 18 flokkum eða tegundum upplýsinga og um hafi verið að ræða samtals 1219 skráningar, hvað þá einstaklinga varðaði. Í fylgiskjali með svörum Akraneskaupstaðar til Persónuverndar kom fram að efni þeirra upplýsinga hafi meðal annars lotið að upplýsingum um kennitölur, heilsufar, lyfjanotkun og félagslegar aðstæður.

Í tilviki Seltjarnarnesbæjar var um að ræða skráningar um 23 einstaklina, alls 54 talsins, þar á meðal upplýsingar um tvær fósturfjölskyldur.

Líkt og í tilviki Garðabæjar taldi KPMG, eins og fyrr segir, að uppfærsla frá Microsoft hafi gert það að verkum að upplýsingarnar urðu aðgengilegar en bæði Akraneskaupstaður og Seltjarnarnesbær settu það sem skilyrði að færslur að lægri fjárhæð en 500 þúsund krónur yrðu ekki birtar.

Í niðurstöðu Persónuverndar segir að það hafi verið „verulega ámælisvert“ af hálfu KMPG að viðhafa þau vinnubrögð að ekki væri gengið úr skugga um að ekki væri mögulegt að nálgast upplýsingar um einstaklinga úr því kerfi sem notast var við.

Komst Persónuvernd að þeirri niðurstöðu að lög um Persónuverd hafi verið brotin í málinu en þar sem eldri lög hafi gilt þegar brotið var framið gæti Persónuvernd ekki lagt á stjórnvaldssekt vegna málsins.

Var lagt fyrir Seltjarnarnesbæ og Akraneskaupstað að gera ráðstafanir til þess að koma í veg fyrir að mál á borð við þessi gætu endurtekið sig.