Bane Nor-medarbeider skal ha brukt interne videoer til markedsføring på egen nettside

Det var 8. april i år at Bane Nor oppdaget at bilder og videoer som i utgangspunktet ble laget for intern opplæring i Bane Nor, ble brukt av en medarbeider som reklamemateriell for hens private virksomhet, kommer det frem i Bane Nors melding om avvik til Datatilsynet, som Byggeindustrien har fått innsyn i.

Totalt dreier hendelsen seg om bilder av ni ansatte i Bane Nor, der fem personer kan identifiseres. I tillegg skriver Bane Nor i avviksmeldingen at det er snakk om en video der fire ansatte kan identifiseres og en demo av Bane Nors interne kurs der det fremgår hvor høyt fire navngitte ansatte scoret på kurset.

«Videoen viser en ansatt som pådro seg en skade som følge av en arbeidsulykke. Det er uklart hvor lenge bildene var tilgjengeliggjort for besøkende på den aktuelle internettsiden, med det er snakk om min 12 måneder», heter det videre i meldingen som Bane Nor sendte til Datatilsynet 15. april.

Det var én uke etter at de først hadde oppdaget avviket.

Bruddet oppsto da medarbeideren brukte materialet som var produsert for å brukes i opplæringsøyemed i Bane Nor «som markedsføringsmateriell på hens hjemmeside», ifølge avviksmeldingen.

Bane Nor har informert den ansatte som ble avfilmet i forbindelse med en arbeidsulykke om avviket, ifølge meldingen, og for øvrige berørte parter anser de ikke risikoen for å være høy.

Bane Nor vet ikke hvor lenge bildene var tilgjengelige for besøkende på den aktuelle internettsiden, men det er snakk om minimum 12 måneder, opplyser byggherren til Datatilsynet.

– Har fulgt opp saken og gjennomgått retningslinjer

Byggeindustrien har stilt flere spørsmål til Bane Nor om saken. Vi har spurt om selskapet det er referert til i avviksmeldingen har en kobling til Bane Nor, hva de har gjort i kjølvannet av hendelsen og hvordan de ser på alvorlighetsgraden til saken.

– Det var ikke snakk om et selskap, kun en nettside som ikke hadde noen kobling til Bane Nor. Saken var alvorlig av personvernhensyn, og bildene og videoen ble fjernet 15. april i år. Vi har fulgt opp saken med vår medarbeider og gjennomgått gjeldende retningslinjer, skriver presseansvarlig Anne Kirkhusmo i Bane Nor i en e-post til Byggeindustrien.

Utover det ønsker ikke Bane Nor å kommentere saken.

Byggeindustrien kjenner ikke Bane Nor-medarbeiderens identitet, og er derfor ikke kjent med hvordan hen stiller seg til saken det er varslet om til Datatilsynet.

Ekspert reagerer på tidsbruk

Førsteamanuensis og ekspert på personvern ved Universitetet i Bergen, Malgorzata Agnieszka Cyndecka, mener det mest urovekkende er Bane Nors medarbeiderens ukritiske og mest sannsynlig ulovlige bruk av andres personopplysninger, inkludert sensitive personopplysninger, til noe som markedsføring av egen virksomhet.

– Den relevante medarbeideren burde bli klar over at etter å ha delt personopplysningene til de andre ansatte, fikk hen rollen som behandlingsansvarlig, noe som innebærer et krav om å forholde seg til GDPRs regler. Spørsmålet er derfor om vedkommende hadde rett til å behandle de relevante personopplysningene. Man bør også spørre om hvordan kursmaterialet ble behandlet av Bane Nor, det vil si hvem som hadde tilgang til bilder, demo og videoer, sier Cyndecka til Byggeindustrien.

Det er selvsagt uheldig at personopplysningene har vært tilgjengelige på den private nettsiden i minimum et år, ifølge personverneksperten.

– Det har også gått en uke fra Bane Nor oppdaget avviket frem til personopplysningene ble fjernet. Det er vanskelig å spekulere i hvorfor det tok flere dager, men det kan godt skyldes medarbeiderens manglende forståelse for alvoret og manglende vilje til å fjerne bildene og videoene, påpeker Cyndecka.

En annen ting er tidspunktet for sending av avviksmeldingen, opplyser personverneksperten.

– GDPR og personopplysningsloven stadfester at ved brudd på personopplysningssikkerheten skal den behandlingsansvarlige senest 72 timer etter å ha fått kjennskap til det, melde bruddet til vedkommende tilsynsmyndighet. Dersom bruddet ikke meldes til tilsynsmyndigheten innen 72 timer skal årsakene til forsinkelsen oppgis. Hvis jeg leser avviksmeldingen riktig, ble Bane Nor klar over avviket 8. april. Datatilsynet fikk avviksmeldingen den 26. april, sier Cyndecka.

– Jeg er enig med Bane Nor i at det mest alvorlige er bruken av helseopplysninger til en av medarbeidene, men også deling av demoen der det fremgår hvor høyt fire navngitte ansatte scoret på kurset kan anses som ubehagelig av dem det gjelder, legger Cyndecka til.

– Enige i at det tok for lang tid

Bane Nor har fått forelagt personvernekspertens uttalelser.

– Vi er enige i at det tok for lang tid, og går nå gjennom rutinene for dette, skriver Anne Kirkhusmo i Bane Nor.

Avvik fra samme aktør kan gi annen behandling

Seksjonssjef i Datatilsynet, Camilla Nervik, opplyser at saken om Bane Nors medarbeider som brukte internt materiell som markedsføringsmateriell privat er avsluttet fra Datatilsynets side.

– Vi får veldig mange meldinger om avvik, opp mot 3.000 i året. De fleste sakene avsluttes uten videre saksbehandling. Vi har blant annet sett på om Bane Nor har gjort det de kan for å hindre at dette skal skje igjen, sier Nervik til Byggeindustrien.

Det er en 72 timers frist for å melde inn avvik til Datatilsynet, og dette er en klart regulert frist i personvernregelverket, ifølge seksjonssjefen.

– Samtidig har vi mottatt mange meldinger med langt lenger oversittelser av denne fristen, og enkelte av disse har fått reaksjoner fra Datatilsynet. Det klare utgangspunktet er at man må melde inn innen 72 timer etter man blir klar over avviket, og eventuelle unntak fra dette må begrunnes, forteller Nervik.

Det viktigste man må gjøre etter en slik hendelse, er uansett å rydde opp i avviket internt og redusere risikoen for at lignende skjer igjen, opplyser Datatilsynet.

– Mange enkeltstående avvik avsluttes raskt, men dersom vi får et tilsvarende avvik fra samme aktør, kan det tilsi at vi behandler saken på en annen måte, informerer Nervik.