Datatilsynet sier at Bergen kommune kan har brutt loven da de registrerte omfattende informasjon om innbyggerne i et eget dokument uten at noen visste det.
– En så omfattende liste med helseopplysninger vil som det klare utgangspunkt kreve en gjennomgang av konsekvensene for personvernet, sier juridisk rådgiver Susanne Lie i Datatilsynet til Bergensavisen.
Ingen DPIA
Tidlig i pandemien begynte Bergen kommune å lage en oversikt over smittede. Listen inneholder opplysninger som navn, fødselsnummer, bosted, jobbopplysninger, telefonnummer, levekårssone, hvordan smitten oppsto og kort helsehistorikk på over 120.000 personer, ifølge avisen.
– Vi mener at en så stor kommune som Bergen burde være godt rustet til å ha stor bevissthet rundt personvernkrav. At det ikke er gjort en vurdering av personvernkonsekvenser (DPIA), kan være et lovbrudd, sier Lie.
En DPIA skal sikre at personvernet til dem som får sine personopplysninger behandlet, er ivaretatt.
Christer har 10 spørsmål om den nye overvåknings-loven: - Hvordan sikrer man tilsyn av kildekoden?
Personvernombudet
Lie understreker imidlertid at Datatilsynet ikke har ført tilsyn med Bergen kommune i denne saken.
Kommunaldirektør for byrådsavdeling for helse og omsorg, Kjell Wolff, sier at etatens ledelse vurderte personvernet da listen ble laget, og var i dialog med en rådgiver hos Personvernombudet da den ble opprettet.
– Vi forsto det slik at kravene til DPIA var tilfredsstilt, men når det nå stilles spørsmål ved dette, må vi undersøke i dialog med Personvernombudet om det er mangler ved vurderingene som ble gjort, sier han til avisen.