Bane NORs konsernsjef Gorm Frimannslund ble varslet om e-posten kort tid etter at den ble sendt ut, men avviket ble aldri meldt til Datatilsynet slik personvernlovgivningen krever. Arkivfoto: Madeleine Bergheim

Bane NOR sendte ut sensitiv informasjon i e-post - Datatilsynet mener Bane NOR brøt personvernlovgivningen

Datatilsynet mener e-posten Bane NOR sendte ut med personsensitive opplysninger om to oppsagte medarbeidere er et brudd på personvernlovgivningen. Bane NOR har heller ikke sendt inn avviksmelding om hendelsen, slik de er pålagt.

I august kunne Byggeindustrien avsløre at en Bane NOR-leder sendte ut en e-post med oppsigelsesgrunn og fullt navn på to tidligere ansatte til 62 personer.

E-posten som Byggeindustrien har fått tilgang til, ble sendt ut 25. april i år. Begrunnelsen som ble brukt var at Bane NOR vil stoppe ryktespredning.

Datatilsynet mener både utsendelsen og Bane NORs håndtering av saken i etterkant av utsendelsen, er et brudd på personvernlovgivningen. 

- Det ser ut som om Bane NOR-lederen har handlet tankeløst og derved også har brutt personvernlovgivningen ved at vedkommende har utlevert sensitive personopplysninger. Det er først og fremst alvorlig for de ansatte som rammes av dette, sier kommunikasjonsdirektør Janne Stang Dahl i Datatilsynet til Byggeindustrien.

Da saken ble kjent i Byggeindustrien, skrev kommunikasjonsdirektør Torild Uribarri i Bane NOR at de beklaget utsendelsen og at man hadde håndtert saken internt.

Hun bekreftet også at konsernsjef Gorm Frimannslund ble gjort kjent med e-posten kort tid etter at den var sendt ut.

Ifølge Datatilsynet kan også Bane NORs håndtering av saken etter at de ble kjent med e-posten, være i strid med loven.

- Vi kan ikke se at vi har mottatt noen melding om brudd på personopplysningssikkerheten. Når slike ting skjer, skal Bane NOR ifølge personvernlovgivningen sende oss en avviksmelding så snart som mulig etter at de fikk kjennskap til det, og senest innen 72 timer etter at avviket ble oppdaget. Det kan nok tyde på at de heller ikke har gode nok rutiner på plass når slike ting skjer, sier Dahl og legger til at Datatilsynet følger med i saken.

Byggeindustrien har stilt Bane NOR spørsmål om hvorfor de ikke kontaktet Datatilsynet da konsernsjefen ble varslet om mailen og om de har planer om å melde inn avviket. I en kortfattet SMS skriver kommunikasjonsdirektør i Bane NOR, Torild Uribarri, at de skal etablere kontakt med Datatilsynet.