Personvern i små kommuner — når alle kjenner alle

I en storby er et vedtak om sosialstønad til en «mann, 42 år» anonymt. I en kommune med 3 000 innbyggere er det kanskje bare én mann på 42 som bor i det aktuelle boområdet. Personvern i små kommuner krever en annen tilnærming — fordi flettingsfaren er fundamentalt høyere.

GDPR fortalepunkt 26: «alle midler som med rimelighet kan tenkes benyttet»

GDPR fortalepunkt 26 definerer når opplysninger er personopplysninger: man skal ta hensyn til alle midler som med rimelighet kan tenkes benyttet for å identifisere en person — inkludert kostnad, tid og tilgjengelig teknologi.

I en liten kommune er «tilgjengelige midler» for identifisering drastisk enklere enn i en stor. Naboer, kolleger og lokalsamfunnet har kontekstuell kunnskap som gjør krysskobling triviell.

Scenario: Vedtak om sosialstønad publiseres

Situasjonen: En kommune med 3 000 innbyggere publiserer et vedtak om sosialstønad etter innsynskrav. Navnet er sladdet, men fødselsdato, kjønn og boområde står igjen.

Problemet: Kombinasjonen av disse tre opplysningene — fødselsdato + kjønn + boområde — identifiserer personen unikt i en liten kommune. Vedtaket er i praksis ikke anonymisert, selv om navnet er fjernet.

Konsekvens: Dette er et brudd på taushetsplikten etter forvaltningsloven § 13 og kan medføre reaksjoner fra Datatilsynet.

Hva er indirekte identifisering?

GDPR artikkel 4 definerer personopplysninger som enhver opplysning om en identifiserbar person. Det betyr:

• Direkte identifikatorer: Navn, fødselsnummer, e-post
• Indirekte identifikatorer: Fødselsdato, kjønn, bosted, stilling, diagnose, skole
• Kontekstuell identifisering: Kombinasjonen av flere indirekte identifikatorer — «eneste lærer i 40-årene på Fjordvik skole»

I små kommuner er grensen mellom «anonymisert» og «identifiserbar» mye lavere enn i store. Det som er k-anonymt (minst k personer matcher) i Oslo, kan være unikt i en distriktskommune.

Datatilsynets praksis: det koster å ta feil

PVN-2023-30: Kommune publiserte usladdet dom

En kommune publiserte en usladdet dom — uten å fjerne personopplysninger. Datatilsynet ga irettesettelse. Saken illustrerer at selv åpenbare feil forekommer, og at Datatilsynet følger opp.

PVN-2022-13: Østre Toten kommune — 4 MNOK i gebyr

Østre Toten kommune fikk et gebyr på 4 millioner kroner etter et løsepengevirusangrep som kompromitterte innbyggernes personopplysninger. Kjernen i saken var mangelfulle sikkerhetstiltak — kommunen hadde ikke gjort nok for å beskytte dataene. For små kommuner med begrensede IT-ressurser er dette en vekker.

Praktiske tiltak for små kommuner

1. Sladd mer enn du tror er nødvendig — Fjern alder, kjønn, boområde og andre kontekstuelle opplysninger som kan identifisere i kombinasjon.
2. Vurder flettingsfare systematisk — Spør deg: «Kan noen i lokalsamfunnet finne ut hvem dette gjelder?» Se vår hovedguide om flettingsfare.
3. Bruk DPIA ved høy risiko — GDPR artikkel 35 krever vurdering av personvernkonsekvenser når behandlingen kan medføre høy risiko.
4. Send sladdede dokumenter sikkert — Bruk Envei.no eller Digipost for kryptert digital forsendelse.
5. Bruk verktøy som fjerner teksten permanent — Svart felt i Word er ikke nok.

Barnevern og helse: ekstra utsatt i små kommuner

Barnevernssaker og vergemålssaker er spesielt sårbare i små kommuner. Når det bare er noen få familier med barn i rett aldersgruppe, eller noen få eldre med verge, er flettingsfaren ekstrem. Det samme gjelder skolesektoren — i kommuner med bare en eller to skoler er personvern i skolen en spesiell utfordring. Her bør saksbehandlere sladde alle kontekstuelle opplysninger — ikke bare de direkte identifikatorene.

Sladd finner personopplysninger automatisk — uansett kommunestørrelse