Charlotte Dahl var både chokeret og fuld af undren, da der pludselig tikkede en sms ind på hendes mobiltelefon onsdag formiddag.
Afsenderen var nemlig hendes nye sagsbehandler i Ikast-Brande kommune, som spurgte til nogle meget private forhold om Charlotte Dahls helbred og medicinforbrug.
- Jeg blev fuldstændig paf. Der står bare en masse personlige oplysninger, som jeg ikke synes, kommer nogen ved, plasket op på min telefon, siger Charlotte Dahl, som på grund af kroniske smerter er i gang med et fem-årigt ressourceforløb, der skal afklare hendes fremtidige situation på arbejdsmarkedet.
I sms'en, som Avisen.dk har modtaget et screenshot af, bliver Charlotte Dahl spurgt, hvilket tidspunkt hun har været til samtale med en speciallæge, om hun har fået indkaldelse til hospitalet, og hvilken og hvor meget medicin, hun tager.
Overholder ikke loven
Men den slags må en sagsbehandler slet ikke skrive om på sms eller almindelig mail, lyder det fra to juridiske dataeksperter. Det er nemlig et brud på datasikkerheden.
- Når der er tale om helbredsoplysninger og dermed følsomme oplysninger, bør det ikke sendes over en ukrypteret forbindelse. Når indholdet ikke er krypteret, kan der være nogle, der kan følge med fra sidelinjen. Derudover er der det problem med sms'er, at man jo kan taste forkert og komme til at sende følsomme oplysninger til et forkert nummer, siger Allan Frank, som er it-specialist og jurist ved Datatilsynet.
- Man har ikke taget de passende sikkerhedsforanstaltninger, som loven siger, man skal. Så man overholder ikke loven, vurderer han.
Kan misbruges til afpresning
Samme konklusion lyder fra Jakob Dedenroth Bernhof, som er chefjurist og administrerende direktør i rådgivningsfirmaet RevisorJura.
- Det er ulovligt og meget kritisabelt. Offentlige myndigheder skal beskytte folks privatliv. Oplysninger om medicin og behandling er følsomme, og hvis de flyder rundt på en usikker forbindelse, kan de blive opsnappet af andre, og så kan de kan de misbruges til at afpresse folk, forklarer Jakob Dedenroth Bernhof, og uddyber:
- For eksempel kan man true folk med at fortælle deres arbejdsgiver, at de er på nervemedicin, eller man kan kompromittere borgere, som stiller op til byrådet.
De seneste uger har der været meget fokus på myndigheders og firmaers beskyttelse af borgernes data på grund af den nye persondataordning (GDPR), som trådte i kraft 25. maj 2018. Men også før den lov var det ulovligt for en kommune at kommunikere om borgeres følsomme oplysninger over sms og almindelig mail, fastslår han.
Kan ikke bare bruge sms, fordi det er nemmest
Der er som sådan ikke noget i dataloven, som forhindrer, at sagsbehandlere kommunikerer med deres klienter over sms, hvis det for eksempel handler om at rykke en aftale eller en påmindelse til borgeren om at tjekke sin e-boks.
Men er der tale om følsomme oplysninger, for eksempel om borgerens helbred, lægeundersøgelser og medicinforbrug, skal kommunikationen foregå via e-boks eller en anden krypteret kanal, siger Jakob Dedenroth Bernhof.
- Myndigheden må jo finde ud af, hvordan de ansatte skal kommunikere med borgerne og benytte sig af de lovlige kanaler, og dét er at sende et almindeligt brev eller at bruge e-boks. De kan ikke bare sende en sms, bare fordi det lige er nemmest, siger han.
Klagede til borgmesteren
Charlotte Dahl var usikker på, hvordan hun skulle reagere, da hun modtog sms'en.
- Jeg kunne ikke se, hvorfor det ikke kunne vente, til vi alligevel havde et møde om to uger. Jeg havde ikke lyst til at svare, men omvendt vil man jo også gerne samarbejde og gøre det rigtige, så man bevarer et godt forhold til kommunen, siger hun til Avisen.dk.
Charlotte Dahl endte med at skrive til sagsbehandleren, at hun gerne ville vente med at svare på spørgsmålene til det personlige møde, og det godtog sagsbehandleren
Samtidig valgte hun at skrive en mail til borgmesteren i Ikast-Brande om sagen. Blot et døgn efter modtog hun en mail med en undskyldning og indskærpelse over for de ansatte om ikke at bruge sms'er til personfølsomme oplysninger.
Kommunen: Det må bare ikke ske
Ikast-Brande kommune beklager mange gange forløbet, som beskrives som en fejl.
- Det må ikke ske. Det er stik imod alle vores procedurer. Det er ikke måden, en myndighed kommunikerer med borgeren på, siger Charlotte Sørensen, som er chef for arbejdsmarked og borgerservice i Ikast-Brande kommune.
- Vi har så sent som i sidste uge i forbindelse med de nye dataregler indskærpet, at vi kun må kommunikere med borgere over sikker mail. Så det er en af den slags fejl, der bare ikke må ske. Jeg er sikker på, at vores afdelingsleder vil gøre det fornødne for, at det ikke sker igen, siger hun til Avisen.dk.
Tænk jer om
Charlotte Dahl er glad for undskyldningen og kommunens hurtige reaktion.
Samtidig opfordrer hun andre syge og arbejdsløse til at tænke sig om, hvis de bliver bedt om at svare på helbredsoplysninger over sms. For uanset om sagsbehandleren ikke har gjort det i ond mening, skal man overveje, at oplysninger om alt fra hudsygdomme til psykologbehandlinger pludselig ligger på en mobiltelefon, som kan blive glemt i bussen eller falde i de forkerte hænder.
- Man er jo så autoritetstro, så mange vil sikkert bare svare på sådan en sms uden at tænke først, siger Charlotte Dahl.