– Vi har ingen grunn til å tro at denne informasjonen er lest av andre enn dem som skal, at informasjonen har blitt misbrukt, eller på annen måte kommet på avveie, sier avdelingsdirektør Jan Rune Fagermoen i Kirkerådet i Den norske kirke.
I lengre tid har Kirkerådet jobbet med å forbedre informasjonssikkerheten og personvernet i Den norske kirke. Det innebærer blant annet å rydde i medlemsregisteret som teller over 3,7 millioner medlemmer.
Det var under en gjennomgang av innholdet i registeret i høst at Kirkerådet avdekket at det inneholder informasjon om medlemmers diagnose, fødested og andre sensitive opplysninger. Å oppbevare slike opplysninger i medlemsregisteret har de ikke rettslig grunnlag for, mener Kirkerådet.
Det går fram av en avviksmelding som de selv sendte til Datatilsynet i november.
– Medlemsregisteret skal bare inneholde, eller behandle, de opplysningene som er fastsatt i forskriften om Den norske kirkes medlemsregister. Fødested og opplysninger om helse er ikke en del av dette, påpeker Fagermoen.
---
Kirkens medlemsregister
- Den norske kirkes medlemsregister inneholder en elektronisk oversikt over medlemmer og tilhørige i Den norske kirke samt en oversikt over kirkelige handlinger, inkludert inn- og utmeldinger
- Det er Kirkerådet som har det overordnede ansvaret for medlemsregisteret
Kilde: Håndbok for Den norske kirkes medlemsregister
---
Fant ord som «fosterhjem» og «fostermor»
I medlemsregisteret finnes et eget merknadsfelt – et såkalt fritekstfelt – på hvert medlem. Det var i disse feltene avvikene ble oppdaget.
«Det er avdekket 533 registreringer som indikerer en diagnose, eller som er konkret på diagnose. I tillegg er det merknader med ord som fosterhjem, fostermor, etc. (etter søk på: foster*)», heter det i avviksmeldingen fra Kirkerådet.
Videre inneholder medlemsregisteret om lag 40.000 kommentarfelt med ordet fødested.
[ Den norske kirke vil innhente samtykke fra over 100.000 udøpte ]
Å lagre opplysninger uten behandlingsgrunnlag er brudd på EUs personvernforordning (GDPR). Datatilsynet skal varsles og opplysningene skal slettes, opplyser Fagermoen.
– Hvorfor har dere oppbevart opplysninger om enkelte medlemmers diagnose?
– Dette er opplysninger som er gitt av medlemmene selv til lokalkirken i forbindelse med arrangementer, for eksempel trosopplæringsaktiviteter, konfirmasjonsleir og liknende, og handler ofte om allergier eller andre relevante helseopplysninger som er viktig for dem som gjennomfører aktiviteter i lokalkirken, forteller Fagermoen.
Å innhente slik informasjon er ikke ulovlig, tvert imot det eneste forsvarlige for å gjennomføre aktivitetene, mener avdelingsdirektøren.
– Problemet er at man ikke kan bruke medlemsregisterets fritekstfelt til å registrere informasjonen. Da må det brukes andre systemer som er tilrettelagt for det, blant annet med tanke på sletting.
[ Foresatte til 1.800 barn vil fortsatt ha informasjon fra kirken ]
Vi har ingen grunn til å tro at denne informasjonen er lest av andre enn dem som skal, at informasjonen har blitt misbrukt, eller på annen måte kommet på avveie
— Jan Rune Fagermoen, avdelingsdirektør i Kirkerådet
Rydder i medlemsregisteret
I avviksmeldingen går det fram at Kirkerådet har igangsatt et arbeid med å fjerne alle merknader de ikke har behandlingsgrunnlag for.
«De berørte fellesråd pålegges å fjerne merknader, i dette arbeidet er det også fokus på opplæring og bevisstgjøring», skriver de. Videre opplyser de at arbeidet med å forbedre datakvaliteten «har høy prioritet fremover».
– Vil berørte medlemmer få beskjed om hva som har skjedd?
– Dette vil vi være i dialog med Datatilsynet om. Det er regler og normer for hva den registrerte skal ha melding om, og ikke. Kirkerådet følger disse reglene, sier Fagermoen.
[ 30.000 har dobbelt medlemskap i trossamfunn ]
– Skal forvaltes med stor varsomhet
Kommunikasjonsdirektør i Datatilsynet, Janne Stang Dahl, sier at hun ikke kan gi noen kommentarer om den konkrete saken siden den er under behandling. Generelt påpeker hun at all bruk av personopplysninger må ha et rettslig grunnlag for å være lov.
– Helse- og velferdsopplysninger er noe av det mest personlige vi har, og anses som særlig beskyttelsesverdig. Tilgangen til helseopplysninger om enkeltpersoner skal forvaltes med stor varsomhet. Det er viktig å ha gode rutiner for hvordan slike data behandles, slik at uvedkommende ikke får tilgang til slike data, opplyser Dahl.
[ Medlemsraset fortsetter: Over 1.700 har meldt seg ut av Den norske kirke etter Kirkemøtet ]
