Sametingets offentliga postlistor gjorde 474 personakter tillgängliga för allmänheten, bekräftade officiella källor. Minst 50 av akterna innehöll namn eller information som gjorde det lätt att identifiera de anställda, enligt officiella källor. För 19 av dessa individer avslöjade titlarna också mycket känslig och mycket personlig information, uppgav officiella källor.
Läckan upptäcktes av NRK, som sedan informerade Sametinget. Sametinget kontaktade berörda personer efter NRK:s upptäckt, enligt officiella källor. Flera berörda personer fick dock först veta om läckan när NRK ringde; Sametinget kontaktade dem efteråt.
Det är en fruktansvärt obehaglig känsla. Jag undrar hur i hela världen något sådant kan hända.
Enligt NRK Troms og Finnmark beskrev före detta anställda Berit Oskal-Somby att Sametinget sagt att akterna kan ha legat ute sedan 2009. Advokat och integritetsexpert Jan Sandtrø, som talade med NRK Troms og Finnmark, beskrev underrättelsen som för sen och sade att Sametinget har en skyldighet att underrätta berörda personer utan onödigt dröjsmål. Sandtrø beskrev hela läckan som ett allvarligt misstag och sade att det verkar gå utöver vad som kan förväntas från rutinmässiga förfaranden.
Den norska datatillsynens juridiska direktör, Susanne Lie, sade att publicering av konfidentiell information via offentliga postlistor är ett allvarligt integritetsbrott. Hon noterade att konfidentiell information och hälsoinformation anses särskilt skyddsvärda. Officiella källor bekräftade att sådana säkerhetsbrott måste rapporteras till datatillsynen inom 72 timmar efter upptäckt, och Sametinget måste också informera de berörda personerna omedelbart.
De sa till mig att detta kan ha legat ute på nätet sedan 2009.
Exponeringen av personakter, några med namn och identifierbara detaljer, väcker frågor om hanteringen av känslig data. Att vissa akter kan ha varit tillgängliga sedan 2009 tyder på en långvarig sårbarhet i Sametingets arkivsystem. Den försenade underrättelsen till berörda personer, som påpekats av Jan Sandtrø, understryker potentiella brister i Sametingets incidenthanteringsprotokoll.
Datatillsynens betoning på allvaret i att publicera konfidentiell information återspeglar de juridiska skyldigheter som organisationer måste upprätthålla. Det är fortfarande oklart om Sametinget har rapporterat brottet inom den föreskrivna tiden eller vilken specifik känslig information som exponerades i de 19 allvarligaste fallen.
Jag tyckte det var otroligt sorgligt att få veta att sådan information finns på internet och att vem som helst kunde ha sökt upp den.
Det är inte bara jag som är berörd i det här fallet, och kanske är inte min mapp den värsta. Detta påverkar många, inklusive familjerna till de berörda, och är en mycket allvarlig sak.
Publicering av konfidentiell information via offentliga postlistor är ett allvarligt integritetsbrott för de som är berörda.
Vi utgår därför från att publicering av konfidentiell information typiskt sett kan vara särskilt kränkande för de som är berörda.
Det låter som att de berörda kontaktades eller underrättades för sent. Sametinget har en skyldighet att underrätta dem utan onödigt dröjsmål. Och det är så gott som omedelbart.
Det verkar gå utöver vad som kan förväntas av rutiner, eftersom det är så allvarligt. Personalmapper ska endast vara tillgängliga för dem som behöver dem i sitt arbete.