Ålands arbetsmarknads- och studieservicemyndighet, Ams, anmäler sig själv till Datainspektionen efter att i måndags morse ha skickat ett mejl till 144 företagare som lyfter arbetsmarknadsstöd. Problemet med utskicket var att allas e-postadresser var fullt synliga. 

Uppgifter om vem som är kund hos Ams är sekretessbelagda, men av många e-postadresser i mejlutskicket kunde man utläsa personuppgifterna. Händelsen bryter mot dataskyddsförordningen, GDPR, och rapporteras till Datainspektionen som en personuppgiftsincident.

Ålandstidningen har pratat med en av företagarna som uttrycker kraftigt missnöje.

– Det är personliga uppgifter jag har lämnat till en myndighet och jag förväntar mig sekretess och professionellt agerande. Jag har inte lämnat något samtycke till att mitt ärende hos Ams ska delas med andra. Det är en prekär situation, många är utan inkomst i sitt företag och det här kan skada kundrelationer. Det känns obehagligt och skadar mitt förtroende för Ams, det får inte hända hos en myndighet, säger personen.

Mejlutskicket gjordes på måndagsmorgonen och misstaget kom till myndighetens kännedom inom bara några minuter. De berörda informerades per mejl om vad som hade hänt och att Ams anmäler händelsen till Datainspektionen.

– Skadan är skedd, det går inte att göra ogjort. En ursäkt är det minsta man kan begära och det är bra att vi får det, säger den drabbade företagaren.

Ams-chefen: ”Mitt fel”

Tomas Lundberg, myndighetschef på Ams, tycker att det som har hänt är olyckligt.

– Jag anser att det är en mycket allvarlig incident. Det är riktigt illa. Det ska inte kunna hända, punkt slut. Det finns ingen ursäkt och det är mitt fel, ingen annans. Vi ska inte sprida sekretessbelagda uppgifter på det här sättet. Mejlet borde ha gått ut enskilt till var och en, säger han.

Hur kunde det hända?

– Vi var tvungna att få i väg det här utskicket snabbt, det var bråttom. Den som gjorde det här tänkte i första hand på att få det fort gjort. Efter 15 minuter upptäcktes felet. 

– Det här är helt och hållet mitt fel, det går inte att skylla på någon annan. Det är jag som är ansvarig för att våra rutiner är tillförlitliga i förhållande till GDPR. Jag borde redan i ett tidigt skede ha säkerställt att det här inte skulle kunna hända. Man kan lägga in alla e-postadresser som hemlig kopia, då når utskicket alla men man ser inte vilka andra som fått det. 

Hur kommer ni att rätta till det här?

– Jag pratade med Datainspektionen med en gång på måndagsmorgonen. Ett e-postmeddelande skickades ut till de berörda om att det här hade hänt. Sedan skickade jag ytterligare ett mejl och bad företagarna att inte sprida e-postadresserna och innehållet vidare. Rapporten till Datainspektionen skickades in samma dag. 

– Ams kommer att säkerställa att något sådant här inte händer igen. Massutskick som innehåller sekretessbelagda uppgifter ska inte ske. Det vet alla som sysslar med information och inget liknande har någonsin tidigare hänt i vår historia.