Datatilsynet varsler tirsdag Bergen kommune om at de kan bli ilagt et overtredelsesgebyr for brudd på den nye personvernforordningen (GDPR).
Boten er på 1,6 millioner kroner og har bakgrunn i at brukernavn og passord til 35.000 elever og ansatte i grunnskolen i Bergen lå åpent tilgjengelig for andre brukere.
I likhet med mange andre norske kommuner bruker Bergen kommune påloggings- og brukerkatalogtjenesten Feide i grunnskolen. Feide er et samarbeidsprosjekt mellom Utdanningsdirektoratet, Unit og UNINETT.
– Sikkerheten i innloggingssystemet har vært for dårlig, slik at uvedkommende kunne få tilgang til brukernavn og passord i læringsplattformen og i skoleadministrative systemer, sier direktør Bjørn Erik Thon i en pressemelding.
Dette er den første store boten som ilegges etter innføringen av personvernforordningen GDPR.
Filene som har ligget ubeskyttet inneholder en rekke personopplysninger om ansatte og elever i grunnskolen, som adresser og personnummer. Feide brukes også som innlogging til skoleadministrasjonsverktøyet Itslearning.
Sårbar gruppe
Datatilsynet skriver i sin pressemelding at barn er en ekstra sårbar gruppe når det gjelder personvern, og mesteparten av de rammede brukerkontoene tilhører skolebarn fra første til 10. trinn.
– Barn er i personvernforordningen definert som en sårbar gruppe som skal gis et særskilt vern. Det er også viktig at kommuner og andre offentlige organer som behandler personopplysninger, er seg bevisst sitt ansvar. Offentlige etater behandler ofte opplysninger om oss som vi ikke selv har kontroll over og som vi heller ikke har noe valg om vi vil utlevere eller ikke. Vi skal ha tillit til det offentlige, sier direktør Bjørn Erik Thon.
Varselet som er sendt til kommunen er ikke en endelig avgjørelse. Bergen kommune skal få gi et tilsvar til Datatilsynet før et endelig vedtak fattes. Fristen går ut 22. januar.
Datatilsynet krever at kommunen innfører sterkere sikkerhet i påloggingsløsningen gjennom bruk av en såkalt tofaktor-løsning. En tofaktor-løsning betyr at man i tillegg til brukernavn og passord må ha et ekstra sikkerhetssteg som sms-kode, BankID eller lignende.
– Dette er viktige signal fra Datatilsynet som vi tar på det største alvor. Det nye regelverket utfordrer oss. Selv om vi allerede har innført mange nye tiltak, ser vi at vi fremdeles har en vei å gå, sier kommunaldirektør Robert Rastad i en pressemelding.
Kommunen innrømmer at både sikkerheten og varslingsrutinene har rom for forbedring.
– Hendelsen viste oss at vi ikke har vært gode nok. Vi må få bedre interne rutiner og sikkerhetskultur også knyttet til varsling og håndtering av avvik, sier Rastad.
Elev varslet – ble politianmeldt
Denne sakens opprinnelse har vært omtalt tidligere. Det var en elev i kommunen som først oppdaget feilen. Han varslet skolen og Feide om avviket, men ingenting ble gjort. til slutt logget eleven seg på skolesystemet med rektors konto og sendte ut en falsk epost med rektor som avsender for å eksponere feilen slik at den kunne bli rettet.
Kommunen svarte med å sende politiet hjem til syvendeklassingen for å ha begått datainnbrudd. Dette skjedde i august, tre måneder etter at gutten hadde varsler om sikkerhetsavviket første gang, skriver Bergens Tidende.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.
