SÅRBAR GRUPPE: Datatilsynets direktør Bjørn Erik Thon er opptatt av at datalekkasjen til Bergen kommune særlig rammet barn, og størrelsen på boten reflekterer dette. (Foto: Datatlsynet)

SÅRBAR GRUPPE: Datatilsynets direktør Bjørn Erik Thon er opptatt av at datalekkasjen til Bergen kommune særlig rammet barn, og størrelsen på boten reflekterer dette. (Foto: Datatlsynet)

Millionbot til Bergen kommune

Datatilsynet har varslet om at Bergen kommune kan få en bot på 1,6 millioner kroner etter saken der personopplysningene til 35.000 personer, mange av dem barn, kom på avveie.

I Bergen kommune lå filer med brukernavn og passord til over 35.000 brukere tilgjengelig for elever og ansatte i kommunen. Disse opplysningene kunne brukes til å logge seg inn som elev, ansatt eller administrator på skolen, og dermed få tilgang til personopplysninger.

Nå har Datatilsynet gransket denne saken, og den dårlige informasjonssikkerheten kan medføre en kjempebot for Bergen kommune.

For dårlig

Bergen kommune bruker skytjenesten Efeide for å administrere innloggingen for alle skolens ulike systemer, og denne tjenesten har over 35.000 unike brukere i kommunen. Systemet inneholder opplysninger om brukeres navn, passord, fødselsnummer, adresse, skoletilhørighet og skoleklasse. Når ansatte og elever logger seg inn, får de tilgang til ulike systemer, blant annet Itslearning. Det er en læringsplattform som i tillegg til skolefaglig arbeid også inneholder vurderinger av enkeltelevers prestasjoner.

Selv om skolen i Bergen var gjort oppmerksom på at det burde etableres tofaktor autentisering til dette systemet, så hadde ikke det blitt implementert.

– Sikkerheten i innloggingssystemet har vært for dårlig, slik at uvedkommende kunne få tilgang til brukernavn og passord i læringsplattformen og i skoleadministrative systemer, sier direktør i Datatilsynet Bjørn Erik Thon, i en pressemelding.

Særskilt vern av barn

Flesteparten av de som er rammet av dette sikkerhetsbruddet er skolebarn i Bergen kommune, og det gjør saken ekstra alvorlig for Datatilsynet.

– Barn er i personvernforordningen definert som en sårbar gruppe som skal gis et særskilt vern. Det er også viktig at kommuner og andre offentlige organer som behandler personopplysninger, er seg bevisst sitt ansvar. Offentlige etater behandler ofte opplysninger om oss som vi ikke selv har kontroll over og som vi heller ikke har noe valg om vi vil utlevere eller ikke. Vi skal ha tillit til det offentlige, sier Bjørn Erik Thon.

Gebyrets størrelse gjenspeiler denne alvorligheten, legger Thon videre til.

Denne saken er ikke endelig avgjort ennå. Datatilsynet har nå sendt ut et varsel om bot, og deretter skal Bergen kommune ha en anledning til å uttale seg før det endelige vedtaket gjøres. Det er likevel ingen grunn til å tro at Bergen kan klare å bli fullstendig «frifunnet» i denne saken.

Datatilsynet