REKORDBOT: Oslo kommune har nå fått varsel om den høyeste boten Datatilsynet har utstedt etter den nye personopplysningsloven. (Foto: Florian Steinman/Wikimedia Commons (CC BY-SA 4.0))

REKORDBOT: Oslo kommune har nå fått varsel om den høyeste boten Datatilsynet har utstedt etter den nye personopplysningsloven. (Foto: Florian Steinman/Wikimedia Commons (CC BY-SA 4.0))

Rekordbot til Oslo kommune

Datatilsynet har utstedt sitt høyeste varsel om bot for brudd på personopplysningsloven. Oslo kommune har begått grove brudd på regelverket i appen Skolemelding, mener tilsynet.

Datatilsynet har varslet Oslo kommune om et overtredelsesgebyr på 2 millioner kroner for brudd på personopplysningsloven gjennom sikkerhetsbrudd i appen Skolemelding. Denne appen er utviklet for meldingsutveksling i Osloskolen.

– Vi anser selvsagt dette som svært alvorlig, noe som gjenspeiles i at dette er det høyeste gebyret vi har varslet etter at de nye personvernreglene trådte i kraft, sier direktør i Datatilsynet, Bjørn Erik Thon i en pressemelding.

Grove brudd

Det har kommet fram at det har vært mulig for uvedkommende å logge seg inn i appen som autorisert bruker, og dermed få tilgang til personopplysninger om elever, foresatte og ansatte i Osloskolen.

– Sårbarheten som er avdekket innebærer en potensiell tilgang til personopplysninger om Osloskolens mer enn 63.000 grunnskoleelever. Barn er definert som en sårbar gruppe i personvernregelverket da de ikke kan ivareta sine egne rettigheter og friheter selv. Det krever et særskilt vern av deres opplysninger. At barn har vært utsatt, har vi lagt vekt på som en skjerpende omstendighet, understreker Thon i pressemeldingen.

Datatilsynet opplyser at de først fikk kjennskap til saken gjennom en avviksmelding fra Oslo kommune. Gebyret er varslet fordi kommunen likevel ikke har gjennomført tiltak for å heve sikkerheten til det påkrevde nivået.

Uakseptable sårbarheter

Datatilsynet skriver at «Kommunen har ikke vært bevisst sitt ansvar og har lansert en skolemeldingsapp med en uakseptabel sårbarhet uten å gjennomføre egnede tiltak for å lukke sårbarhetene. De har også hatt mangelfull kontroll med leverandøren når det gjelder resultater av sikkerhetstestingen».

I vurderingen av boten og nivået på den, har Datatilsynet lagt vekt på flere momenter:

Et av bruksområdene til appen er at foresatte skal sende meldinger om sine barn eller gi beskjed om fravær ved bruk av fritekstfelt. Det legger til rette for å kommunisere sensitive personopplysninger, slik som helseopplysninger, om barna. Det finnes ingen tekniske tiltak for å forhindre at det skjer, og det informeres heller ikke i appen om at man ikke skal kommunisere slike opplysninger. Hadde man tatt hensyn til innebygd personvern, ville det ikke vært et fritekstfelt, men for eksempel en nedtrekksliste eller avkrysningsbokser.
Manglende sikkerhet rundt innloggingen i appen har gjort det mulig for uvedkommende å få tilgang til å se og endre personopplysninger til mer enn 63 000 barn i grunnskolen i Oslo.
Mangelfull sikkerhetstesting før lanseringen av appen førte til at den ble lansert med sårbarheter som er godt kjent i sikkerhetsmiljøer verden over.
Datatilsynet skriver videre at «Slik Datatilsynet forstår det, kan ikke sårbarhetene utnyttes ved vanlig bruk av appen Skolemelding, men ved at man bruker et verktøy for å kunne se og manipulere trafikk av data som kommuniseres. Slike verktøy er lett tilgjengelig for nedlasting fra internett. Sårbarhetene som ble oppdaget er autentiseringsproblemer og et manglende skille mellom brukere som gjorde at man kunne få tilgang til andres meldinger. Det var også mulig å høste personopplysninger og knytte enkeltpersoner til meldinger».

Personvern