Varsel om gebyr til Bergen kommune

Datatilsynet har i dag varslet Bergen kommune om at den kan bli ilagt et overtredelsesgebyr på 1,6 millioner kroner. Tilsynet har vurdert at personopplysningssikkerhet i datasystemene som blir brukt i grunnskolen i kommunen har vært mangelfull.

Saken gjelder en hendelse hvor filer med brukernavn og passord til over 35 000 brukere i Bergen kommune har ligget tilgjengelig for elever og ansatte i grunnskolen. Det har vært mulig å logge seg inn på skolens ulike informasjonssystem som en elev, ansatt eller administrator på skolen, og dermed få tilgang til personopplysninger om andre elever og ansatte.

For dårlig sikkerhet

Datatilsynet har vurdert at den manglende ivaretakelsen av informasjonssikkerheten har ført til at personopplysninger om svært mange barn i grunnskolen i Bergen har vært eksponert.

– Sikkerheten i innloggingssystemet har vært for dårlig, slik at uvedkommende kunne få tilgang til brukernavn og passord i læringsplattformen og i skoleadministrative systemer, sier direktør Bjørn Erik Thon.

Kommunen benytter eFeide som verktøy for å opprette og administrere brukere i brukerkatalogen. eFeide er en skyløsning som gjør det mulig å logge seg inn i skolens ulike systemer, og har i overkant av 35 000 unike brukere i Bergen kommune. Systemet inneholder opplysninger om brukeres navn, passord, fødselsnummer, adresse, skoletilhørighet og skoleklasse. Når ansatte og elever logger seg inn, får de tilgang til ulike systemer, blant annet itslearning. Det er en læringsplattform som i tillegg til skolefaglig arbeid også inneholder vurderinger av enkeltelevers prestasjoner.

I vurderingen er det lagt vekt på at Bergen kommune ikke hadde etablert tofaktorautentisering i innlogging av eFeide, selv om kommunen hadde kunnskap om at dette burde tas i bruk.

Opplysninger om 35 000 personer, mange barn

Datatilsynet har lagt særlig vekt på at sikkerhetsbruddet omfatter personopplysninger om over 35 000 personer, og at flesteparten av disse er barn.

– Barn er i personvernforordningen definert som en sårbar gruppe som skal gis et særskilt vern. Det er også viktig at kommuner og andre offentlige organer som behandler personopplysninger, er seg bevisst sitt ansvar. Offentlige etater behandler ofte opplysninger om oss som vi ikke selv har kontroll over og som vi heller ikke har noe valg om vi vil utlevere eller ikke. Vi skal ha tillitt til det offentlige, sier direktør Bjørn Erik Thon.

Det er derfor viktig at slike etater setter i verk egnede sikkerhetstiltak for å beskytte personopplysninger om oss, blant annet med tofaktorautentisering i innloggingen. Forordningen sier at overtredelsesgebyr skal være virkningsfulle, avskrekkende og forholdsmessige.

– Vi mener at gebyrets størrelse i denne saken gjenspeiler dette, sier Thon. 

Saken er ikke endelig avgjort

Brevet som er sendt er et foreløpig varsel etter forvaltningsloven § 16 om at det kan bli fattet et vedtak om overtredelsesgebyr på 1,6 millioner kroner. Saken er altså ikke endelig avgjort med dette.

– Bergen kommune skal få komme med sine innspill til saken, og det er først etter dette at Datatilsynet eventuelt vil fatte et endelig vedtak, sier Bjørn Erik Thon.

Varselbrevet er sendt til Bergen kommune som er behandlingsansvarlig for de personopplysningene som oppbevares i grunnskolens datasystemer.

Les hele brevet:
Bergen kommune – brudd på personopplysningssikkerheten. Varsel om overtredelsesgebyr (pdf)

16