Varsel om gebyr til Oslo kommune

Datatilsynet har sendt varsel til Oslo kommune Utdanningsetaten om et overtredelsesgebyr på 2 millioner kroner. Varselet gjelder brudd på personopplysningssikkerheten i mobilapplikasjonen Skolemelding, en meldingsapp utviklet for bruk i Osloskolen.

Skolemelding er en app der foresatte og elever kan sende meldinger til ansatte i skolen. De kan også svare på meldinger sendt fra skolen. Høsten 2018 kom det frem at det har vært mulig for uvedkommende å logge seg inn som autoriserte brukere og dermed få tilgang til personopplysninger om andre elever, foresatte og ansatte gjennom appen. Det er også mulig å registrere sensitive personopplysninger i fritekstfeltet.

- Vi anser selvsagt dette som svært alvorlig, noe som gjenspeiles i at dette er det høyeste gebyret vi har varslet etter at de nye personvernreglene trådte i kraft, sier direktør i Datatilsynet, Bjørn Erik Thon. - Sårbarheten som er avdekket innebærer en potensiell tilgang til personopplysninger om Osloskolens mer enn 63 000 grunnskoleelever. Barn er definert som en sårbar gruppe i personvernregelverket da de ikke kan ivareta sine egne rettigheter og friheter selv. Det krever et særskilt vern av deres opplysninger. At barn har vært utsatt, har vi lagt vekt på som en skjerpende omstendighet, understreker han.

Grove brudd på regelverket

Datatilsynet fikk først kjennskap til saken gjennom media, deretter som en melding om brudd på personopplysningssikkerheten (avviksmelding) fra Oslo kommune. Det kom også flere detaljer om sikkerhetshullene utdypet i en bloggpost via en privatperson.

Gebyret er varslet fordi kommunen ikke har gjennomført egnede tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen. Det er flere momenter som er med i vurderingen:

  1. Et av bruksområdene til appen er at foresatte skal sende meldinger om sine barn eller gi beskjed om fravær ved bruk av fritekstfelt. Det legger til rette for å kommunisere sensitive personopplysninger, slik som helseopplysninger, om barna. Det finnes ingen tekniske tiltak for å forhindre at det skjer, og det informeres heller ikke i appen om at man ikke skal kommunisere slike opplysninger. Hadde man tatt hensyn til innebygd personvern, ville det ikke vært et fritekstfelt, men for eksempel en nedtrekksliste eller avkrysningsbokser.
  2. Manglende sikkerhet rundt innloggingen i appen har gjort det mulig for uvedkommende å få tilgang til å se og endre personopplysninger til mer enn 63 000 barn i grunnskolen i Oslo.
  3. Mangelfull sikkerhetstesting før lanseringen av appen førte til at den ble lansert med sårbarheter som er godt kjent i sikkerhetsmiljøer verden over.

Kommunen har ikke vært bevisst sitt ansvar og har lansert en skolemeldingsapp med en uakseptabel sårbarhet uten å gjennomføre egnede tiltak for å lukke sårbarhetene. De har også hatt mangelfull kontroll med leverandøren når det gjelder resultater av sikkerhetstestingen.

Slik Datatilsynet forstår det, kan ikke sårbarhetene utnyttes ved vanlig bruk av appen Skolemelding, men ved at man bruker et verktøy for å kunne se og manipulere trafikk av data som kommuniseres. Slike verktøy er lett tilgjengelig for nedlasting fra internett. Sårbarhetene som ble oppdaget er autentiseringsproblemer og et manglende skille mellom brukere som gjorde at man kunne få tilgang til andres meldinger. Det var også mulig å høste personopplysninger og knytte enkeltpersoner til meldinger.

Må ha tillit til offentlige instanser

Med gebyret Datatilsynet ga til Bergen kommune friskt i minne, ser vi at det er utfordringer knyttet til elevenes personopplysningssikkerhet i skolen i dag – i flere ledd og på flere måter. Det må derfor stilles mye strengere krav til leverandørene av ulike tjenester som er i bruk. Kommunene må dessuten ha bestillerkompetanse slik at alle kan være trygge på at elevenes opplysninger behandles på en sikker måte i de verktøyene skolen tar i bruk.

- Det er helt essensielt at vi som borgere har tillit til at de ulike offentlige instansene som samler inn og lagrer personopplysninger om oss, faktisk er sitt ansvar bevisst og sikrer opplysningene på en god nok måte, understreker Thon.

Last ned

Felles løft for informasjonssikkerheten i skolesektoren

Datatilsynet samlet tidligere i vår en rekke private og offentlige aktører til en prat om utfordringer knyttet til sikringen av personopplysninger i skolen. Diskusjonen om hvordan man kan heve bevisstheten om viktigheten av god informasjonssikkerhet, står sentralt i tilsynets arbeid med denne sektoren fremover.

12