Endelig vedtak om gebyr til Rælingen kommune

Datatilsynet har vedtatt et overtredelsesgebyr på 500 000 kroner til Rælingen kommune. Gebyret blir gitt etter at helseopplysninger om barn på tilrettelagt avdeling ble behandlet i den digitale læringsplattformen Showbie.

- Saken startet med at vi fikk inn en avviksmelding fra kommunen, og ved nærmere redegjørelser viste det seg at applikasjonen ikke var vurdert med et sikkerhetsnivå som var tilpasset risikoen, sa direktør i Datatilsynet Bjørn Erik Thon da saken ble kjent. - Dette er selvsagt alvorlig da det både gjelder barn og helseinformasjon.

Flere brudd

Overtredelsen omfatter 15 elever på en tilrettelagt avdeling. Applikasjonen Showbie har her blitt brukt til å kommunisere helserelaterte personopplysninger mellom skole og hjem.

Det har i forkant ikke vært gjort nødvendige risikovurderinger, personvern-konsekvensvurderinger og testing før applikasjonen ble tatt i bruk. Mangelfull sikkerhet ved innlogging i applikasjonen har blant annet gjort det mulig å få tilgang til andre elever i gruppen. 

Kommunen har etter at de ble varslet påpekt at det ikke er noe i saken som tyder på at noen av barna/elevene rent faktisk har vært utsatt for materiell eller ikke-materiell skade, men Datatilsynet har ikke trukket dette momentet tydelig frem i vurderingen. Vi påpeker imidlertid at selve sikkerhetsbruddet utgjør en risiko, uavhengig av om risikoen manifesterer seg i en mer konkret form for skade for de berørte eller ikke.

I varselet var overtredelsesgebyret satt til 800 000 kroner, mens det i den endelige vedtaket er justert ned til 500 000 kroner.