Varsel om overtredelsesgebyr til Bergen kommune
Datatilsynet har sendt Bergen kommune et varsel om overtredelsesgebyr på 3 millioner kroner. Personopplysninger i skolens kommunikasjonssystem mellom skole og hjem var ikke tilstrekkelig sikret.
I oktober 2019 varslet Bergen kommune Datatilsynet om avvik i kommunes nye løsning for kommunikasjon mellom skole og hjem. Vigilo inneholder en modul der skole og foresatte kan kommunisere via en portal eller app. Kommunen hadde ikke etablert og kommunisert nødvendige retningslinjer for å sikre personopplysninger til barn og foreldre med hemmelig adresse før løsningen ble tatt i bruk.
– Bergen kommune varsles om et overtredelsesgebyr på 3 millioner kroner for å ikke ha gjennomført tekniske og organisatoriske tiltak for å oppnå et egnet sikkerhetsnivå, og for ikke å ha sikret vedvarende konfidensialitet og integritet, sier direktør Bjørn Erik Thon i Datatilsynet.
Oppdatert: Høsten 2020 ble det vedtatt et endelig gebyr på 3 millioner kroner til Bergen kommune.
Fare for liv og helse
Vi understreker i brevet at kommunen ikke har etablert og kommunisert nødvendige retningslinjer for barn som har en klar og beskyttelsesverdig interesse i at opplysninger om dem blir behandlet med den største grad av konfidensialitet.
– Dette gjelder barn som har registrert en fortrolig eller strengt fortrolig adresse i Folkeregisteret og tilhører en spesielt sårbar gruppe. Disse barna har et høyt beskyttelsesbehov, og i ytterste konsekvens kunne deres liv og helse bli satt i fare, sier Thon.
Personopplysninger som skulle ha vært skjermet har vært tilgjengelig for uvedkommende. I et tilfelle ble en kontaktliste med opplysninger om «fortrolig adresse» distribuert til foresatte på et klassetrinn.
– Risikovurderingene som ble gjort var mangelfulle. Det var ingen vurdering av risiko knyttet til behandling av informasjon om personrelasjoner mellom foresatte og barn, understreker Thon.
Kommunen har nå frist til 22. juni på å komme med eventuelle merknader til varselet.
Digitalisering av skolen gir utfordringer for personvernet til elevene
Datatilsynet får inn mange saker som handler om at personvernet ikke er godt nok ivaretatt i digitale kommunikasjonsverktøy i skolen. Manglende rutiner og tiltak for å sikre personopplysningssikkerheten er ikke godt nok innarbeidet.
– Mange saker er komplekse, og krever høy kompetanse og god oppfølging av tekniske og organisatoriske tiltak og rutiner. Vi har flere eksempler på at sikkerheten ikke har vært godt nok ivaretatt, noe som har gitt alvorlige konsekvenser og bruken har stoppet opp, sier Bjørn Erik Thon. – Vi kommer derfor til å prioritere dette feltet også i tiden fremover.
Datatilsynet har sammen med sentrale aktører fra skole- og digitaliseringssektoren blant annet tatt til orde for at vi trenger en nasjonal strategi for digitalisering i skolen.