Endelig vedtak om gebyr til Bergen kommune

Datatilsynet har sendt endelig vedtak til Bergen kommune om et overtredelsesgebyr på 1,6 millioner kroner. Tilsynet har vurdert at personopplysningssikkerheten i datasystemene som blir brukt i grunnskolen i kommunen har vært mangelfull.

Saken gjelder en hendelse hvor filer med brukernavn og passord til over 35 000 brukere (i hovedsak barn) i Bergen kommune har ligget tilgjengelig for elever og ansatte i grunnskolen. Det har vært mulig å logge seg inn på skolens ulike informasjonssystem som en elev, ansatt eller administrator på skolen, og dermed få tilgang til personopplysninger om andre elever og ansatte.

Uendret syn på saken

– Signalvirkningene i denne saken mener vi er tydelige. Det er viktig at slike hendelser ikke inntreffer, og at alle offentlige instanser som behandler innbyggernes personopplysninger, og særlig om barn, må være seg sitt ansvar bevisst, sier direktør i Datatilsynet, Bjørn Erik Thon.

Kommunen fikk varsel om gebyr i desember 2018, og kom deretter med sine tilbakemeldinger.

– Vi har merket oss de anførslene kommunen har kommet med, men det har ikke endret vårt syn i saken, sier Thon. – At barn og unges rettigheter og friheter har vært utsatt for overtredelsen gjør det ekstra alvorlig. 

Brudd på personvernforordningen

Ut fra opplysningene i saken, mener Datatilsynet at Bergen kommune har overtrådt reglene om personopplysningssikkerhet i personvernforordningen, og har fattet tre ulike vedtak. Det ene vedtaket gjelder ileggelse av overtredelsesgebyr.

De to andre vedtakene gjelder pålegg om å iverksette nærmere tiltak. Når det gjelder avvikene som ble varslet, opplyser kommunen at de må regnes som lukket. Kommunen opplyser blant annet at innføringen av tofaktorautentisering sluttføres i disse dager. Datatilsynet vil imidlertid påpeke at avviket først kan regnes som lukket når innføringen er sluttført, og kan ikke se at dette får innvirkning på avgjørelsen.

Fristen for gjennomføringen av påleggene er 30. april 2019. Kommunen kan klage på vedaket innen tre uker etter at det ble mottatt. En eventuell klage vil så oversendes Personvernnemda for klagebehandling.

Last ned

18