Direktør Bjørn Erik Thon i Datatilsynet gir Bergen kommune et gebyr på 1,6 millioner kroner. Foto: Mariam Butt / NTB scanpix
Direktør Bjørn Erik Thon i Datatilsynet gir Bergen kommune et gebyr på 1,6 millioner kroner. Foto: Mariam Butt / NTB scanpix
Denne artikkelen er over ett år gammel. Den kan inneholde utdatert informasjon.

Bergen kommune får straffegebyr på 1,6 millioner kroner etter sikkerhetsbrist

Datatilsynet straffer Bergen kommune med et gebyr på 1,6 millioner kroner etter at en elev tok seg inn i skolenes datasystem i sommer.

Datatilsynet straffer Bergen kommune med et gebyr på 1,6 millioner kroner etter at en elev tok seg inn i skolenes datasystem i sommer.

Sikkerhetsbristen i Bergen kommune innebar at brukernavn og passord til over 35.000 brukere på administrasjonssystemet Feide lå åpent tilgjengelig for elever. Eleven som tok seg inn i systemet ved å bruke eksisterende brukeropplysninger, fikk tilgang på administratornivå.

Datatilsynet konkluderer i sin sak med at bristen har gjort det mulig å logge seg inn i systemet og slik få tilgang til personopplysningene til elever og ansatte i kommunen. Sikkerhetsmangelen var brudd på personopplysningssikkerheten i personvernforordningen, ifølge Datatilsynet.

Det er spesielt lagt vekt på at flesteparten av dem om ble rammet av sikkerhetsbruddet, er barn.

– Barn er i personvernforordningen definert som en sårbar gruppe som skal gis et særskilt vern. Det er også viktig at kommuner og andre offentlige organer som behandler personopplysninger, er seg bevisst sitt ansvar. Offentlige etater behandler ofte opplysninger som vi ikke selv har kontroll over, og der vi heller ikke kan velge om de skal utleveres eller ikke. Vi skal ha tillit til det offentlige, sier direktør Bjørn Erik Thon.

– Viktige signaler

Bergen kommune bekrefter at den tirsdag mottok varsel fra tilsynet om pålegg og overtredelsesgebyr på 1,6 millioner kroner. I tillegget til gebyret blir kommunen pålagt å endre og beskytte elever og ansattes påloggingsinformasjon.

– Dette er viktige signaler fra Datatilsynet som vi tar på det største alvor, forsikrer kommunaldirektør Robert Rastad.

Kommunen benytter Feide som brukerkatalog, og eFeide som verktøy for å opprette og administrere brukere i katalogen. eFeide er en skyløsning som gjør det mulig å logge seg inn i skolens ulike systemer, og har i overkant av 35 000 unike brukere i kommunen.

Systemet inneholder opplysninger om brukeres navn, passord, fødselsnummer, adresse, skoletilhørighet og skoleklasse.

Ikke gode nok

Bergen kommune utbedret sikkerhetsmangelen samme dag som datainnbruddet skjedde, samtidig som saken ble meldt til Datatilsynet. Det viste seg senere at avviket var blitt varslet internt allerede i mai, uten at dette ble tilstrekkelig fulgt opp.

– Hendelsen viste oss at vi ikke har vært gode nok. Vi må få bedre interne rutiner og sikkerhetskultur også knyttet til varsling og håndtering av avvik, sier Rastad.

Thon understreker at endelig vedtak i saken først blir fattet etter at Bergen kommune har kommet med sine innspill. Brevet som er sendt Bergen kommune, er kun et varsel om pålegg og overtredelsesgebyr.