Datatilsynet refsa kommunen for sein varsling – men feilen låg hjå dei

Bergen kommune varsla om alvorleg app-feil, men sakshandsamaren i Datatilsynet fekk aldri beskjed.

Direktør i Datatilsynet, Bjørn Erik Thon.

BEKLAGAR: Direktør Bjørn Erik Thon i Datatilsynet seier dei ikkje var klar over at kommunen allereie hadde varsla munnleg om tryggleikssvikt, før dei sende ei rekke krav tilbake.

Foto: Mariam Butt / NTB scanpix

Laurdag omtalte NRK krava som Datatilsynet har kome med i etterkant av tryggleiksbrotet i administrasjonssystemet Vigilo.

I eit brev til Bergen kommune vil Datatilsynet ha svar på sju spørsmål. Eitt av dei er kvifor kommunen brukte ein månad på å varsle Datatilsynet om saka.

– Regelverket seier vi skal varslast innan 72 timar etter at feil er oppdaga. Vi ønskjer ei forklaring på kvifor det tok så lang tid. I ei sak som denne er ein månad lang tid, sa kommunikasjonsdirektør Janne Stang Dahl til NRK.

Innrømmer kommunikasjonssvikt

Ein kan også først varsle om avviket på telefon, ifølge regelverket (ekstern lenke).

Bergen kommune har tidlegare sagt at dei varsla Datatilsynet munnleg om tryggleiksbrotet 4. september.

Dagen før hadde ei mor funne faren til barnet i app-versjonen av Vigilo. Då oppdaga kommunen at opplysningar om mellom anna barn som bur på hemmeleg adresse var gjort tilgjengeleg for foreldre utan foreldreansvar gjennom appen og i automatisk utsende e-postar.

Vigilo-appen i bergen kommune

ALVORLEG FEIL: Vigilo kallar seg for eit oppvekstadministrativ system, som også har ein eiga app. Då Bergen kommune skulle byrja å bruke systemet, gjekk det gale.

Foto: Therese Pisani / NRK

2. oktober vart full avviksmelding sendt til Datatilsynet.

Då NRK laurdag spurde direktør Bjørn Olav Thon i Datatilsynet om det munnlege varselet, sa han at det var «nytt for oss».

– Eg skal ikkje vera skråsikker på det, men saksbehandlar har ikkje fått det munnlege varselet, forklarte Thon.

Bergen kommune har gitt NRK skriftleg dokumentasjon på at ein fagdirektør i Datatilsynet 4. september bekreftar motteke varsel om «brudd på personopplysningssikkerheten som dere ser kan være av en alvorlig karakter».

Etter å ha fått tilsendt dette, vedgår direktøren feil.

– Her har det vore ein kommunikasjonssvikt internt og det munnlege varselet har ikkje nådd fram til saksbehandlaren. Det tek vi sjølvkritikk på og vi burde teke omsyn til det når vi formulerte kravet til kommunen, seier Thon.

Må likevel svare

Skulebyråd Linn Kristin Engø (Ap) er glad for beklaginga.

– Når vi er i kontakt med fagdirektør i Datatilsynet, må vi kunne stole på at informasjonen når fram til riktig mottakar. Riktig informasjon i denne saka er avgjerande, fordi det er barn og familiar vi skal vareta og dei må få riktig informasjon i media, seier Engø.

Datatilsynsdirektøren seier dei ikkje kjem til å sende eit nytt brev med nye krav.

– Men vi ynskjer framleis ei forklaring på kva som vart gjort frå kommunen sette stab 4. september og fram til avviksmeldinga vart sendt 2. oktober, seier Thon.

Trine Samuelsberg og Linn Kristin Engø under høringen om hackerskandalen i Bergen

PÅ HØYRING: For nokre månadar sidan fekk Bergen kommune 1,6 millionar kroner i bot av Datatilsynet. Her er kommunaldirektør Trine Samuelsberg og skulebyråd Linn Kristin Engø (Ap) på høyring under den førre tryggleikssvikten i datasystema til kommunen.

Foto: Leif Rune Løland / NRK

Frykta offentleggjering kunne skade

Kommunaldirektør Trine Samuelsberg har forklart at dei etter det munnlege varselet, venta med å skriftleg avviksmelding i frykt for at saka skulle bli kjend offentleg.

Dette fordi tryggleiksbrotet mellom anna omfatta tre barn som budde på hemmeleg adresse og ti barn med familieforhold som gjer at foreldra ikkje skulle ha noko informasjon om dei.

5.september stengde kommunen tilgangen til appen for foreldre utan foreldreansvar.

I dei ti tilfella er kommunen framleis i løpande dialog med familiane for å få informasjon om app-feilen har gitt auka risiko i kvardagen deira.

Engø seier dei kjem til å forklare dette til Datatilsynet.

– Prinsipielt er eg tilhengar av at all viktig informasjon skal vera offentleg, men dersom vi er i tvil om vi kan ta vare på tryggleiken til barn, så må det komme først. Eg håpar Datatilsynet deler den oppfatninga.