Milliongebyr etter sikkerheitsflause blir ståande – historisk gebyr til Bergen kommune

Bergen kommune meinte dei ikkje burde få gebyr etter at ein elev avdekte fleire filer som låg opne på skulens datasystem. Datatilsynet står fast på bot på 1,6 millionar kroner.

På denne adresse fant skoleeleven passord og brukernavn

VEG INN: På denne adressa fann den datakyndige skuleeleven tilgang til ein mappestruktur som gav han innsyn i brukarnamn og passord til potensielt 35.000 elevar og lærarar i bergensskulen.

Foto: Even Norheim Johansen / NRK

Gebyret på 1,6 millionar kroner kom etter av at ein barneskuleelev i fjor sommar og haust fekk tilgang til filer med passord og brukarnamn til fleire tusen elevar og lærarar i bergensskulen.

I sitt tilsvar til Datatilsynet argumenterte Bergen kommune med at det ikkje er grunnlag for verken dei tre pålegga eller gebyret.

– Kommunen har sett på korleis tilsynet argumenterer for summen dei har kome fram til og meiner det er feil, sa direktør for digitalisering og innovasjon, Kjetil Århus i januar.

Det avviser Datatilsynet.

– Signalverknadene i denne saka meiner me er tydeleg. Det er viktig at slike hendingar ikkje skjer og at alle offentlege instansar som behandlar innbyggarane sin personopplysingar, og særleg om barn, må vera sitt ansvar medvite, seier direktør Bjørn-ErikThon i Datatilsynet.

Den historiske bota, som er den første etter at den nye personvernforordninga blei gjeldande, blir dermed ståande.

Mor til barneskoleeleven som varslet om sikkerhetshull i Bergen kommune

MOR: Foreldra til guten, som no er i ungdomsskulealder, var skuffa over at Bergen kommune ikkje ville vedta bota. No blir bota ståande.

Foto: Even Norheim Johansen / NRK

«jegharallepassordene@sikkerhetenderessuger.no»

Kommunen sette krisestab då det blei oppdaga at passord og brukarnamn til 35.000 elevar og lærarar kunne vera på avvege. Kommunen stilte tilbake alle passord i skulen sitt persondatasystem og starta etter kort tid utrullinga av sterk autentisering.

Bakgrunnen for tiltaka var at ein svært datakyndig barneskuleelev logga seg inn på itslearning-kontoen til sin rektor, og sende ei tullemelding til 300 lærarar og tilsette.

Men eleven hadde allereie varsla ein gong før.

Dette skreiv ein tilsett ved skulen til Bergen kommune sin «IKT helpdesk» allereie i mai:

  • «Vi har en elev […] som ser svært ivrig i sine forsøk på å komme inn på Bergen kommunes skjulte sider i elevnettet. Han har klart å finne frem oversikt over brukernavn og passord til elevnettet – de gamle før eFeide. Det er ikke så mange som byttet passord enda (ja jeg vet vi er trege på det) men eleven har ikke misbrukt informasjonen han har funnet. Han har fortalt oss at han har funnet dem, og vist det superraskt – du gjør sånn, og sånn, og sånn ...g har ikke mulighet til å henge med når han viser det».

Trass i at eleven melde frå, blei ingenting gjort fram til skulestart i august. Difor valde han å visa at han hadde tilgang til rektor sin konto.

I tillegg til å senda melding la guten inn denne adressa på ein av brukarane han fekk tilgang til: «jegharallepassordene@sikkerhetenderessuger.no»

Kjetil Århus, digitaliseringsdirektør Bergen kommune

DIGITALISERINGSDIREKTØR: Kjetil Århus i Bergen kommune meiner Datatilsynet ikkje har tyda den nye personvernforordninga på riktig måte.

Foto: Even Norheim Johansen / NRK

– At barn er involvert er skjerpande

I sitt svar til Datatilsynet gjekk kommunen i strupen på tilsynet si lovforståing, rettsbruk og bevisvurdering. Saka er den første som fører til eit såkalla «lovbrotsgebyr» etter at den nye personvernforordninga tredde i kraft i fjor sommar.

Men Datatilsynet står fast på at 1,6 millionar kroner er ei riktig vurdering. I sitt endelege vedtak er tonen den same som i det varsla vedtaket frå desember.

– Me har merka oss dei merknadene kommunen har kome med, men det har ikkje endra vårt syn i saka. Me meiner dessutan at avviket ikkje kan reknast som lukka før innføring av tofaktorautentisering er sluttført, opplyser Thon til NRK.

Datatilsynet har lagt vekt på at lovbrotet omfattar 35.000 elevar og barn i grunnskulen. Personane sine brukarnamn og passord kan potensielt ha vore eksponert for alle brukarane.

– At barns rettar og fridom har vore utsett gjer lovbrotet ekstra alvorleg, og Datatilsynet har lagt vekt på dette som ei skjerpande omstende, heiter det i det endelege vedtaket.

Fristen for gjennomføring av pålegga er 30. april i år. Vedtaket kan klagast på til Personvernnemnda innan tre veker.

– Nøgd med avgjerda

Mora til eleven, som vil vere anonym for å verne guten, er nøgd med avgjerda.

– Det er bra at Datatilsynet plasserer skulda der den høyrer heime. Det er hos Bergen kommune og ikkje hos ein 13 år gamal gut som prøvde å varsle om det som var gale, rett nok på ein noko uheldig måte.

Politiet etterforskar framleis saka mot tenåringen. Det fekk NRK opplyst i desember.