Ny sikkerhetssvikt i Bergen kommune: Foreldre med besøksforbud lagt til i skole-app

Har gitt foreldre med besøksforbud tilgang til opplysninger om barn på hemmelig adresse. Datatilsynet er varslet om sikkerhetssvikten.

Trine Samuelsberg

BEKLAGER: Kommunaldirektør Trine Samuelsberg beklager ny sikkerhetssvikt hos Bergen kommune.

Foto: Jon Bolstad / NRK

Svikten omfatter blant annet tre barn som bor på hemmelig adresse og ti barn som har familieforhold som gjør at foreldrene ikke skulle ha noen informasjon om barna, skriver Bergens Tidende.

Bergen kommune begynte å bruke appen Vigilo i høst. Den skal brukes til kommunikasjon mellom foreldre og ansatte i skoler og barnehager.

– At vi har gitt ut opplysninger til foreldre som ikke skulle hatt det, er svært beklagelig. Det føles krevende og vondt at det har oppstått en ny hendelse, sier kommunaldirektør Trine Samuelsberg til NRK onsdag kveld.

Trine Samuelsberg

VARSLET DATATILSYNET: Kommunaldirektør Trine Samuelsberg under høringen om hacking-skandalen i Bergen i juni. Nå har kommunen varslet Datatilsynet om nytt avvik.

Foto: Leif Rune Løland / NRK

Oppdaget etter tre måneder

Personopplysningene i appen lastes inn direkte fra Folkeregisteret. Der fremkommer imidlertid ikke opplysninger om besøksforbud, barnevernstiltak eller lignende, så dette måtte legges inn manuelt.

Sikkerhetssvikten oppstod allerede i vår. Da personopplysningene fra Folkeregisteret skulle oppdateres etter en måned, la de seg oppå de manuelle endringene som var gjort.

Dette ble oppdaget tre måneder senere da en mor så at faren til barnet lå inne i appen. Da fjernet kommunen umiddelbart alle som lå inne i appen uten foreldreansvar.

Det viste seg senere at ingen av foreldrene som ikke skulle ha tilgang på opplysningene, hadde logget seg på appen.

Sjekker om det har fått konsekvenser

Men i ti av familiene hadde foreldre fått e-post med info om hvilken skole barnet gitt på.

Kommunen er i dialog med familiene for å avklare om avviket har direkte konsekvenser for deres hverdag.

De sensitive dataene har i teorien vært tilgjengelig for foreldre uten registrert foreldreansvar, fra 12. mai til 5. september. Men appen Vigilo ble først tatt i bruk fra skolestart i august.

Først da ble foreldrene informert om det nye systemet og fikk informasjon om hvordan de kunne logge seg inn, opplyser kommunen.

Bergen rådhus

TILGJENGELIG I TRE MÅNEDER: Bergen kommune sier de sensitive dataene i teorien vært tilgjengelig for foreldre uten registrert foreldreansvar, fra 12. mai til 5. september. Først i august fikk foreldre informasjon om appen Vigilo.

Foto: Sissel Rikheim / NRK

Fikk millionbot

Kommunen har holdt saken hemmelig til nå på grunn av risikoen for de involverte familiene. Datatilsynet ble varslet om saken 2. oktober.

Sikkerhetssvikten skjer bare et knapt år etter at kommunen fikk 1,6 millioner kroner i bot av Datatilsynet.

Da var det en 13 år gammel datakyndig elev som oppdaget et sikkerhetshull slik at passord og brukernavn til flere tusen elever og lærere var tilgjengelig.

– Vi har endret på rutinene våre ved at vi bare laster opp foreldrene som har registrert foreldreansvar i appen. Andre må legges til manuelt frem til det nye folkeregisteret er på plass i løpet av 2021, forklarer Samuelsberg.