Heldt app-feil hemmeleg i frykt for at foreldre med besøksforbod skulle få info om barn

BERGEN SENTRUM (NRK): Det gjekk ein månad frå Bergen kommune blei varsla til dei sjølv melde inn avviket. IT-ekspert meiner norske kommunar har for lite kontroll på data.

Trine Samuelsberg

BEKLAGAR: Kommunaldirektør Trine Samuelsen beklagar på det sterkaste at feilen har oppstått.

Foto: Therese Pisani / NRK

– Denne saka er stygg på mange måtar. Det gir ein ekstra dimensjon at det er snakk om barn på hemmeleg adresse. Denne saka kunne ha leda til alvorlege valdshendingar, seier Torgeir Waterhouse i IKT Norge.

Saka han snakkar om sprakk onsdag.

Då gjekk Bergen kommune ut med at dei hadde oppdaga ein feil med potensielt svært alvorlege konsekvensar i datasystema sine.

Informasjon om barn på hemmeleg adresse var gjort tilgjengeleg for foreldre med besøksforbod mot barna gjennom appen Vigilo.

Appen blir brukt til kommunikasjon mellom foreldre og tilsette i skular og barnehagar.

Foreldre utan foreldreansvar hadde fått tilsend ein e-post. Med den kunne dei logge seg inn i appen og finne informasjon dei ikkje skulle hatt tilgang på.

– Saka er eit godt døme på kvifor ein må ha nokon i kvar ein organisasjon som jobbar systematisk med kva data er. Dei må vere i stand til å vurdere kva for opplysningar ein skal klassifisere på kva måte, seier Waterhouse.

Torgeir Waterhouse

KRITISK: Torgeir Waterhouse synest saka i Bergen er oppsiktsvekkande.

Foto: IKT-Norge

– Fleire kommunar med liknande feil

Dette er den andre kjende store tryggleikssvikta i Bergen kommune sine datasystem på vel eit år. I fjor oppdaga ein 13 år gammal elev eit tryggleikshol, kor passord og brukarnamn til fleire tusen elevar og lærarar var tilgjengeleg.

Kommunen fekk 1,6 millionar kroner i bot frå Datatilsynet.

Waterhouse meiner Bergen kommune ikkje er aleine om å ha hol i datatryggleiken.

– Kollektivt er vi ikkje modne nok på datafeltet. Alle skjønner at ein ikkje skal sette ein konteinar framfor ei branndør eller sette seg ned på ein trebeint stol, men vi har ikkje den same intuitive forståinga av farane ved data.

Venta ein månad med å sende avviksmelding

Tryggleikssvikta oppstod allereie i vår, men blei oppdaga først tre månadar seinare. Ei mor såg at faren til barnet låg inne i appen, og varsla kommunen 3. september.

Først 2. oktober melde Bergen kommune avviket formelt til Datatilsynet.

I mellomtida stengde dei ut dei kommunen identifiserte som foreldre utan registrert foreldreansvar, og tok kontakt med alle familiar som kunne vere råka.

Trine Samuelsberg, kommunaldirektør for skule og barnehage i Bergen kommune, seier at dei munnleg fortalde Datatilsynet om feilen på eit tidlegare tidspunkt, men lét vere å sende avviksmelding i frykt for at saka skulle bli kjend offentleg.

Kommunen var redd for at nokon hadde fått tak i informasjon dei kunne nytte seg av.

– Det kunne medføre risiko dersom saka blei kjend offentleg. Vi frykta at ein forelder utan foreldreansvar kunne forstå at ho eller han kunne få tak i denne informasjonen. Vi var opptekne av ikkje å informere folk om saka før tryggleiken var sikra, seier Samuelsberg.

Ingen kjende konsekvensar

Ifølgje kommunen var den sensitive informasjonen knytt til kva skule og kva klasse barna gjekk i, samt namn på lærar og andre foreldre.

Dei sensitive dataa låg i teorien tilgjengelege for foreldre utan registrert foreldreansvar frå 12. mai til 5. september. Då stengde kommunen tilgangen.

477 personar som ikkje var registrert med foreldreansvar fekk e-post frå kommunen, og dermed tilgang til informasjonen.

Bergen kommune har i ettertid funne ut at mange av desse har rett på informasjon om barna, men dei har identifisert ti familiar der informasjonen er gjort tilgjengeleg for folk som ikkje skulle hatt denne informasjonen.

Svikten omfattar også tre barn som bur på hemmeleg adresse.

Så vidt kommunen veit har saka ikkje fått konsekvensar for familiar.

– Vi har vore i dialog med alle foreldre som det har vore ein kjend potensiell risiko for familien. Viss det finst nokon vi ikkje har identifisert, håpar vi at dei tar kontakt, seier Samuelsberg.

Trine Samuelsberg

DATAPROBLEM: Trine Samuelsberg er kommunaldirektør for barnehage og skule i Bergen. For andre gong på to år må ho fronte ein tryggleikssvikt i datasystema til kommunen.

Foto: Therese Pisani / NRK

Kommunen beklagar

Bergen kommune begynte å bruke Vigilo i haust. Når appen er fullt oppe og går, vil kommunen betale 2,5 millionar kroner i året for appen.

Då dei skulle begynne å bruke appen, blei personopplysningar lasta direkte inn frå Folkeregisteret. Der var det ikkje opplysningar om besøksforbod, barnevernstiltak eller liknande, og kommunen måtte legge det inn manuelt.

Under ei oppdatering la data frå Folkeregisteret seg oppå dei manuelle endringane og fjerna avgrensingane som var lagt inn manuelt.

Samuelsberg seier dei vurderar risiko når dei innfører nye datasystem, og at dei trudde at risikoen i dette tilfelle var handtert.

– Denne gangen var det ei overskriving av data som vi ikkje hadde føresett, og slik vi forstod det av risikoanalysen var det varetatt. Difor gjorde vi ikkje nokon kontroll då. Det beklagar vi på det sterkaste, seier Samuelsberg.

– Dette er informasjon som de måtte vere forsiktige med. Kvifor forstod de ikkje tidleg at de måtte sjekke dette grundig før informasjonen blei lagt ut etter oppdateringa?

– Det er eit godt spørsmål som vi stiller oss sjølv, og som vi tar læring av. Faktum er at vi ikkje gjekk inn og kontrollerte det, og det beklagar vi.

Bergen rådhus

AVVIK: Onsdag varsla Bergen kommune at dei har meld inn eit avvik til Datatilsynet.

Foto: Sissel Rikheim / NRK

Prioritert hos Datatilsynet

Kommunen har sjølv meld inn avviket som menneskeleg svikt, ifølge Datatilsynet, som no etterforskar saka.

– Denne saka er prioritert hos oss, seier kommunikasjonsrådgjevar Anders Ballangrud.

Vigilo er brukt av mange kommunar i landet, ifølgje administrerande direktør i selskapet, Øystein Viland. Mellom anna har Fredrikstad, Sarpsborg, Bømlo og Asker tatt appen i bruk.

Vigilo kan sjå kven som har logga seg inn og sett opplysningane. Viland seier at dei ikkje har oppdaga at opplysningane har kome i feile hender.

Han seier Bergen kommune er ansvarlege for handsaminga av dataa, og at dei får data frå kommunen. Dei kan ikkje gjere noko med data dei får inn, seier han.

– Vi oppfattar at det vi har tilgang til er kontrollert og gjort rett, seier Viland.

Likevel tek han på seg eit ansvar i saka.

– Vi er ikkje fritekne for ansvar her, når det skjer i vår løysing. I denne saka kunne vi ha vore flinkare til å informere kommunane om moglege konsekvensar ved oppdateringar med folkeregisterdata.