Kommunen varsla Datatilsynet om app-avvik først etter seks dagar

Mor og barn vil flytte etter at barnefaren fekk e-post om kva skule barnet går på gjennom skule-appen Vigilo. Austlands-kommunen venta med å varsle Datatilsynet.

Bjørn Erik Thon

MELDING: Direktør i Datatilsynet, Bjørn Erik Thon, oppfordrar kommunar som oppdagar tryggleiksbrestar om å melde frå til dei.

Foto: Jon Petrusson / NRK

Førre veke blei det kjent at Bergen kommune hadde gitt foreldre utan foreldreansvar tilgang til opplysningar om barn på hemmeleg adresse gjennom skuleappen Vigilo.

Onsdag fortalde NRK at same feil har skjedd i ein stor kommune på Austlandet.

Barnefaren blei frådømd foreldreretten etter ei alvorleg hending for over ti år sidan. Då kommunen i oktober tok i bruk skuleappen Vigilo, blei han likevel lagt til i appen, sjølv om han ikkje har foreldreansvar.

Kommunen melde ikkje saka til Datatilsynet då dei blei kjend med at faren var lagt til appen.

På det tidspunktet var vi usikre på om det var kommunen som hadde gjort ein feil, seier utdanningsdirektøren i kommunen.

Tok seks dagar

Barnefaren blei sletta frå Vigilo-systemet, og kommunen meinte det ikkje var grunn til å melde hendinga inn som eit avvik.

Men etter at NRK spurde om faren kunne ha fått ein autogenerert e-post frå Vigilo, fann kommunen ut at ein slik e-post hadde blitt sendt.

I e-posten stod namnet på skulen barnet går på.

Etter at kommunen blei kjend med dette, vurderte dei på nytt om dei burde sende inn ei avviksmelding.

– Vi har vore opptekne av å ikkje belaste familien meir, og ville difor undersøke om det var mogleg å melde inn utan at det blei offentleg kjend kva kommune dette gjeld, seier utdanningsdirektøren.

Torsdag melde kommunen inn saka til Datatilsynet, seks dagar etter at mora hadde meldt frå til skulen om at barnefaren var lagt til i appen.

Vigilo-appen

APP: Skuleappen Vigilo er meint til kommunikasjon mellom skuletilsette og foreldre.

Foto: Jon Bolstad / NRK

– Kommunen forstår ikkje alvoret

Familien leitar no etter ein ny stad og bu og ein ny skule for barnet. Mora reagerer på at kommunen ikkje melde saka til Datatilsynet med ein gong.

– Det verkar på meg som om dei ikkje forstår alvoret i saka, seier ho til NRK.

Mor vurderer også om dei må skifte etternamn på nytt, fordi barnefaren kan ha fått vite det nye namnet dei tok for over ti år sidan.

– Dei forstår ikkje kor store konsekvensar dette har for oss.

Kommunen opplyser til NRK at dei nå har gått gjennom rutinane sine for å hindre at noko liknande skjer igjen.

Ber kommunar melde frå

Datatilsynet skal føre kontroll med at personopplysningsregelverket blir følgd, slik at enkeltpersonar ikkje blir krenka gjennom bruk av opplysningar som kan knytast til dei.

Regelverket seier at Datatilsynet skal varslast innan 72 timar etter at ein feil er oppdaga.

– Kommunar skal rapportere tryggleikshendingar til Datatilsynet, seier direktør Bjørn Erik Thon.

Han stadfestar at Datatilsynet har fått inn ei avviksmelding med trekk som liknar saka i austlandskommunen som NRK har skrive om, men kan ikkje seie meir fordi meldinga er unnateke offentlegheit.

– Vi vil vurdere alvoret i saka når vi startar å handsame den. Kor store konsekvensar den har fått, får sakshandsaminga vise.

Datatilsynet skal no vurdere kva dei gjer vidare i Vigilo-saka generelt, i tillegg til å følgje opp avvika som austlandskommunen og Bergen kommune har meldt inn.

På generelt grunnlag oppfordrar Thon kommunar som skal ta i bruk både Vigilo og andre liknande system om å vurdere tryggleiken nøye på førehand, og melde inn til Datatilsynet om dei oppdagar feil.