Krev svar på kvifor kommunen brukte ein månad på å varsle Datatilsynet om app-feil

I starten av september vart kommunen varsla om tryggleiksbrotet som potensielt utsette skule- og barnehagebarn i Bergen for fare. Først ein månad seinare sende kommunen avviksmeldinga til Datatilsynet.

Linn Kristin Engø (Ap)

MÅ SVARE: Skulebyråd Linn Kristin Engø (Ap) og avdelinga for barnehage, skule og idrett må svare Datatilsynet på kvifor avviket vart sendt inn ein månad etter varsling.

Foto: Marit Hommedal / NTB scanpix

NRK rettar: I den første versjonen av denne saka, var det ikkje tatt med at kommunen seier dei varsla Datatilsynet munnleg på eit tidlegare tidspunkt enn 2.oktober, slik NRK tidlegare har omtalt.

Bergen kommune er igjen i hardt vêr etter at det vart avdekka ein alvorleg glipp under innføringa av den nye appen Vigilo.

Den skal betre kommunikasjonen mellom foreldre og tilsette i skular og barnehagar. Men kommunen har enda opp med å legge ut langt meir informasjon enn dei burde.

Opplysningar om mellom anna barn som bur på hemmeleg adresse var gjort tilgjengeleg for foreldre utan foreldreansvar gjennom appen og i automatiske e-postar som er sendt ut.

Kommunen er i dialog med ti familiar for å avdekke om svikten har ført til auka risiko i kvardagen deira.

Vigilo-appen i bergen kommune

FEIL: Det gjekk gale då Bergen kommune skulle innføre den nye applikasjonen Vigilo i skulane og barnehagane.

Foto: Therese Pisani / NRK

Krev svar på varsling

2. oktober sende kommunen avviksmelding til Datatilsynet. Der er hovudårsaka til avviket oppgitt å vera «menneskeleg svikt».

Datatilsynet reagerer på at dei i denne saka ikkje har fått denne meldinga før det har gått ein månad.

I eit brev NRK har fått innsyn i skriv tilsynet:

«3. september tok en forelder kontakt med personvernombudet. Med bakgrunn i denne forespørslene ble det oppdaget at det var en automatikk i at foresatte uten foreldreansvar fikk tilgang til informasjon om barnet, via den nye digitale løsningen. 4. september satte kommunen ned stab. [ ...]»

«Datatilsynet ber om en redegjørelse for hvorfor det tok en måned fra kommunen satte ned stab, til melding om hendelsen ble sendt», skriv Datatilsynet til kommunen.

– Vi ønskjer ei forklaring på kvifor det tok så lang tid, seier kommunikasjonsdirektør Janne Stang Dahl til NRK.

Janne Stang Dahl, kommunikasjonsdirektør i Datatilsynet

KREV SVAR: – Vi har etterspurd meir informasjon og dokumentasjon slik at vi kan vurdere nøye kva som har skjedd, seier kommunikasjonsdirektør i Datatilsynet Janne Stang Dahl.

Foto: Beate Riiser / NRK

Avviser lovbrot

Oppgåva til Datatilsynet er å føre kontroll etter personopplysningsregelverket slik at enkeltpersonar ikkje blir krenka gjennom bruk av opplysningar som kan knytast til dei.

Regelverket seier at Datatilsynet skal varslast innan 72 timar.

Bergen kommune avviser at dei har brote regelverket og seier til NRK at dei varsla Datatilsynet munnleg om hendinga 4.september.

Kommunen har frist til 11. november med å svare Datatilsynet på krava i brevet. I brevet som vart sendt onsdag denne veka, er det totalt sju spørsmål som tilsynet vil ha svar og dokumentasjon på.

Mellom anna ber dei om ei utdjuping om at hendinga skuldast menneskeleg svikt. Dei vil også sjå dokumentasjon på at kommunen gjennomførte ei risikovurdering, slik personvernforordninga krev, før avgjerda om å ta i bruk Vigilo i skulen vart gjort.

Det er berre gått månadar sidan Datatilsynet gav Bergen kommune 1,6 millionar kroner i bot for eit anna alvorleg tryggleiksbrot. NRK har spurt Datatilsynet om kor alvorleg dei ser på den nye saka.

– Vi kan seie meir om alvorsgraden når saka er ferdig behandla. Men barn og unge er ei sårbar gruppe, noko som vi også vil ta omsyn til i vår vurdering av saka, svarar Dahl.

Kritikk for sein varsling

Skulebyråd Linn Kristin Engø (Ap) vil ikkje seie om ho fryktar ei ny bot til kommunen.

– Eg er mest oppteken av å hindre at dette skal skje igjen. Så må våre svar og deira reaksjon på det avgjere om vi får ei ny bot eller ikkje. Eg er glad for at Datatilsynet gjer dette, slik at vi kan få kartlagd korleis dette kunne skje, seier Engø.

Også lokale politikarar har reagert på at ikkje dei vart varsla tidlegare. Til det har Engø svart at ho ikkje ville risikere at det lekka ut informasjon som kunne skape ytterlegare risiko for barna.

– Derfor bad vi også Datatilsynet om å halde att offentleggjeringa av avviket, har Engø sagt.