Sonen avslørte sikkerheitshol – no får kommunen 1,6 millionar kroner i bot

Datatilsynet meiner Bergen kommune ikkje har hatt god nok kontroll på opplysningar om fleire titals tusen barneskuleelevar.

Mor til barneskoleeleven som varslet om sikkerhetshull i Bergen kommune

AVSLØRTE: Den 13 år gamle sonen hennar prøvde først å varsle kommunen om feilen. Då han i august oppdaga at det framleis ikkje var fiksa, logga han seg inn på rektors konto i skulesystemet.

Foto: Even Norheim Johansen / NRK

Det var i august at Bergen kommune oppdaga alvorlege feil i datasystema som dei brukar i grunnskulen.

Brukarnamn og passord til over 35.000 brukarar har lagt ope tilgjengeleg og slik gjort det mogleg å hente ut personopplysingar om elevar og tilsette i bergensskulane.

Kort tid etter vart det klart at det var ein barneskuleelev (13) som hadde funne feilen i systema til kommunen. Han hadde attpåtil varsla kommunen om feilen i mars 2018, utan at noko skjedde.

Datatilsynet har konkludert med at kommunen har hatt for dårleg tryggleik i sine skuleadministrative system. Dei vil gi Bergen kommune ein bot på 1,6 millionar kroner for ikkje å ha gjennomført gode nok tiltak for å sikra eit eigna tryggleiksnivå.

Det er den første saka Datatilsynet har varsla bot i, etter at den nye Personvernforordningen trådde i kraft.

– Ei påkjenning

Mora til barneskuleeleven seier til NRK at det er riktig å gi bot til kommunen. Ho ynskjer ikkje at NRK nyttar namnet hennar, for å skåna den 13 år gamle sonen.

– I denne saka har vi også skjerma han for mykje, men det har vore ei påkjenning, seier ho.

Ho siktar til at kommunen melde datainnbrotet til politiet, og meiner saka då kom litt ut av proporsjonar.

– Dei tok beslag i datautstyr som han har kjøpt og bygga sjølv, og som han har spart opp til gjennom åra. Han har også vore i avhøyr. Det har vore ei påkjenning at det vart ein slik reaksjon på at han varsla om eit tryggleiksholet.

Millionbot

Ei av årsakene til at kommunen har fått ei millionbot i reaksjon er at det er mange grunnskuleelevar som er råka.

– Personopplysningar om svært mange barn i grunnskulen i Bergen har vore eksponert. Barn er i personvernforordningen definert som ei sårbar gruppe menneske som skal givast eit særskilt vern, seier direktør Bjørn Erik Thon i Datatilsynet.

– Det er viktig at kommunar og offentlege organ er medvitne på ansvaret sitt. Vi skal ha tillit til det offentlege, held han fram.

Kommunen har fått mykje kritikk frå IT-ekspertar om handteringa av saka.

Fødselsnummer og elevvurderingar

Kommunen brukar systema Feide og eFeide for å administrere brukarane. Her ligg det opplysningar om brukarane sine namn, passord, fødselsnummer og kva skule dei tilhøyrer.

eFeide gir også tilgang til itslearning, der det er mogleg å få tilgang til korleis elevar presterer på skulen.

Den datakunnige skuleeleven, innlogga med sin elev-brukar, fylgde ein mappestruktur i systemet og funne ei lagra fil som ikkje burde ligga der. Ifølge eleven inneheldt mappa mellom anna informasjon om alle elevar og tilsette sin brukarinformasjon og passord.

I august logga eleven seg inn på itslearning-kontoen til sin rektor, og sende melding til fleire personar. Då slo kommunen alarm om datainnbrotet.

Kommunen får svare

I varselet om millionbota legg Datatilsynet særleg vekt på at det ikkje var etablert sokalla tofaktorautentisering i innlogginga av eFeide, sjølv om dei hadde kunnskap om at dette burde takast i bruk.

Bergen kommune fått varselet om bota frå Datatilsynet. No får kommunen koma med sine innspel til saka, før Datatilsynet fattar endeleg vedtak.

– Dette er viktige signal frå Datatilsynet som vi tek på det største alvor. Sjølv om vi har innført mange nye tiltak, ser vi at vi framleis har ein veg å gå, seier kommunaldirektør Robert Rastad i ei pressemelding.

Robert Rastad

MÅ SVARE: Bergen kommune har frist innan 22. januar å gi svar til Datatilsynet.

Foto: Simen Sundfjord Otterlei / NRK