«Datatilsynet bøtelegger kommunen etter dataangrepet kommunen ble utsatt for i januar i år».
Det skriver Datatilsynet i ei pressemelding tirsdag ettermiddag.
De har varsla Østre Toten om et vedtak om et såkalt overtredelsesgebyr.
– Datatilsynet ser svært alvorlig på saken, skriver de i vedtaket.
Opplysninger om barn på avveie
Veronica Jarnskjold Buer er avdelingsdirektør for teknologi, analyse og sikkerhet i Datatilsynet.
Hun forteller at kommunen har hatt store mangler på grunnleggende sikkerhet.
– Vi ser at det har vært mangler i logging, av tofaktorautorisering, innen sikkerhetskultur og i rutiner for backup.
Østre Toten kommune får et varsel på fire millioner i bot etter dataangrepet. Dette er den største bota Datatilsynet noen gang har gitt en kommune, bekrefter Buer.
Tilsynet skriver i vedtaket at de ser særlig alvorlig på at personopplysninger og opplysninger om barn er rammet av angrepet.
– Begge har krav på et særskilt vern. Dataene er tapt for kommunen og delt i ukjent omfang på det mørke nettet. Det er dermed umulig å forhindre videre deling eller kompromittering av personopplysningene, noe som gjør saken særlig alvorlig, skriver de.
I tillegg til bota, pålegger Datatilsynet kommunen om å etablere et styringssystem for informasjonssikkerhet og sikkerhet for personoppsyn.
– En borger skal være trygg på at sine opplysninger forvaltes på en god måte og sikres tilstrekkelig når en er i kontakt med offentlige og kommunale instanser. Sikkerhet er helt grunnleggende, sier Buer.
Hun legger til at kommunen håndterte dataangrepet på en svært god måte, når uhellet først skjedde.
– De har vært forbilledlig når det kommer til å rydde opp i etterkant. De har vært åpne og informert innbyggerne, og er således et forbilde for andre kommuner.
Stort dataangrep i januar
Kommunen tar varselet om bota til etterretning, og sier at de også tar med seg at det også kom ros fra Datatilsynet.
– I en så alvorlig sak som dette tar vi med oss at Datatilsynet er fornøyde med måten vi har håndtert dataangrepet på, blant annet at vi har gjort vårt ytterste for å gi god informasjon til innbyggerne, sier kommunedirektør Ole Magnus Stensrud i Østre Toten kommunen.
Det var i januar i år at Innlandskommunen ble utsatt for et massivt dataangrep.
Noen hadde tatt seg inn bak brannmurene til kommunen, sletta alle sikkerhetskopier og kryptert alle data.
Det gjorde at ingen av de 1300 ansatte i kommunen fikk brukt datasystemene sine. Kommunen anslo senere at rundt 30 000 dokumenter var omfattet av angrepet.
Dokumentene inneholdt opplysninger om blant annet etnisk opprinnelse, politisk oppfatning, religiøs tro, fagforeningsmedlemskap, seksuelle forhold, helseforhold, pedagogiske diagnoser, fødselsnummer, MinID og bankkonto.
- Hvor rusta er norske kommuner for ulike kriser? Bli klokere her:
Klarte ikke å ta vare på sensitive data
Ordfører Bror Helgestad sier de har fått bota fordi datatilsynet sier de ikke klarte å ta vare på personsensitive data for innbyggerne våre.
– Så sier de at bota kunne blitt større om vi ikke hadde håndtert det så brukbart som vi gjorde. Vi tar bota til etterretning.
Han sier de allerede har brukt over 30 millioner kroner på å bygge opp nye systemer.
Det har vært en omfattende og stor jobb, og ifølge Helgestad har de vært klar over at det kunne komme en bot.
– Vi har en søknad inne på skjønnsmidler hos statsforvalteren og håper vi kan få det, eller så må vi ta det fra disposisjonsfondet vårt.
Helgestad sier de skal bruke noen uker på å vurdere en klage, eller om bota skal tas til etterretning.