Kommunen får varsel om 1,6 millioner i bot av Datatilsynet

Illustrasjonsfoto: Thomas Winje Øijord / Scanpix

Illustrasjonsfoto: Thomas Winje Øijord / Scanpix

En elev tok seg inn i kommunens påloggingsportal. Nå får kommunen stryk av Datatilsynet.

DEL

Alarmen gikk sent en mandag kveld, den 13. august. Ansatte fra Identum, Bergens-firmaet som drifter portalen for kommunen, oppdaget at det hadde vært uvedkommende inne i systemet. Alt ble lukket ned, og arbeidet med å finne ut hva som hadde skjedd, startet for fullt.

To dager senere sendte kommunen ut pressemelding hvor de fortalte at den eller de som hadde tatt seg ulovlig inn i systemet hadde hatt tilgang til 35.000 elever og læreres navn, adresse, personnummer og kontaktinformasjon.

– Slikt skal ikke skje, sa kommunaldirektør Trine Samuelsberg i den første pressemeldingen som ble sendt ut etter hendelsen.

Datatilsynet ble raskt informert om sikkerhetsbruddet, og de satte i gang undersøkelser av hendelsen. Det er ingen grunn til å tro at personopplysninger har kommet på avveie som følge av sikkerhetsbristen.

Et par dager senere ble det kjent at det faktisk var en skoleelev på en barneskole som hadde avdekket en sikkerhetsbrist i innloggingssystemet. Han varslet om dette for et halvt år siden, men ingenting ble gjort.

Latterliggjorde sikkerheten

Da han kom tilbake ved skolestart og så at han fortsatt kunne komme seg inn, sendte han e-post i en rektors navn hvor han latterliggjorde sikkerheten i kommunens datasystem.

Guttens datautstyr ble beslaglagt av politiet, og han ble avhørt.

Parallelt med at politi, kommunen og Identum jobbet med saken, var den under behandling hos Datatilsynet.

Tidenes største gebyr

Tirsdag var Datatilsynet ferdig med sin behandling av saken. Konklusjonen er knusende for Bergen kommune, som får varsel om et overtredelsesgebyr på 1,6 millioner kroner for manglende personsikkerhet i kommunens datasystemer.

– Dette er den første saken hvor vi varslet overtredelesgebyr etter den nye Personvernforordningen. Det er også det største overtredelsesgebyret vi har varslet noen gang. Det nest største var mot et helseforetak og var 800.000 kroner, forteller direktør i Datatilsynet, Bjørn Erik Thon, til BA.

– Grunnen er primært fordi det nye regelverket skal gi høyere gebyr. Overtredelsesgebyrende skal være avskrekkende og virkningsfulle, legger han til.

– Hadde alle muligheter til å reagere

Direktør Thon ramser opp flere grunner til det høye gebyret.

–  Det var mange mennesker som ble eksponert, 35.000. Det var mange barn og unge involvert, og de har krav på et særlig beskyttelsesbehov. Bergen kommune fikk flere oppfordringer, og hadde mange foranledninger til å etablere tofaktorautentisering ved innlogging i skoleportaler.

Tilsynet la også vekt på at sikkerhetsbristen ble varslet om av eleven i mai.

– Det ble ikke fulgt opp. Det er kommunen og ingen andre enn kommunens ansvar å gjøre det. Her har de fått et advarsel, en elev har sagt ifra, men først når han agerer på det igjen reagerer kommunen. De hadde alle muligheter til å reagere på varselet, men de hverken meldte fra til Datatilsynet som de skal, eller iverksatte tiltak, sier Thon.

Brevet som er sendt fra Datatilsynet til kommunen er et foreløpig varsel om at det kan bli fattet vedtak om gebyr på 1,6 millioner kroner.

– Bergen kommune skal få komme med sine innspill til saken, og det er først etter dette at Datatilsynet eventuelt vil fatte et endelig vedtak, påpeker Thon.

– Vi har ikke vært gode nok

Kommunen opplyser om at de må ta en grundig gjennomgang av varselet før det blir gitt et svar til Datatilsynet innen 22. januar.

– Dette er viktige signal fra Datatilsynet som vi tar på det største alvor. Det nye regelverket utfordrer oss. Selv om vi allerede har innført mange nye tiltak, ser vi at vi fremdeles har en vei å gå, sier kommunaldirektør Robert Rastad i en pressemelding.

– Hendelsen viste oss at vi ikke har vært gode nok. Vi må få bedre interne rutiner og sikkerhetskultur også knyttet til varsling og håndtering av avvik, fortsetter han.

Artikkeltags