Kommunen får millionbot fra Datatilsynet
Barneskoleeleven fant et sikkerhetshull i datasystemet i bergensskolen. Datatilsynet gir Bergen kommune bot på 1,6 millioner kroner.
Bergen kommune fikk i går varsel om pålegg og overtredelsesgebyr på 1,6 millioner kroner på grunn av brudd på personopplysningssikkerheten.
Sendte falsk e-post
Saken begynte i vår da en 7.-klassing fant et sikkerhetshull med passord og andre personopplysninger til 35.000 elever og foresatte i bergensskolen.
Han varslet Bergen kommune. Da ingenting skjedde, sendte han ut en falsk e-post i rektors navn. Dette anmeldte kommunen til politiet.
Like etter kom fem politifolk på døren til familien og beslagla guttens selvbygde datamaskin og skole-PC.
– Føles rettferdig
– Vi synes det er greit at kommunen får en reaksjon på at de ikke har håndtert persondata forsvarlig, sier moren hans til BT like etter at hun har fått nyheten.
Hun har foreløpig bare rukket å sende en SMS til sønnen.
– Synes dere dette er en oppreising for ham?
– Det føles rettferdig at kommunen får en reaksjon. Vi er nesten ferdigsnakket med kommunen og har en grei dialog med dem, sier hun.
– Barn er sårbar gruppe
Etter Datatilsynets vurdering har personopplysningssikkerheten vaert mangelfull i datasystemene i grunnskolen i Bergen kommune.
Tilsynet har lagt saerlig vekt på at sikkerhetsbruddet omfatter opplysninger om over 35.000 personer, flesteparten barn.
– Barn er i personvernforordningen definert som en sårbar gruppe som skal gis et saerskilt vern. Det er også viktig at kommuner og andre offentlige organer som behandler personopplysninger, er seg bevisste sitt ansvar, sier direktør Bjørn Erik Thon i Datatilsynet i en pressemelding.
Slike overtredelsesgebyr skal vaere virkningsfulle, avskrekkende og forholdsmessige.
– Vi mener at gebyrets størrelse i denne saken gjenspeiler dette, sier Thon.
– Vi tar dette på største alvor
Kommunen vil ta en grundig gjennomgang av varselet før den svarer Datatilsynet innen 22. januar.
– Vi tar dette på største alvor, sier kommunaldirektør Robert Rastad.
– Dette er et veldig viktig signal både til oss i ledelsen i Bergen kommune og andre norske kommuner om at vi er nødt til å intensivere arbeidet med datasikkerhet.
Det er første gang Datatilsynet har gitt et varsel om gebyr til noen i offentlig sektor etter at et nytt personvernregelverk trådte i kraft 20. juli 2018.
– Det nye regelverket utfordrer oss. Selv om vi allerede har innført mange nye tiltak, ser vi at vi fremdeles har en vei å gå, sier Rastad.
– Vi har ikke vaert gode nok
Bergen kommune satte i verk tiltak, og avviket ble lukket 15. august. Samtidig ble saken meldt til Datatilsynet.
Det viste seg senere at avviket var blitt varslet internt allerede i mai, uten at dette ble tilstrekkelig fulgt opp.
– Det er riktig at det ble varslet oss, og at vi ikke håndterte varselet slik vi burde. Hendelsen viste oss at vi ikke har vaert gode nok. Vi må få bedre interne rutiner og sikkerhetskultur også knyttet til varsling og håndtering av avvik, sier Rastad.
Under kriminell lavalder
Eleven har ikke fått utstyret tilbake.
Politiet venter fremdeles på en krimteknisk rapport, får BT opplyst.
Om gutten får tilbake sin selvbygde PC, blir først vurdert når rapporten foreligger.
– Saken vil deretter bli påtalevurdert, men gjerningsmannen er under kriminell lavalder, og det blir ingen strafferettslig reaksjon, sier politiadvokat Ole Bjørn Mevatne.
Foreldrene til gutten har foreløpig ingen planer om å gå videre med saken.