Millionbøde påvej til kommune – personoplysninger på tusindvis af skolelever var frit tilgængelige

,

af

Arkivfoto: TBIT / Pixabay

Oplysninger om 35.000 personer, størstedelen børn, var frit tilgængelige for både elever og ansatte. Det kan nu koste den ansvarlige kommune bøde i million-størrelsen.

Det store databrud er sket i den norske kommune Bergen. Ifølge det norske Datatilsynet var det muligt at logge sig ind på skolens forskellige informationssystemer som elev, lærer eller administrator på skolen og dermed få adgang til filer med personoplysninger om andre elever og ansatte.

Datatilsynet har vurderet, at den manglende sikkerhed har ført til, at personoplysninger om ualmindeligt mange børn i grundskolen i Bergen har været eksponeret.

– Sikkerheden i indlogningssystemet har været for dårligt, således, at uvedkommende har kunne få adgang til brugernavn og password i læringsplatformen og i skoleadministrative systerne, siger direktør Bjørn Erik Thon fra det norske datatilsyn.

Systemet ligger i “skyen” og har mere end 35.000 unikke brugere i Bergen Kommune. Systemet indeholder oplysninge rom brugernes navn, password, cpr-nr., adresse, hvilken skole de tilhører og skoleklasse.

Når ansatte og elever logger sig på systemet får de adgang til forskellige systemer, bl.a. en læringsplatform, der bl.a. indeholder vurderinger af de enkelte elever præstation.

Datatilsynet har i sin vurdering af sagen lagt vægt på, at kommunen ikke havde etableret tofaktorgodkendelse på systemet, selvom kommunen var orienteret om, at den burde.

Datatilsynet har lagt særlig vægt på, at sikkerhedsbruddet omfatter personoplysninger på 35.000 personer, hvor af størstedelen er børn.

Databruddet har fået Datatilsynet til at varsle kommunen om en bøde på 1,6 millioner norske kroner. Størrelsen skal afspejle alvorligheden af sagen og samtidig være virkningsfuld og virke afskrækkende.

Bergen Kommune kan nu komme med sine kommentarer til sagen, og først herefter vil Datatilsynet eventuelt udstede bøden til kommunen.