Bergen kommune får straffegebyr på 1,6 millioner kroner etter sikkerhetsbrist

Datatilsynet tar i bruk ferske GDPR-regler og straffer Bergen kommune med et gebyr på 1,6 millioner kroner etter at en elev tok seg inn i skolenes datasystem i sommer.

MILLIONGEBYR: Direktør Bjørn Erik Thon i Datatilsynet gir Bergen kommune et gebyr på 1,6 millioner kroner.

Foto: Mariam Butt NTB scanpix
Publisert:

Sikkerhetsbristen i Bergen kommune innebar at brukernavn og passord til over 35.000 brukere på administrasjonssystemet Feide lå åpent tilgjengelig for elever. Eleven som tok seg inn i systemet ved å bruke eksisterende brukeropplysninger, fikk tilgang på administratornivå.

Datatilsynet konkluderer i sin sak med at bristen har gjort det mulig å logge seg inn i systemet og slik få tilgang til personopplysningene til elever og ansatte i kommunen.

– Sikkerheten i innloggingssystemet har vært for dårlig, slik at uvedkommende kunne få tilgang til brukernavn og passord i læringsplattformen og i skoleadministrative systemer, sier direktør Bjørn Erik Thon i en pressemelding.

Les også: (+) Den norske bankboomen: Så enkelt er det å starte bank

– Viktige signaler

Bergen kommune bekrefter at den tirsdag mottok varsel fra tilsynet om pålegg og overtredelsesgebyr på 1,6 millioner kroner på grunn av brudd på personopplysningssikkerheten. I tillegget til gebyret, blir kommunen pålagt å endre og beskytte elever og ansattes påloggingsinformasjon.

– Dette er viktige signaler fra Datatilsynet som vi tar på det største alvor, forsikrer kommunaldirektør Robert Rastad.

Bergen kommune utbedret sikkerhetsmangelen samme dag som datainnbruddet skjedde, 12. august, samtidig som saken ble meldt til Datatilsynet. Det viste seg senere at avviket var blitt varslet internt allerede i mai, uten at dette ble tilstrekkelig fulgt opp.

– Hendelsen viste oss at vi ikke har vært gode nok. Vi må få bedre interne rutiner og sikkerhetskultur også knyttet til varsling og håndtering av avvik, sier Rastad.

GDPR

I et brev til Bergen kommune skriver Datatilsynet at personopplysningsloven av 2018 må anvendes i saken.

EUs nye personvernforordning, bedre kjent som GDPR, trådte i kraft i Norge 20. juli. Det var på forhånd varslet saftige bøter til bedrifter og virksomheter som sluntrer unna.

Forordningen sier at overtredelsesgebyr skal være virkningsfulle, avskrekkende og forholdsmessige.

– Vi mener at gebyrets størrelse i denne saken gjenspeiler dette, sier Thon.

Les også

Datatilsynet: – Får mange meldinger om sikkerhetsbrudd fra finansbransjen

Les også

Bedrifter med Facebook-sider risikerer millionbøter etter EU-dom

Les også

Nå trer GDPR i kraft i Norge

Her kan du lese mer om