Datatilsynet slår alarm om IT-sikkerhet i skolene
Etter flere omfattende sikkerhetsbrudd i datasystem i skolene den siste tiden, er Datatilsynet bekymret. – Kommunene og fylkeskommunene er ikke rustet til å håndtere dette, sier direktør Bjørn Erik Thon.
Forrige uke skrev E24 om det omfattende sikkerhetsbruddet i Vismas prestisjesystem «InSchool», som skal innføres på alle videregående skoler i landet løpet av neste år.
En rekke personopplysninger om flere tusen elever og ansatte i Viken fylkeskommune var tilgjengelig for brukere av systemet. Blant annet fullt navn, adresse, personnummer og om eleven har fritak fra gym og sidemål.
Datatilsynet mener at utfordringene knyttet til informasjonssikkerhet og personvern i skolene er store, og at digitaliseringen av skolesektoren har kommet svært brått på.
– Nå ser vi resultatet: Mange feil som setter personvernet til elever, foreldre og lærere i fare, sier Bjørn Erik Thon.
Thon viser blant annet til «et voldsomt trykk» fra eksterne store leverandører, om å ta i bruk nettbrett, PC-er og programvarer.
– Dette har nok blitt litt hodeløst på mange måter. Jeg tror mange kommuner og fylkeskommuner rett og slett ikke har vurdert hva de har gjort. De har bare kjøpt et eller annet, sier han.
Omfattende sikkerhetsbrudd i Vismas prestisjesystem: Opptil 25.000 elever og ansatte berørt
En rekke avvik
Det er kommunene og fylkeskommunene som har ansvaret for at informasjonssikkerheten og personvernet i skolene blir ivaretatt.
– Vi har vært på et stort antall tilsyn i kommunene, og funnet feil så å si alle steder, forteller Thon.
I slutten av januar gikk skolebyråd Linn Kristin Engø i Bergen av etter den såkalte Vigilo-saken som ble avdekket i fjor.
Skolebyråden i Bergen trekker seg
En alvorlig sikkerhetssvikt i kommunikasjons-appen, som skal brukes av foreldre og ansatte i skoler og barnehager, førte blant annet til at foreldre uten foreldreansvar ble lagt til i appen. Dermed fikk de informasjon om barna som de ikke skulle ha. Noen av foreldrene hadde besøksforbud.
– Vi har hatt opp mot ti saker det siste året som dreier seg om det samme. Disse sakene er både i skolesektoren og i andre sektorer, sier Thon.
Oscar (17) og Thomas (17) avdekket sikkerhetshullet i Vismas nye IT-system: – Amatørmessig
– Sånn kan man ikke ha det
I flere tilfeller er det elever ved skolene som har oppdaget de ulike sikkerhetsbruddene. Blant annet ble avviket i Vismas system oppdaget av to 17 år gamle elever.
– Det er et kjempestort tankekors at det er elevene som avslører sikkerhetsbrudd i skolene. Man pleier å si at «sånn kan man ikke ha det», men sånn kan man faktisk ikke ha det, sier Thon.
– Vi ser igjen og igjen at store selskaper og kommuner gjør feil.
Selskapene som leverer IT-systemene drar inn enorme summer på avtalene. Blant annet var prislappen for å leie Vismas «InSchool» i ti år på 560 millioner kroner, betalt av det interkommunale selskapet Vigo IKS.
– I disse sakene er det snakk om store investeringer og millioner av kroner, sier Thon.
Visma-kunden med hard kritikk etter sikkerhetsbruddet i prestisjesystem: – Uakseptabelt
Etterlyser sentral styring
Han mener konsekvensene av slike avvik i skolene rammer ekstra hardt.
– Vi har sett mange feil, og dette gjelder barn og unge og deres opplysninger. Skolen har mye sensitiv data om for eksempel særskilte behov og lærevansker.
– Venter du flere skandaler i tiden fremover?
– Det må jeg dessverre svare ja på. Vi er nok nå i en situasjon hvor vi kommer til å se mer av dette.
Thon mener at de siste sakene viser at hverken kommunene eller fylkeskommunene er i stand til å håndtere dette feltet på egen hånd. Nå mener Datatilsynet at det er på tide med mer sentral styring, og at kommunene må få hjelp fra sentralt hold.
– Ansvaret for informasjonssikkerhet og personvern må plasseres et sentralt sted i forvaltningen. Vi stiller spørsmål ved hvem som egentlig har ansvaret. Dette er ikke satt i noe system, og vi trenger en kjempedugnad for å få det til.
