Sikkerhetsbristen i Bergen kommune innebar at brukernavn og passord til over 35.000 brukere på administrasjonssystemet Feide lå åpent tilgjengelig for elever. Eleven som tok seg inn i systemet ved å bruke eksisterende brukeropplysninger, fikk tilgang på administratornivå.
Datatilsynet konkluderer i sin sak med at bristen har gjort det mulig å logge seg inn i systemet og slik få tilgang til personopplysningene til elever og ansatte i kommunen.
Bergen kommune bekrefter at den tirsdag mottok varsel fra tilsynet om pålegg og overtredelsesgebyr på 1,6 millioner kroner på grunn av brudd på personopplysningssikkerheten.
I tillegget til gebyret, blir kommunen pålagt å endre og beskytte elever og ansattes påloggingsinformasjon.
– Dette er viktige signaler fra Datatilsynet som vi tar på det største alvor, forsikrer kommunaldirektør Robert Rastad.
Bergen kommune utbedret sikkerhetsmangelen samme dag som datainnbruddet skjedde, samtidig som saken ble meldt til Datatilsynet. Det viste seg senere at avviket var blitt varslet internt allerede i mai, uten at dette ble tilstrekkelig fulgt opp.
– Hendelsen viste oss at vi ikke har vært gode nok. Vi må få bedre interne rutiner og sikkerhetskultur også knyttet til varsling og håndtering av avvik, sier Rastad.'