Bergen kommune ønsker ikke å godta gebyret fra Datatilsynet på 1,6 millioner kroner etter at en barneskoleelev avdekket en alvorlig sikkerhetsbrist i IT-systemene deres.
Datatilsynet ga kommunen frist til 22. januar med å svare på vedtaket, men fristen ble utsatt til 31. januar. Bergen kommune mener de trengte mer tid til å samle inn bakgrunnsinformasjon som skal kaste nytt lys over saken.
35 000 passord
– Me vil heilt klart problematisera storleiken på gebyret og sjå på grunngjevinga i varselet, sier digitaliseringsdirektør Kjetil Århus i Bergen kommune til NRK.
Sikkerhetsbristen i Bergen kommune innebar at brukernavn og passord til over 35.000 brukere på administrasjonssystemet Feide lå åpent tilgjengelig for elever.
Eleven som tok seg inn i systemet ved å bruke eksisterende brukeropplysninger, fikk tilgang på administratornivå.
Datatilsynet konkluderte i sin sak at bristen har gjort det mulig å logge seg inn i systemet og dermed gi tilgang til personopplysningene til både elever og ansatte i kommunen.
Gebyret er det første og største som er sendt ut i Norge etter at GDPR tredde i kraft i juli i fjor.
Store bøter i EU
Det er tidligere gitt store GDPR-bøter etter at lovverket ble tatt i bruk i EU 20. mai i år. Et sykehus i Portugal ble bøtelagt med 3,9 millioner kroner i oktober etter at noen av de ansatte opprettet falske profiler og snoket i pasientjournaler.
I Østerrike ble et advokatfirma bøtelagt med 46 000 kroner for å overvåke på offentlig sted uten å opplyse om dette.
Bergen kommune er ifølge NRK redd for at det høye gebyret vil skape presedens i tilsvarende saker i Norge fremover.
– Det er krevjande å vurdera alle momenta så kort tid etter innføringa av eit nytt lovverk. Sidan me no er først ute er det verdifullt å bruka litt ekstra tid. Ikkje berre for vår del, men også for andre kommunar i Noreg, sier Århus til NRK.
I tillegg til å være uenige i størrelsen på gebyret, mener kommunen at Datatilsynet ikke har satt seg godt nok inn i infrastrukturen deres når de ber dem om å innføre tofaktorautentisering og få orden på passordrutinene.
– Me vil gjera grundige vurderingar for å opna for ein diskusjon med Datatilsynet. Me ynskjer sikrare løysingar og ta vare på personvernet, men vil også sikra oss at tiltaka ikkje fører til konsekvensar ein ikkje hadde tatt med i vurderinga, sier Århus til NRK.