En svikt i skoleappen Vigilo gjorde personopplysninger tilgjengelig for uvedkommende. Nå har Bergen godtatt en millionbot fra Datatilsynet.
Boten på 3 millioner kroner er ifølge NRK det største overtredelsesgebyret som Datatilsynet har gitt en kommune noensinne.
Datatilsynet mener at kommunen ikke har gjennomført tekniske og organisatoriske tiltak for å gjøre portalen sikker nok, og at de ikke hadde etablert og kommunisert nødvendige retningslinjer for å sikre personopplysninger til barn og foreldre med hemmelig adresse før løsningen ble tatt i bruk.
Det var i oktober 2019 at Bergen kommune varslet Datatilsynet om avvik i kommunens nye digitale løsning for kommunikasjon mellom skolene og hjemmene. Løsningen Vigilo inneholder en modul hvor foresatte og skole kan kommunisere gjennom en portal eller en app.
I portalen ble personopplysninger som skulle ha vært skjermet, tilgjengelig for uvedkommende. I ett tilfelle ble en kontaktliste med opplysninger om «fortrolig adresse» distribuert til foresatte på et klassetrinn.
Eksterne fagmiljøer skal granske datasikkerheten i Bergen kommune etter flere tabber og feil
– Ikke tilstrekkelig sikret
Datatilsynet mener at personopplysningene i kommunikasjonssystemet ikke var tilstrekkelig sikret.
– Dette gjelder barn som har registrert en fortrolig eller strengt fortrolig adresse i Folkeregisteret og tilhører en spesielt sårbar gruppe. Disse barna har et høyt beskyttelsesbehov, og i ytterste konsekvens kunne deres liv og helse bli satt i fare, sier direktør Bjørn Erik Thon i en pressemelding.
Bergen kommune aksepterer gebyret.
– Vi har ventet på denne rapporten. Vi har tiltro til at Datatilsynet har gjort de riktige vurderingene og vil akseptere gebyret. Nå skal vi gå grundig gjennom rapporten for å lære av den, sier byråd Erlend Horn (V) for finans, næring og eiendom.
Byråd gikk av
Han erkjenner at kommunen ikke har hatt gode nok sikkerhetsrutiner, noe også den interne gjennomgangen som ble ferdigstilt i desember, viste.
– Det er svært alvorlig når vi som har ansvar for persondata om innbyggerne våre, ikke har forvaltet dette på en trygg måte, sier byråden.
27. januar trakk Linn Kristin Engø (Ap) seg som skolebyråd på grunn av den alvorlige sikkerhetssvikten i appen. Høyre, Frp, FNB og SV varslet mistillit mot skolebyråden.
Bergen framstår nå som dårligst i landet på datasikkerhet. Da holder det ikke å være lei seg