Datatilsynet har i dag sendt varsel til Oslo kommune ved Utdanningsetaten om et overtredelsesgebyr på to millioner kroner. Foto: Knut Falch / SCANPIX
Datatilsynet har i dag sendt varsel til Oslo kommune ved Utdanningsetaten om et overtredelsesgebyr på to millioner kroner. Foto: Knut Falch / SCANPIX

Utdanningsetaten i Oslo får to millioner i bot etter sikkerhetstabbe

Mobilapplikasjonen «Skolemelding» utviklet for Osloskolen, har ført til brudd på personopplysningssikkerheten knyttet til 63.000 barn i grunnskolen, skriver Datatilsynet.

Publisert

– Vi anser dette som svært alvorlig, noe som gjenspeiles i at dette er det høyeste gebyret vi har varslet etter at de nye personvernreglene trådte i kraft, sier direktør i Datatilsynet, Bjørn Erik Thon.

Det var høsten 2018 at Aftenposten avslørte det alvorlige sikkerhetshullet. Mobilapplikasjonen «Skolemelding» førte til at private meldinger om elever i Osloskolen lå tilgjengelige på nettet.

Aftenposten fant store sikkerhetsmangler. Alle som logget inn, og andre med kjennskap til sikkerhetshullet, kunne i teorien skaffe seg tilgang til kommunikasjonen om de mer enn 63.000 elevene i Oslos grunnskoler.

Datatilsynet har i dag sendt varsel til Oslo kommune ved Utdanningsetaten om et overtredelsesgebyr på to millioner kroner.

Varselet gjelder brudd på personopplysningssikkerheten i mobilapplikasjonen «Skolemelding», en meldingsapp utviklet for bruk i Osloskolen.

I Aftenpostens sak kom det fram at det var mulig for uvedkommende å logge seg inn som autoriserte brukere og dermed få tilgang til personopplysninger om elever, foresatte og ansatte gjennom appen.

 

Uklart om elever i videregående også er rammet

De nye reglene for personopplysningssikkerhet i personvernforordningen ble vedtatt av Europaparlamentet i 2016.

Datatilsynet har kun vurdert bruddet på personopplysningssikkerheten opp mot grunnskolen. Hvor vidt sikkerhetshullet også har rammet videregående skoler og spesialskoler er så langt ikke vurdert.

Oslo kommune er i tillegg til boten pålagt å iverksette organisatoriske og tekniske tiltak i «Skolemelding» for å forhindre at det kommuniseres særlige kategorier av personopplysninger, heter det i brevet som Datatilsynet i dag har sendt Oslo kommune.

Videre heter det at kommunen er pålagt å sikre konfidensialitet og integritet i «Skolemelding» for å hindre at uvedkommende får tilgang til personopplysninger.

Oslo kommune er dessuten pålagt regelmessig testing, analysering og vurdering av hvor gode sikkerhetstiltakene er.

 

Datatilsynet kritiske til Utdanningsetatens handlemåte

Datatilsynet ble kjent med saken gjennom Aftenpostens artikkel 6. september 2018. Dagen etter sendte Oslo kommune melding om brudd på personopplysningssikkerheten.

Et blogginnlegg skrevet av systemutvikler Roy Solberg var en av Datatilsynets kilder. I brevet til Oslo kommune heter det at Datatilsynet finner det sterkt kritikkverdig at kunnskap om hva som har skjedd ved bruddet på personopplysningssikkerheten kommer via privatpersoner.

At sårbarheten i skolemeldingsappen kom til Datatilsynet gjennom at saken ble omtalt i media før avviksmelding ble sendt Datatilsynet blir også kritisert i brevet.

Datatilsynet peker på mangelfull testing, som en viktig årsak til den boten de nå har varslet. Manglende testing betegnes som uaktsomt.