Datatilsynet varsler overtredelsesgebyr på to millioner kroner til Oslo kommune etter at det ble funnet en stor sikkerhetsbrist i Skolemelding–appen. Kommunen har frist til 1. juni å svare på varslet.
– Vi anser dette som svært alvorlig. Noe som gjenspeiles i at dette er det høyeste gebyret vi har varslet etter at de nye personvernreglene (GDPR) trådte i kraft, sier direktør Bjørn Erik Thon i Datatilsynet.
Effektiv kommunikasjon
Skolemelding er en app som er utviklet for å gjøre kommunikasjon i Oslo–skolen mer effektiv. Appen gjør det mulig for foresatte og elever å sende direktemeldinger til ansatte i skolen.
6. september 2018 kom det frem at det var mulig for uvedkommende å ta seg inn i systemene til Oslo kommune. Ved hjelp av hullet kunne man fått tilgang til personopplysninger om ansatte, elever og foresatte.
Sikkerhetsbristen gjorde det også mulig å endre sensitive opplysninger i systemet, mener Datatilsynet.
Hullet ble tettet samme dag som det ble oppdaget, opplyser Oslo kommune til digi.no.
63 000 elever
– Sårbarheten som er avdekket innebærer en potensiell tilgang til personopplysninger om Osloskolens mer enn 63 000 grunnskoleelever. Barn er definert som en sårbar gruppe i personvernregelverket da de ikke kan ivareta sine egne rettigheter og friheter selv.
– Det krever et særskilt vern av deres opplysninger. At barn har vært utsatt, har vi lagt vekt på som en skjerpende omstendighet, sier Thon.
Hullet ble avdekket av kilder Aftenposten var i kontakt med. Deretter ble Datatilsynet varslet av Oslo kommune gjennom en avviksmelding.
Elendig sikkerhet
Datatilsynet mener kommunen i ettertid har opptrådt kritikkverdig, og er ikke fornøyd med tiltakene som er gjennomført. Tilsynet mener blant annet at Oslo kommune ikke testet appen godt nok før den ble lansert.
Det førte til at appen ble satt ut i produksjon med «sårbarheter som er godt kjent i sikkerhetsmiljøer verden over», skriver Datatilsynet. Det statlige tilsynsorganet er heller ikke fornøyd med at kommunen ikke forholder seg til kravet om innebygd personvern.
I praksis betyr det at foresatte som bruker appen ikke blir hindret av noen tekniske tiltak om de skulle komme i skade for å kommunisere sensitive opplysninger om barna når de bruker meldingsappen.
«Kommunen har ikke vært bevisst sitt ansvar og har lansert en skolemeldingsapp med en uakseptabel sårbarhet uten å gjennomføre egnede tiltak for å lukke sårbarhetene. De har også hatt mangelfull kontroll med leverandøren når det gjelder resultater av sikkerhetstestingen.», skriver Datatilsynet i en melding.
Ikke tatt stilling til vedtaket
Oslo kommune forteller til digi.no at de ikke har tatt stilling til vedtaket fra Datatilsynet.
– Vi skal sette oss ned og diskutere dette internt og svare for oss innen 1. juni. Vi så svært alvorlig på sikkerhetshullet da det ble oppdaget i fjor høst, og fikk det lukket samme dag som det ble oppdaget, sier kommunikasjonsdirektør Trine Lie Larsen i Utdanningsetaten i Oslo kommune til digi.no.
Hun opplyser at løsningen er utviklet av en underleverandør av kommunen. Skolemeldings–appen er bare en del av et større IT–system. Sikkerhetsbristen omfattet hele systemet, opplyser Lie Larsen til digi.no.
Skolen skal være trygg
Datatilsynet konstaterer at det er store utfordringer knyttet til IT–sikkerhet i norsk skole.
Det statlige tilsynsorganet mener det må stilles strengere krav til leverandørene av tjenestene som er i bruk. Thon mener også at kommunene må få inn bedre kompetanse når kravspesifikasjoner utformes.
Alle skal nemlig være trygge på at elevenes opplysninger behandles på en sikker måte når norske skoler tar i bruk nye IT–verktøy.
– Det er helt essensielt at vi som borgere har tillit til at de ulike offentlige instansene som samler inn og lagrer personopplysninger om oss, faktisk er sitt ansvar bevisst og sikrer opplysningene på en god nok måte, understreker Thon.
