Det er nesten så du ikke tror det du leser på Digi torsdag: «En sikkerhetssvikt i Bergen kommune gjorde at foreldre uten foreldreansvar og som ikke skulle få informasjon om barna, likevel ble lagt til i skoleappen Vigilo. Svikten omfatter blant annet tre barn som bor på hemmelig adresse og ti barn som har familieforhold som gjør at foreldrene ikke skulle ha noen informasjon om barna, skriver Bergens Tidende».
Brukte fire uker på å varsle Datatilsynet
Det var en oppvakt forelder som oppdaget feilen, og som for seks uker siden varslet kommunen. Etter at Bergens Tidende skrev om saken, publiserte kommunen onsdag en melding om at «avviket» – kommune- og jusspråk for lovbrudd – var meldt til Datatilsynet.
Fire uker tok det fra varselet ble levert til Bergen kommune, til den meldte fra til Datatilsynet, ifølge opplysninger kommunen har gitt meg i dag. Tilsynet har registrert varselet 2. oktober.
Det er bra, mener kommunen selv.
«Slik jeg kjenner denne saken nå, er det ikke grunnlag for å stille spørsmål ved enkeltansattes håndtering av denne situasjonen. Jeg opplever at bruddet ikke skulle ha skjedd, men at situasjonen er blitt godt fulgt opp da bruddet først ble oppdaget», svarer Robert Rastad, kommunaldirektør ved byrådsleders avdeling via epost på spørsmål fra TU/Digi i dag.
Kommunen har heldigvis handlet mye raskere rent praktisk – feilen ble ifølge dem selv rettet med en gang.
Jaktet på varsler framfor å rette
Bergen har vært i trøbbel før. Mange husker skandalen i fjor, der en elev avdekket at brukernavn og passord for mange tusen brukere lå lett tilgjengelig. Bergen fikk en ganske mikroskopisk bot fra Datatilsynet, og var tilsynelatende mer oppfatt av å irettesette eleven enn å løse det egentlige problemet. Først i juni i år ble det kjent at Bergen tok til vettet, og droppet å politianmelde hackeren.
Politiet selv var også mer interessert i å beslaglegge datautstyret til eleven, enn til å etterforske kommunen. «Forstå det den som kan. Det er jo mildt sagt en kriminelt dårlig håndtering av saken», kommenterte Digi-journalist Marius Jørgenrud i den forbindelse tidligere i år.
Det er altså ikke slik at Bergen verken er en liten kommune med lav intern kompetanse, eller at de er ukjent med sikkerhetsproblemer. Tvert imot, helt nylig har kommunen fått en alvorlig påminnelse om hvor viktig datasikkerhet er.
_logo.svg.png){kind=logo}
Potensielt langt mer alvorlig feil
Likevel gjør altså kommunen altså en enda større, og for de involverte potensielt langt mer alvorlig feil. Når du bor på hemmelig adresse, og er prisgitt at barnet ditt likevel skal inn i de samme IT-systemene som alle andre i skolen, er du helt avhengig av at kommunen og leverandøren faktisk klarer å beskytte deg. Du har ingenting å forsvare deg med.
Det blir nesten enda verre når kommunens respons er at den er så «utrolig lei» for det som har skjedd. For det hjelper veldig lite. Tvert imot virker det som om Bergen kommune ikke har brydd seg det minste om at de publiserer hemmelig informasjon nærmest i hytt og vær, og at den i alle fall er ute av stand til å lære av feilene.
– Viser kompleksiteten
«At denne hendelsen nå likevel oppstår, viser noe av kompleksiteten når data behandles i store systemer. Vi har også økt staben med særlig kompetanse i GDPR for å sikre at vi følger både lov og forskrift, og at de systemene byrådsavdelingen bruker skal være sikre. Når vi nå likevel opplever et alvorlig avvik viser det at vi hele tiden må fortsette å utvikle oss videre og lære av hendelsene», skriver kommunaldirektør Trine Samuelsen på spørsmål fra TU/Digi til kommunen om hva kommunen sier til en påstand om at den ikke har lært noe som helst av passordsaken og boten fra Datatilsynet.
I motsetning til forrige dataskandale i Bergen, må denne saken nå få konsekvenser. Det betyr ikke at enkeltansatte må gå, men for lederne blir saken annerledes. Én stor tabbe må være lov. To etter hverandre er kritisk, særlig når feil nummer 2 har potensielt langt større konsekvenser enn den første feilen. Da må vi spørre om Bergen har den ledelsen kommunen trenger.
Datatilsynet må også komme med en bot som virkelig svir denne gangen. Bergen framstår nå som dårligst i landet på datasikkerhet. Da holder det ikke å være lei seg.
