Tek.no

Nyhet

Varsler rekordbot til Oslo kommune etter persondata til 63 000 skolelever lå tilgjengelig på nettet

Niklas Plikk, Tek.no
6 Mai 2019 17:44

I fjor lanserte Oslo kommune appen Skolemelding, der foresatte og elever kunne sende meldinger til ansatte i skolen. Aftenposten avslørte kort tid etter lanseringen at appen inneholdt en rekke alvorlige sikkerhetshull, blant annet at persondata om barn lå tilgjengelig på nettet.

Nå har Datatilsynet vurdert saken og varsler at Oslo kommune vil ilegges en bot på to millioner kroner – det største gebyret tilsynet har gitt etter at de nye personvernreglene trådte i kraft.

Datatilsynet

– Sårbarheten som er avdekket innebærer en potensiell tilgang til personopplysninger om Oslo-skolens mer enn 63 000 grunnskoleelever. Barn er definert som en sårbar gruppe i personvernregelverket da de ikke kan ivareta sine egne rettigheter og friheter selv. Det krever et særskilt vern av deres opplysninger. At barn har vært utsatt, har vi lagt vekt på som en skjerpende omstendighet, forteller direktør i Datatilsynet, Bjørn Erik Thon.

Feilet på flere punkter

I gjennomgangen sin peker Datatilsynet på flere grove feil som Oslo kommune gjorde i forbindelse med applikasjonen, og sier de burde ha vært ekstra varsomme med tanke på at dette handlet om barns personopplysninger.

– Et av bruksområdene til appen er at foresatte skal sende meldinger om sine barn eller gi beskjed om fravær ved bruk av fritekstfelt. Det legger til rette for å kommunisere sensitive personopplysninger, slik som helseopplysninger, om barna. Det finnes ingen tekniske tiltak for å forhindre at det skjer, og det informeres heller ikke i appen om at man ikke skal kommunisere slike opplysninger. Hadde man tatt hensyn til innebygd personvern, ville det ikke vært et fritekstfelt, men for eksempel en nedtrekksliste eller avkrysningsbokser, skriver Datatilsynet på sine nettsider.

Mangelfull sikkerhetstesting

I tillegg konkluderer Datatilsynet med at sikkerhetstestingen i forkant av applanseringen var mangelfull, noe som førte til at den ble sluppet med sårbarheter som er godt kjent i sikkerhetsmiljøer verden over.

– Kommunen har ikke vært bevisst sitt ansvar og har lansert en skolemeldingsapp med en uakseptabel sårbarhet uten å gjennomføre egnede tiltak for å lukke sårbarhetene, skriver de.

Tettet sikkerhetshullet etter én dag

Privat

I en e-post til Tek.no skriver Trine Lie Larsen, kommunikasjonsdirektør i Utdanningsetaten i Oslo kommune, at sikkerhetshullet ble tettet umiddelbart etter de mottok varselet:

– Alle brukerne fikk informasjon om svakheten, og at denne var rettet opp, samme dag som vi ble kjent med saken. Etter hendelsen satte vi i gang enda flere omfattende sikkerhetstester, både fra leverandøren og kommunens side, og leverandøren og vi gjør nye risikovurderinger og tester før hver ny endring i systemet, skriver Lie Larsen.

Oslo kommune sier de har vært tydelige overfor brukerne om at de ikke burde ha lagt inn sensitive personopplysninger i tekstfeltene:

– Datatilsynet har påpekt at det er uheldig at man kan skrive fritekst når man melder fravær for elever. Vi har vært nøye på å kommunisere at man ikke skal bruke hverken appen eller e-post eller SMS til sensitiv informasjon. For sikre at det ikke kan gjøres brukerfeil, vil vi imidlertid forandre fraværsfunksjonen i appen, dette skjer senest fra skolestart i august.

Lie Larsen ønsker imidlertid ikke å kommentere boten på to millioner kroner som Datatilsynet har satt:

– Det er for tidlig å ta stilling til påleggene fra Datatilsynet nå, vi vil se nærmere på dem og gi vårt svar innen 1. juni.

annonse