Bergen kommune varslet om eget databrudd – fikk rekordbot

27.05.2020

Datatilsynet har varslet overtredelsesgebyr på MNOK 3 til Bergen kommune. Kommunen meldte selv ifra om sitt brudd på personopplysningsloven (GDPR). Boten er begrunnet i at kommunens bruk av et kommunikasjonssystem i skolen var usikker. Mange bøtesaker i Europa gjelder det samme - utilstrekkelig IT-sikkerhet. Hva kan vi lære av denne saken?

Skolen i Bergen kommune innførte en ny funksjonalitet i løsningen Vigilo, som åpnet for kommunikasjon mellom skolen og foresatte. I forbindelse med utrullingen av den nye funksjonaliteten kom personopplysninger på avveie. Blant annet fikk biologiske foreldre uten foreldreansvar personopplysninger om sine barn. Foresatte på ett klassetrinn fikk også mer informasjon enn nødvendig om andres barn. Kommunens risikovurderinger var heller ikke tilstrekkelige. Særlig grovt var det at elever med skjult identitet ikke ble hensyntatt godt nok ved utrullingen.

Datatilsynet uttalte at skolen ikke hadde vurdert risikoen ved innføringen av den nye funksjonaliteten tilstrekkelig. Som følge av den manglende risikovurderingen ble IT-sikkerheten utilstrekkelig.

Vår erfaring er at virksomheter ofte gjør mangelfulle risikovurderinger av nye løsninger som tas i bruk. Dette gjelder selv om de samme virksomhetene gjør gode risikovurderinger på andre områder enn personvern.

I praksis er ikke kravene til risikovurdering for personvern høye. Det viktigste er at virksomheten kan vise til:

  • at de vesentlige forholdene ved løsningen er vurdert
  • dokumentasjon for gjennomført risikovurdering

Datatilsynet stiller konkrete krav til kvalitet når det skriver:

«Risikovurderingene som ble gjort var mangelfulle. Det var ingen vurdering av risiko knyttet til behandling av informasjon om personrelasjoner mellom foresatte og barn, ...».

Datatilsynet kommuniserer at skolen burde ha forutsett risiko for lekkasje av eventuelle skjulte identiteter. Mange opplever personopplysninger som hvilken skole man går på og hvor man bor som trivielt. Likevel ble disse personopplysningene mer sensitive i en kontekst hvor elever hadde skjult identitet. Saken illustrerer at endring av kontekst fordrer ny vurdering.

I varselet omtales også kommunens iver etter å rulle ut funksjonaliteten snarest mulig, noe som medførte den manglende vurderingen. Kommunen hadde vurdert risikoen i prosjektets innledende faser. Mellom innledende fase og utrulling ble imidlertid løsningen justert. Justeringene endret risikobildet. Den nye risikoen ble ikke tilstrekkelig fanget opp ved ny risikovurdering for utrulling.

Hva kan vi lære?

  • En tilsynelatende triviell personopplysning kan bli mer sensitiv i en annen kontekst. Still kritiske spørsmål, spesielt om alternative kontekster.
  • Selv om det er gjort risikovurdering i et prosjekt, bør du vurdere om risikovurderingen bør oppdateres før utrulling.

Av advokatfullmektig Anders A Christie  

Advokatfullmektig Anders A Christie er tilknyttet Bull & Cos avdeling for teknologi. Han arbeider med IT-kontrakter, personvern- og sikkerhetsrett. Han har skrevet masteroppgave om bruk av Big Data innenfor rammene av personvernforordningen (GDPR). Anders kan nås på aac@bull.no eller mobil 92 21 69 60.