Tilsynet har vurdert at personopplysningssikkerheten i datasystemene som blir brukt i grunnskolen i kommunen har vært mangelfull.
Saken gjelder en hendelse hvor filer med brukernavn og passord til over 35 000 brukere (i hovedsak barn) i Bergen kommune har ligget tilgjengelig for elever og ansatte i grunnskolen. Det har vært mulig å logge seg inn på skolens ulike informasjonssystem som en elev, ansatt eller administrator på skolen, og dermed få tilgang til personopplysninger om andre elever og ansatte.
Ut fra opplysningene i saken, mener Datatilsynet at Bergen kommune har overtrådt reglene om personopplysningssikkerhet i personvernforordningen, og har fattet tre ulike vedtak. Det ene vedtaket gjelder ileggelse av overtredelsesgebyr.
De to andre vedtakene gjelder pålegg om å iverksette nærmere tiltak. Når det gjelder avvikene som ble varslet, opplyser kommunen at de må regnes som lukket. Kommunen opplyser blant annet at innføringen av tofaktorautentisering sluttføres i disse dager. Datatilsynet vil imidlertid påpeke at avviket først kan regnes som lukket når innføringen er sluttført, og kan ikke se at dette får innvirkning på avgjørelsen.
Kilde: Datatilsynet