Norge

Personopplysninger på avveie etter datainnbrudd i Bergen

35.000 elever og lærere kan være rammet.

– Slikt skal ikke skje, sier kommunaldirektør Trine Samuelsberg etter at uvedkommende har fått tilgang til personopplysninger om elever og lærere i Bergen kommune. Foto: Eirik Brekke

  • Linnea Skare Oskarsen

Uvedkommende har fått tilgang til personopplysninger om lærere og elever på skolene i Bergen etter å ha kommet seg inn på skolenes brukeradministrasjonssytem «e-Feide», skriver Bergen kommune i en pressemelding onsdag ettermiddag, ifølge Bergens Tidende.

Datainnbruddet ble oppdaget mandag kveld klokken 23.45.

– Vedkommende har kommet seg inn i systemet på administratornivå, hvor man har tilgang til personopplysninger. Totalt dreier det seg om 35.000 brukere, men vi vet ikke ennå om vedkommende har benyttet seg av tilgangen til opplysningene, sier kommunaldirektør Trine Samuelsberg i Bergen til NTB.

Skjermbilde av den elektroniske løsningen «e-Feide», et administrasjonssyten som brukes av skolene i Bergen. Uvedkommende har skaffet seg tilgang til personopplysninger til elever og ansatte ved skolene. Foto: Skjermbilde / NTB scanpix Foto: Skjermbilde/NTB scanpix

Fått tilgang til fødselsnumre og kontaktinformasjon

Ifølge pressemeldingen fra kommunen har den uvedkommende tatt seg inn i et område i den elektroniske løsningen som bare et fåtall administratorer kommer inn i.

«Dermed har vedkommende fått tilgang til fødselsnummer, navn, adresse og kontaktinformasjon om elever og ansatte. Alle passord er blitt nullstilt etter hendelsen.», skriver kommunen.

  • LES OGSÅ: Slik kan et bilde bli delt over en million ganger

Alle tilganger ble umiddelbart stengt og sikkerhetstiltak ble innført.

– Dette er en sak vi virkelig tar på alvor. Slikt skal ikke skje. Systemet vi har, er godkjent i tråd med det nye personvernregelverket. Likevel avdekker hendelsen svakheter med sikkerheten til systemet, skriver kommunaldirektør Trine Samuelsberg i pressemeldingen.

– Tar hendelsen på alvorlig

Saken er meldt til Datatilsynet og vurderes politianmeldt, ifølge Bergen kommune.

– Denne saken er alvorlig av flere grunner. Det er et stort antall personer som kan være rammet, og mange av dem er barn, sier Magnus Kroken, rådgiver i avdeling for personvern og informasjonssikkerhet i kommunen, til NRK.

– Vi registrerer også at leverandøren tar hendelsen alvorlig, og har bidratt positivt til at tiltakene kan settes i verk så snart som mulig, legger han til.

– Vi kan ikke si så mye foreløpig. Men jeg kan si at det er bra og svært viktig at Bergen kommune tar dette på alvor og melder dette raskt inn til Datatilsynet, sier Janne Stang Dahl, kommunikasjonsdirektør i Datatilsynet.

Straffen kan være bøter opp til ti millioner kroner

Det er Bergen kommune som skoleeier som står ansvarlig for å sikre elevenes personvern. Etter at de nye personvernreglene trådte i kraft, er straffen for brudd svært strenge. Bøter opp til ti millioner kan bli gitt ved alvorlige brudd.

– Hva tenker du om at kommunen ikke har innført totrinnspålogging?

– Det er veldig viktig at alle virksomheter har gode rutiner for intern kontroll. Når det skjer datainnbrudd, som det virker som har skjedd her, er det viktig at man konsekvensutreder raskt og lager en tiltaksplan. Nå må vi se hvordan denne avviksmeldingen er vurdert før vi kan kommentere noe mer. Først og fremst må kommunen sikre at dette ikke får store konsekvenser, sier Dahl.

– Kan jo få konsekvenser på et senere punkt i livet

Roy Solberg jobber som systemutvikler og blogger om datasikkerhet. Han synes det er positivt at Bergen kommune rapporterer raskt om hendelsen, informerer om mottiltak og har varslet Datatilsynet.

– Jeg håper at Bergen kommune bruker tredjeparter for å teste systemet, hvor man fra utsiden prøver å bryte seg inn etter avtale med kommunen. I tillegg må man la noen på innsiden sjekke sikkerheten, sier Solberg.

Datainnbrudd skjer hele tiden og er ingen overraskelse, påpeker han.

– Men, da er det viktig at man har de riktige rutinene for hva man skal gjøre og hvem som skal varsles, sier Solberg.

– Jeg synes det er trist når datainnbrudd rammer barn og unge. De er mer sårbare i utgangspunktet, og det er kjedelig at personopplysninger allerede fra tidlig i livet kommer på avveie. Det kan jo få konsekvenser på et senere punkt i livet, legger han til.

Les mer om

  1. Datatilsynet
  2. Datasikkerhet
  3. Bergen

Relevante artikler

  1. NORGE
    Publisert:

    Datatilsynet undersøker om det er lovlig å bruke Google i skolen

  2. OSLO
    Publisert:

    Alvorlig sikkerhetshull: Private meldinger om elevene i Oslo-skolen lå tilgjengelige på nettet

  3. NORGE
    Publisert:

    Her er Google på vei inn i klasserommet, rektor er kritisk

  4. ØKONOMI
    Publisert:

    Flere fylkeskommuner rammet av sikkerhetsbrudd

  5. NORGE
    Publisert:

    Denne falske e-posten lurte 2200 ansatte i Bergen kommune til å gi fra seg passordet sitt

  6. OSLO
    Publisert:

    Varsler to millioner i bot til Oslo kommune etter Aftenpostens avsløring om sikkerhetshull i skole-app