Elev varslet sikkerhetsavvik: Bergen kommune godtar Datatilsynets millionbot
Bergen kommune kommer ikke til å klage på Datatilsynets vedtak om et overtredelsesgebyr på 1,6 millioner kroner etter sikkerhetsavviket i grunnskolen i byen.
Avviket omfattet brukernavn og passord til over 35.000 brukere i den kommunale grunnskolen i Bergen i august i fjor. Hendelsen ble først varslet av en skoleelev.
– Dette er den første saken hvor vi varslet overtredelsesgebyr etter den nye Personvernforordningen. Det er også det største overtredelsesgebyret vi har varslet noen gang, sa Datatilsynets direktør Bjørn Erik Thon til Bergensavisen da varselet om boten ble sendt ut.
Tilsynet krever også at kommunen skal gjennomføre en rekke pålegg innen 30. april.
– Som Datatilsynet vil vi også ivareta personvernet best mulig. Mange av påleggene har vi gjennomført. Noen av dem har et omfang som gjør at vi ønsker å komme nærmere i dialog med tilsynet om gjennomføringen av dem, sier kommunens digitaliseringsdirektør Kjetil Aarhus.
I tilsvaret beklaget kommunen hendelsene som medførte at saken oppsto, men mente at reaksjonen fra Datatilsynet har vært for streng og at tilsynet burde gitt en irettesettelse.
– Vi ønsker å komme videre i arbeidet med å sikre personvernet til bergenserne. Kommunen tror at en god dialog med Datatilsynet om hvordan vi kan løse dette er en bedre måte å gjøre det på enn en klagebehandling, sier digitaliseringsdirektøren.
Kontrollorganet krever tofaktorpålogging på samtlige nettjenester brukt til opplæring i henhold til Personvernforordningen som trådte i kraft i mai i fjor.
– Nå skal vi undersøke alle nettjenester som brukes i opplæringen for å se om de imøtegår kriteriet om tofaktorpålogging. De digitale tjenestene som ikke har tofaktorpålogging må vi finne nye løsninger for gjennom en faglig dialog med Datatilsynet, sier Aarhus.