Datatilsynet har varslet en rekordbot på to millioner kroner til Oslo kommune etter at persondata til over 63,000 skoleelever lå tilgjengelig på nettet gjennom appen Skolemelding. Les mer om de alvorlige sikkerhetshullene og manglende tiltak for å beskytte barns personopplysninger.
Innholdsfortegnelse
I fjor lanserte Oslo kommune appen Skolemelding, der foresatte og elever kunne sende meldinger til ansatte i skolen. Aftenposten avslørte kort tid etter lanseringen at appen inneholdt en rekke alvorlige sikkerhetshull, blant annet at persondata om barn lå tilgjengelig på nettet.
Den største boten noensinne
Nå har Datatilsynet vurdert saken og varsler at Oslo kommune vil ilegges en bot på to millioner kroner – det største gebyret tilsynet har gitt etter at de nye personvernreglene trådte i kraft.
– Sårbarheten som er avdekket innebærer en potensiell tilgang til personopplysninger om Oslo-skolens mer enn 63 000 grunnskoleelever. Barn er definert som en sårbar gruppe i personvernregelverket da de ikke kan ivareta sine egne rettigheter og friheter selv. Det krever et særskilt vern av deres opplysninger. At barn har vært utsatt, har vi lagt vekt på som en skjerpende omstendighet, forteller direktør i Datatilsynet, Bjørn Erik Thon.
Grove feil og mangler
I gjennomgangen sin peker Datatilsynet på flere grove feil som Oslo kommune gjorde i forbindelse med applikasjonen, og sier de burde ha vært ekstra varsomme med tanke på at dette handlet om barns personopplysninger.
- Et av bruksområdene til appen er at foresatte skal sende meldinger om sine barn eller gi beskjed om fravær ved bruk av fritekstfelt. Det legger til rette for å kommunisere sensitive personopplysninger, slik som helseopplysninger, om barna. Det finnes ingen tekniske tiltak for å forhindre at det skjer, og det informeres heller ikke i appen om at man ikke skal kommunisere slike opplysninger. Hadde man tatt hensyn til innebygd personvern, ville det ikke vært et fritekstfelt, men for eksempel en nedtrekksliste eller avkrysningsbokser, skriver Datatilsynet på sine nettsider.
- Manglende sikkerhetstesting i forkant av applanseringen var også en alvorlig mangel, noe som førte til at appen ble sluppet med kjente sårbarheter i sikkerhetsmiljøer verden over.
Se også
Konsekvenser for personvern
Oslo kommune har ikke vært bevisst sitt ansvar og har lansert en skolemeldingsapp med uakseptable sårbarheter uten å gjennomføre egnede tiltak for å lukke disse sårbarhetene, påpeker Datatilsynet.
Personvernregelverket gir barn spesiell beskyttelse på grunn av deres manglende evne til å ivareta egne rettigheter og friheter. Derfor er det ekstra viktig å sikre at deres personopplysninger behandles forsvarlig.
Boten og sårbarhetene
Oslo kommune vil nå ilegges en bot på to millioner kroner som følge av brudd på personopplysningsloven gjennom sikkerhetsbruddene i appen Skolemelding. Denne appen er utviklet for meldingsutveksling i Osloskolen.
Sikkerhetshullene som ble avdekket i appen er svært alvorlige og kunne ha gitt uvedkommende tilgang til personopplysninger om mer enn 63 000 grunnskoleelever i Oslo.
Konklusjon
Datatilsynet har varslet en rekordbot på to millioner kroner til Oslo kommune etter at persondata til over 63 000 skoleelever lå tilgjengelig på nettet gjennom appen Skolemelding. Dette er den høyeste boten som er gitt etter at de nye personvernreglene trådte i kraft. Sikkerhetshullene i appen og manglende tiltak for å sikre barns personopplysninger har blitt ansett som svært alvorlig av Datatilsynet. Oslo kommune må ta ansvar for uakseptable sårbarheter og bedre sikkerheten for sensitive opplysninger om barna.