Tilbake

Datatilsynet varsler gebyr til Oslo Kommune

Aktuelt | 05.06.19

Personvern (GDPR)
Den 29. april 2019 varslet Datatilsynet ileggelse av overtredelsesgebyr overfor Oslo kommune, som følge av mangler ved informasjonssikkerheten i mobilapplikasjonen "Skolemelding".

Applikasjonen benyttes blant annet i kommunikasjon mellom hjem og skole, og inneholder også særlige kategorier av personopplysninger om barn. 

Manglende sikkerhet ved løsningen har gjort det mulig for uvedkommende med særlig kompetanse og kunnskap å logge seg inn som autoriserte brukere, og derved få tilgang til personopplysninger om mer enn 63. 000 grunnskoleelever.

Datatilsynet har varslet pålegg om at kommunen må iverksette tiltak for å bedre sikkerheten i applikasjonen. I tillegg har tilsynet varslet ileggelse av overtredelsesgebyr på 2 millioner kroner. 

Datatilsynet peker på en rekke skjerpende omstendigheter, blant annet at tilsynet først ble gjort kjent med saken gjennom et oppslag i pressen og at sikkerhetshullet enkelt kunne ha blitt oppdaget gjennom testing. Saken har mange likhetstrekk med saken mot Bergen kommune, hvor tilsynet fattet vedtak om overtredelsesgebyr på 1,2 millioner (se omtale her). Den store forskjellen i gebyrets størrelse i de to sakene synes først og fremst å begrunnes i antall registrerte som er berørt, samt at tilsynet finner å kunne konstatere at særlige kategorier personopplysninger faktisk har blitt eksponert for uvedkommende i den siste saken.

Kommunen har frist til 1. juni 2019 med å inngi tilsvar. Se Datatilsynets varsel her.