Saken kom opp som en følge av at en elev ved grunnskolen i Bergen hadde skaffet seg urettmessig tilgang til personopplysninger, ved bruk av systemet eFeide. Dette er en skytjeneste som kommunen benytter for å administrere innlogging på ulike systemer. Tjenesten inneholder opplysninger om brukernavn, passord, fødselsnummer, adresse, skoletilhørighet og skoleklasse for ca. 35 000 unike brukere i Bergen kommune. Gjennom eFeide hadde den aktuelle eleven også skaffet seg videre tilgang til its learning, som er en læringsplattform brukt i undervisning og kommunikasjon i grunnskolen.
Datatilsynets undersøkelser viste at filer som inneholdt brukernavn og passord var tilgjengelige for alle brukere av kommunens informasjonssystemer, både lærere og elever, nærmere 35.000 personer. Det var heller ikke innført to-faktorautentisering for påloggingen, hvilket gjorde det mulig å logge seg på systemene, basert utelukkende på de brukernavnene og passordene som var eksponert.
Ved vurderingen av om det skulle ilegges gebyr, og ved utmålingen av gebyrets størrelse, har Datatilsynet lagt vekt på en rekke forhold. For det første er det lagt vekt på at overtredelsen berører hele 35. 000 personer, herunder et stort antall barn. Det er også lagt vekt på at opplysningstypene som var berørt er særlig beskyttelsesverdige, idet de omfatter fødselsnummer og påloggingsinformasjon til systemer som også inneholdt sensitive personopplysninger. Videre er det lagt vekt på at kommunen har opptrådt uaktsomt, ettersom den ikke hadde innført to-faktorautentisering til tross for at både leverandøren og kommunens eget personvernombud hadde varslet om behovet for det. Endelig har tilsynet lagt vekt på at kommunen ikke hadde meldt fra til tilsynet om sikkerhetsbruddet, før etter at saken ble kjent gjennom medieoppslag. Gebyret ble satt til 1.6 millioner kroner, blant annet under henvisning til at kommunen hadde et betydelig overskudd i 2017.
Gebyret kan oppfattes å være lavt, sett i forhold til at tilsynet fant en rekke skjerpende omstendigheter og at maksimumsbeløpet for denne type overtredelser etter personvernforordningen er på hele 10 millioner euro. Etter vår oppfatning vil saken neppe vil skape presedens for tilsynets fremtidige gebyrpraksis overfor private virksomheter. Bakgrunnen er at den enkelte medlemsstat står fritt til å etablere nasjonal gebyrpraksis, når den ansvarlige er en offentlig virksomhet. Medlemsstatene kan også beslutte at det overhodet ikke skal gis gebyrer til offentlige virksomheter. For andre ansvarlige gjelder imidlertid at tilsynsmyndighetenes gebyrpraksis skal harmoniseres. Da vil praksis fra andre lands tilsynsmyndigheter og domstoler være førende, også for det norske Datatilsynet.
Bergen kommune har gitt tilsvar til Datatilsynets varsel og endelig vedtak fra tilsynsmyndigheten ventes i løpet av våren 2019. Se Datatilsynets omtale av saken her.
Artikkelen er skrevet av senioradvokat Cecilie Rønnevik