Tilsynet anser det som en skjerpende omstendighet at Bergen kommune ble varslet om brudd på personopplysningssikkerheten fra Vigilo uten å følge dette opp.

Varsel om overtredelsesgebyr på 3 millioner kroner til Bergen kommune

| Innsikt

Bergen kommune har meldt at de vil godta Norges hittil største overtredelsesgebyr for brudd på personvernforordningen.

Saken gjelder brudd på personopplysningssikkerheten som følge av mangelfull sikring av konfidensialitet i systemet Vigilo, en digital løsning brukt i Bergen kommune som kommunikasjonsportal mellom skoler, barnehager og foreldre.

Via kommunikasjonsportalen Vigilo ble det distribuert fortrolige adresser som var vernet med adressesperre etter folkeregisterloven § 10-4. Opplysningene omfatter barn som ikke skal kontaktes av den andre forelderen. Datatilsynet fant det lite tvilsomt at behandlingen av denne typen opplysninger kunne medføre fare for liv og helse for de berørte. At interne prosedyrer rundt informasjonen ikke ble fulgt opp før innfasingen av Vigilo, ble ansett som ett brudd på personvernforordningen artikkel 24 nr. 2.

Datatilsynet har vurdert at risikovurderingen for løsningen var mangelfull med utilstrekkelig vurdering av konsekvensene for personrelasjonene til de som hadde adressesperre. Datatilsynet anser mangelfull risikovurdering som et brudd på ansvarsprinsippet i personvernforordningens artikkel 5 nr. 2. Mangler ved risikovurderingen ble vurdert som en årsak til at det ikke ble iverksatt tilstrekkelige tekniske og organisatoriske tiltak for å oppnå egnet sikkerhetsnivå med hensyn til risikoen, jf. personvernforordningens artikkel 32.

Tilsynet anser det som en skjerpende omstendighet at Bergen kommune ble varslet om brudd på personopplysningssikkerheten fra Vigilo uten å følge dette opp. Det påpekes også at 9 av 10 avvik ble oppdaget av de berørte selv, noe som indikerer dårlig internkontroll. Datatilsynet vektla særlig at Bergen kommune ikke har kommunisert interne retningslinjer for å etablere konfidensialitet av opplysningene om adressesperre.

Ifølge Datatilsynet kunne og burde Vigilo ha informert Bergen kommune om kritiske punkter i løsningen og at det ble gjort uttrekk fra folkeregisteret, men fremhever at det er Bergen kommune som behandlingsansvarlig som har hovedansvaret for at opplysningene behandles konfidensielt. Det er kun rettet varsel om overtredelsesgebyr mot Bergen kommune.

Selv om overtredelsesgebyret ikke er endelig, har Bergen kommune varslet til NRK at de vil godta gebyret. Datatilsynet fremhever at den rekordstore boten på 3 millioner kroner skal være et signal til Bergen kommune og andre kommuner om viktigheten av å verne personopplysninger med et særlig beskyttelsesbehov.