I august 2018 gjekk alarmen då Bergen kommune oppdaga at ein elev hadde tatt seg inn i skulen sitt datasystem.

Eleven avslørte at brukarnamn og passord til 35.000 elevar og tilsette kunne vera tilgjengeleg for uvedkommande.

Saka blei sendt til Datatilsynet som gav saka høgste prioritet. Likevel tok det over fire månader før konklusjonen kom.

Tilsynet tok i bruk ferske GDPR-reglar og straffa kommunen med eit gebyr på 1,6 millionar kroner for sikkerheitsbresten.

– Me vil heilt klart problematisera storleiken på gebyret og sjå på grunngjevinga i varselet, seier digitaliseringsdirektør Kjetil Århus i Bergen kommune.

Har innvendingar mot alle pålegga

Fristen gjekk opphavleg ut 22. januar, men kommunen har fått utsett frist til å svara på varselet.

DIREKTØR: Kjetil Århus er direktør for digitalisering og innovasjon i Bergen kommune. Foto: Dag Harald Kvammen Andersen / NRK

– Sidan dette er det første gebyret som er varsla etter dei nye personvernreglane tredde i kraft, ønskjer me å bruka tid. Me har samla inn ein del bakgrunnsstoff som gjer at me meiner det er naudsynt å kommentera på alle dei tre pålegga, seier Århus.

Varselet er det høgaste Datatilsynet har delt ut. Forordninga seier at straffegebyr skal vera verknadsfulle, avskrekkande og avpassa etter lovbrotet.

Bergen kommune er redd den høge summen vil skapa presedens i tilsvarande saker.

– Det er krevjande å vurdera alle momenta så kort tid etter innføringa av eit nytt lovverk. Sidan me no er først ute er det verdifullt å bruka litt ekstra tid. Ikkje berre for vår del, men også for andre kommunar i Noreg.

DIREKTØR: Bjørn Erik Thon i Datatilsynet meiner det er skjerpande at personopplysingar om svært mange barn i grunnskulealder har vore eksponert. Foto: Mariam Butt / NTB scanpix

Strenge krav

Men det er ikkje berre gebyret kommunen seier seg ueinige med. Dei to andre pålegga frå Datatilsynet (ekstern lenke) handlar om å setja i verk tiltak for å unngå tilsvarande feil:

Tofaktor - autentisering: Kommunen må endra alle tilsette sin pålogging til informasjonssider som inneheld personinformasjon om elevar. Det må gjerast ved å innføra tofaktor-autentisering for pålogging over eksterne nett og elevnett.

- Kommunen må endra alle tilsette sin pålogging til informasjonssider som inneheld personinformasjon om elevar. Det må gjerast ved å innføra tofaktor-autentisering for pålogging over eksterne nett og elevnett. Passordkryptering: Kommunen må setja i verk organisatoriske og tekniske tiltak for å beskytta passorda til elevar og lærarar, til dømes gjennom kryptering og tilgangsstyring.

Også her har kommunen innvendingar.

– Me meiner skildringane av hendingsgangen og våre sikkerheitssystem er noko annleis enn det Datatilsynet skildrar, seier Århus, som samstundes understrekar at kommunen ikkje meiner saka ikkje er alvorleg.

Vil gå i dialog med tilsynet

– Det er viktig for oss å understreka at fila med passord som denne eleven fekk tilgang til, inneheldt mellombelse passord som skulle bytast raskt etter at dei var tatt i bruk. Rutinar rundt dette var delvis endra og blir sluttført i desse dagar, seier direktøren.

– Me må laga prosessar som sikrar personvernet, men det handar ogsår om løysingar dei yngste elevane skal klara å ta i bruk.

Kommunen planla å innføra tofaktor-autentisering, men innfasinga blei utsett. Etter det NRK kjenner til, er det berre tilsette med it-ansvar som så langt har fått tostegspålogging.

– Me vil gjera grundige vurderingar for å opna for ein diskusjon med Datatilsynet. Me ynskjer sikrare løysingar og ta vare på personvernet, men vil også sikra oss at tiltaka ikkje fører til konsekvensar ein ikkje hadde tatt med i vurderinga, seier Århus.

Kommunen har frist til 31. januar å svara Datatilsynet.