Elever politianmeldt for snoking i fraværssystem. Datatilsynet reagerer med pålegg

Datatilsynet med vedtak om pålegg til Vestfold fylkeskommune etter avsløring av at elever har skaffet seg tilgang til fraværssystemet på en videregående skole.

Datatilsynet mottok i mai i år en avviksmelding fra Vestfold fylkeskommune. Elever ved Sandefjord videregående skole hadde rappet lærerens passord ved hjelp av filming med mobilkamera mens han logget seg inn på fraværssystemet Skolearena, et skoleadministrativt program for grunnskole og videregående skole. Det er i bruk ved en rekke skoler og blir levert at IST.

I en periode på tre måneder – fra midt i desember til midt i mars - har noen elever på denne måten på lik linje med læreren sittet med full lese/skrive-tilgang til fraværsføringen og benyttet seg av det til å slette eget og andres fravær – sannsynligvis for å komme under 10%-fraværsgrensen.

Elever politianmeldt

Avsløringen kom da en kontaktlærer i en av skolens klasser oppdaget at fravær var slettet, men uten at kontaktlærer selv hadde utført dette. Skolen selv fant raskt fram til synderne, og saken ble politianmeldt. Etterforskningen er foreløpig ikke avsluttet.

Så langt har skolen selv ikke funnet noe som tyder på at personopplysninger utover registrert fravær er på avveier. Opprinnelig fravær er gjenopprettet ettersom loggingen også omfatter endringer.

Krever risikovurdering i alle ledd

Svikt i rutinene hos fylkeskommunen førte til at avviksmeldingen ikke ble sendt til Datatilsynet og løftet opp på konsernnivå før i mai. Tilsynet reagerte spontant med følgende vedtak om pålegg med hjemmel i personvernforordningen artikkel 58 nr. 2 bokstav d, adressert til Vestfold fylkeskommune:

1. Vestfold fylkeskommune ved Sandefjord videregående skole må endre alle ansattes pålogging til læringsplattform og skoleadministrative system slik at tilgangen til plattformen fysisk begrenses til fylkeskommunens informasjonssystem hvor elever ikke har tilgang, eller ved at det etableres sterk autentisering (f.eks. tofaktor-autentisering) for pålogging over eksterne nett og på elevnett, jfr. personvernforordningen artikkel 32 nr.1 bokstav b.

2. Vestfold fylkeskommune ved Sandefjord videregående skole må gjøre en risikovurdering av alle sine systemer, inkludert e-post, for vurdering av to-faktor autentisering jf. personvernforordningen artikkel 32 nr. 1 og nr. 2.

3. Vestfold fylkeskommune må gjøre en risikovurdering av alle sine systemer, inkludert e-post, for vurdering av sterk autentisering (for eksempel tofaktor-autentisering) se pålegg nr. 1 og 2, på alle skoler som er underlagt behandlingsansvaret til fylkeskommunen.

Fristen for å gjennomføre pålegg 1 og 2 er satt til 1. november 2019. For pålegg nr. 3 ber Datatilsynet om tilbakemelding om at arbeidet er satt i gang og når det er gjennomført.

Tilsynet vil vurdere tvangsmulkt dersom påleggene ikke er gjennomført innen fristen.

Rimelige pålegg, sier fylkeskommunen

Fylkesrådmann i Vestfold fylkeskommune, Øyvind Sørensen, oppfatter påleggene fra Datatilsynet som rimelige. (Foto: Vestfold fylkeskommune)
Fylkesrådmann i Vestfold fylkeskommune, Øyvind Sørensen, oppfatter påleggene fra Datatilsynet som rimelige. (Foto: Vestfold fylkeskommune)

Vestfold fylkeskommune driver selv sine data-anlegg både sentralt og rundt om på skolene.

Fylkesrådmann Øyvind Sørensen oppfatter påleggene som rimelige og har ingen planer om å klage på vedtaket. Passordene er allerede endret på samtlige skoler og pålegg 1 og 2 vil være utførte innen fristen, uttaler han videre. Han viser også til at fylkeskommunen nå har satt ned en bredt sammensatt gruppe for å gjennomføre en grundig risikovurdering i tråd med Datatilsynets pålegg.

Manglende aktsomhet kan gi tilgang

SkoleMagasinet har tidligere i år skrevet om Bergen og Oslo kommuner som begge har fått en klekkelig bot for manglende datasikkerhet og om Datatilsynet som i mars arrangerte en egen konferanse om sikring av personopplysninger i skoleverket.

Tilfellet i Sandefjord er av en banal karakter – elevene hadde tilsynelatende ikke engang forstått at slike systemer logger hendelser fortløpende. Men det handler like fullt om datasikkerhet og hvordan hver enkelt person innenfor en organisasjon mer eller mindre bevisst kan komme i skade for å slippe uvedkommende inn i et lukket system.

Nødvendig med kompetanseheving i alle ledd

Kommunikasjonsdirektør i Datatilsynet, Janne Stang Dahl, sier det er nødvendig med kompetanseheving på datasikkerhet og personvern i alle ledd i skoleverket. (Foto: Datatilsynet)
Kommunikasjonsdirektør i Datatilsynet, Janne Stang Dahl, sier det er nødvendig med kompetanseheving på datasikkerhet og personvern i alle ledd i skoleverket. (Foto: Datatilsynet)

For informasjonssjef i Datatilsynet, Janne Stang Dahl, er problemstillingen rundt datasikkerhet i skolen langt fra ny.

 - Vi har ikke eksakte tall, men vi ser at flere fylkeskommuner og skoler i hele landet ikke har gode nok sikkerhetsrutiner. Datatilsynet har lenge sett at der er store utfordringer for personvernet i skolene, men vi ser også at aktørene selv ønsker seg bedre retningslinjer og opplæring. Det er nødvendig med kompetanseheving i alle ledd.

 - Skolen kommer til å bruke stadig flere digitale verktøy i årene som kommer. Vi må ha tillit til at disse verktøyene blir brukt riktig og at informasjonen er sikret og brukes forsvarlig. Vi ser gang på gang at det er lett å komme seg inn i administrative nettverk og informasjonssystemer. Bevisstheten, kompetansen og rutinene må bedres i det ganske land.

 - Det ser også ut som om elevene selv i mange tilfeller ligger et hestehode foran når det gjelder å se hvilket mulighetsrom digitaliseringen gir. Det er et tankekors, og det er mye å lære av de unge.