Ny rapport: Fortsatt risiko for sikkerhetsbrudd i bergensskolene

Rektorer unnlot å varsle etter Vigilo-glipp. Svært mange skoleledere er usikre på hvilket ansvar de har i slike saker.

Publisert Publisert

ANSVARLIG BYRÅD: Linn-Kristin Engø har det øverste ansvaret for avdelingen som nå får kritikk. Foto: Bård Bøe

  • Kristin Jansen
  • Gerd Margrete Tjeldflåt
  • Lasse Lambrechts

To av tre rektorer i Bergen svarer at de er usikre på sin egen rolle når det kommer til informasjonssikkerhet.

Det kommer frem i en ny rapport om IT-sikkerheten i Byrådsavdeling for barnehage, idrett og skole i Bergen kommune. Rapporten er laget av Deloitte, og omtaler blant annet Vigilo-saken.

Det var en mor som først varslet om sikkerhetssvikten i Vigilo da hun oppdaget at ekssamboeren var lagt til i skoleappen. Rektoren på den aktuelle skolen meldte fra om det som hadde skjedd på SMS, men dette ble oppfattet som en enkeltsak.

To uker seinere, etter at kommunen hadde gått ut og sagt at alle foreldre uten foreldreansvar var ute av appen, oppdaget en annen mor sin trusseldømte eksmann i Vigilo.

Hun meldte fra om det som hadde skjedd til rektor ved skolen, men saken kom aldri videre til byrådsavdelingen.

SIKKERHETSSVIKT: Foreldre uten foreldreansvar ble lagt til i skoleappen Vigilo. Foto: Fred Ivar Utsi Klemetsen

Hør BT20 om Vigilo-saken her:

Uklart ansvar skaper risiko

Ansvaret for informasjonssikkerhet er ikke godt nok ivaretatt i Bergen kommune, heter det i rapporten. Deloitte konkluderer med at det er uklart hvem som har ansvaret, og at det på grunn av dette er en vedvarende risiko for flere brudd på informasjonssikkerheten i bergensskolene.

Deloitte har også spurt alle rektorer i Bergen om de gjør risikovurderinger av personvern og informasjonssikkerhet.

Rundt halvparten svarer nei. Flere var ikke klar over at de skulle gjøre dette, mens andre sier de ikke har kompetanse, eller ikke har hatt tid.

Deloitte skriver i rapporten at rektorene er tiltenkt en viktig rolle i dette arbeidet, og mener svarene de har fått illustrerer den uklare ansvarsfordelingen.

Les også

Høyre krever Vigilo-høring

Fortrolig informasjon i ulåste skuffer

Rapporten kommer med kritikk av byrådsavdelingen på en rekke områder:

  • De som i praksis har tatt ansvar for informasjonssikkerhet, har ikke det formelle ansvaret. De har forholdt seg til 17 år gamle retningslinjer.
  • Mange rektorer i Bergen er usikre på hvilken rolle og ansvar de har i forhold til informasjonssikkerhet. Oppgavene som er gitt dem, blir bare delvis gjennomført.
  • Bare 13 prosent av ansatte i skolesektoren svarer at de kjenner rutinene for å melde avvik. Under en tredjedel av dem som har meldt avvik, er blitt fulgt opp.
  • Fortrolig informasjon blir oppbevart i ulåste skuffer eller hyller. Ansatte tar med seg konfidensielle papirdokumenter hjem.

Byråden: – Rapporten gir mulighet til å styrke arbeidet

Byråd Linn-Kristin Engø skriver i en e-post at hun trenger tid til å sette seg inn i innholdet i rapporten.

– Jeg har nettopp fått oversendt den endelige rapporten, og trenger tid til å sette meg inn i innholdet. Utover det er jeg glad for at vi får en systematisk gjennomgang som gir oss mulighet til å styrke det pågående arbeidet med informasjonssikkerhet i kommunen, skriver hun.

Les også

Bergen kommune stenger deler av skoleappen Vigilo

KOMMUNALDIREKTØR: Trine Samuelsberg frontet Vigilo-saken da den ble kjent i BT 9. oktober i år. Foto: Hedvig Idås

To alvorlige sikkerhetsbrudd

Rapporten kommer etter at byrådsavdelingen har opplevd to alvorlige sikkerhetsbrudd.

I september oppdaget kommunen at foreldre som ikke skal ha tilgang til informasjon på egne barn, var lagt inn i skoleappen Vigilo.

Dette gjaldt blant annet flere barn på hemmelig adresse.

En mor og hennes barn har flyttet etter at kvinnen oppdaget ekssamboerens navn i Vigilo.

I august i fjor oppdaget en 13-år gammel gutt at informasjon om 35.000 lærere og elever hadde havnet på avveie.

Kommunen fikk en bot på 1,6 millioner kroner fra Datatilsynet etter hendelsen.

Rapporten fra Deloitte ble påbegynt og i hovedsak gjennomført før Vigilo-saken ble kjent.

Publisert

Les mer om dette temaet

  1. – Vi er ikke trygge her lenger. Vi var det, men nå er alt ødelagt.

  2. Dette veit me om Vigilo-saka

  3. Skolebyråden beklaget: Har ikke alternativer til å bruke Vigilo

  4. Krever at kommunen skroter Vigilo

  1. Barn
  2. Bergen
  3. Sikkerhet
  4. Bergen kommune
  5. Deloitte