Kommunen nekter å godta millionbot etter kluss med passord

– Jeg har vanskelig for å forstå dette, sier faren til gutten som meldte fra.

Bergen kommune har i dag svart på Datatilsynets bot på 1,6 millioner.

Saken begynte da en 7.-klassing fant et sikkerhetshull med passord og andre personopplysninger til 35.000 elever og foresatte i bergensskolen.

Kommunen beklager sikkerhetsbruddet, men mener at boten fra Datatilsynet er for streng.

– Klart det kan gjøre skade

«Skadepotensialet i saken har slik kommunen ser det vært minimalt», skriver Bergen kommune i et brev til Datatilsynet.

Faren til 7.-klassingen som meldte fra om bruddet, reagerer på kommunens uttalelse.

– Jeg har vanskelig for å forstå dette. Når så mange passord kan være på avveie, så er det klart det kan gjøre skade. Dette kunne potensielt ført til at folk fikk innsyn i sensitive opplysninger, og det mener jeg er alvorlig, sier guttens far til BT.

Han vil ikke mene noe om selve størrelsen på boten, men mener at kommunen må tåle en reaksjon.

– Bergen kommune bør innrømme store feil i denne saken, det bør de virkelig, sier han til BT.

Elev fant sikkerhetshull

7-klassingen varslet Bergen kommune da han oppdaget sikkerhetsbruddet. Da ingenting skjedde, sendte han ut en falsk e-post i rektors navn. Dette anmeldte kommunen til politiet.

Like etter kom fem politifolk på døren til familien og beslagla guttens selvbygde datamaskin og skole-PC.

Dette vakte stor oppsikt. Mange mente kommunen la skylden på eleven som hadde varslet om sikkerhetshullet.

– Vi har alle noe å lære av saken, sa guttens foreldre til BT i desember.

De kritiserte kommunens håndtering av saken, og mente det var urimelig å plassere ansvar hos sønnen.

– Hvis kommunen hadde ringt skolen, ville rektor kunne fortalt hvem som sannsynligvis hadde gjort dette. For det er få andre elever med slike datakunnskaper, sa faren i et intervju med BT.

– Vi ser alvorlig på saken

I desember varslet altså Datatilsynet om millionboten. For strengt, mener kommunen. NRK Hordaland var først ute med å melde om kommunens ståsted.

– Vi ser alvorlig på saken og kunne gjort ting bedre i mai. Kommunen er enig i at vi må få en reaksjon når vi bryter lovverket, men i dette tilfellet er konklusjonen at reaksjonen er for streng i forhold til saken, sier Århus til BT.

Han vil ikke på nåværende tidspunkt forskuttere hva som blir kommunens reaksjon dersom Datatilsynet etter en ny vurdering velger å opprettholde millionboten.

– Det kommer an på begrunnelsen og er noe kommuneadvokaten må se på, sier direktøren.

De erkjenner at det burde vært foretatt flere undersøkelser etter at eleven hadde funnet frem til en oversikt over brukernavn og passord.

– Det ble dessverre ikke gjort på det tidspunktet, sier Århus.

– Tar personvernet svært alvorlig

I tillegg til det varslede milliongebyret, har kommunen fått to pålegg.

Det ene pålegget handler om at lærere og elever skal logge seg på nettverket gjennom bruk av såkalt tofaktor-autentisering.

Det andre dreier seg om tiltak for å beskytte passordene til elever og lærere. Disse forholdene er ryddet opp i, ifølge pressemeldingen.

– Vi tar personvernet til bergenserne svært alvorlig, sier Århus.

I en tidligere versjon sto det at foreldrene kritiserte skolens håndtering av saken. Det er ikke riktig, det er kommunens håndtering de er kritiske til.