Aktuelle saker fra Datatilsynet

​Sikkerhetsbrudd i Skolemelding, Oslo kommune – overtredelsesgebyr 1 200 000 kr

Saken gjaldt sårbarheter i mobilapplikasjonen Skolemelding. Det hadde vært mulig for uvedkommende å logge seg inn som autoriserte brukere og dermed få tilgang til personopplysninger om elever. I tillegg var det mulig å registrere særlige kategorier av personopplysninger i fritekstfeltet.

Datatilsynet tar for seg forventninger til informasjonssikkerhet og innebygget personvern i en digital tjeneste. Saken omhandler også ansvarsforhold mellom Oslo kommune som ansvarlig, og systemutvikler/databehandler.

Basert på saken må virksomhetene være oppmerksomme på at det må gjennomføres risikovurderinger i en utviklingsfase, og blant annet vurdere kjente IKT-sårbarheter. Det vil alltid være Oslo kommune som er ansvarlig for å følge opp at GDPR etterleves, også når oppgaver settes ut til databehandlere.

Publisering av sensitive personopplysninger, Oslo kommune – overtredelsesgebyr 400 000

Saken gjaldt et dokument som inneholdt særlige kategorier av personopplysninger om en person som lå tilgjengelig for nedlastning på e-innsyn i fem timer før det ble oppdaget.

Datatilsynet tar for seg mangelfulle rutiner for å oppdage feil, krav til supplerende rettsgrunnlag, og vurdering av alvorlighetsgrad når overtredelsen gjelder overfor 1 person.

Basert på saken må virksomhetene ha, og følge opp rutiner knyttet til tilgjengeliggjøring og publisering av dokumenter. Særlige kategorier av personopplysninger regnes som taushetsbelagte, og skal ikke deles med uvedkommende.

Manglende tilgangsstyring, Oslo kommune - overtredelsesgebyr 500 000

Saken gjaldt behandling av arbeidslister ved en rekke sykehjem og andre institusjoner. Listene kunne inneholde særlige kategorier av personopplysninger, og praksisen med deling hadde foregått i flere år. Ansatte hadde hatt tilgang til opplysninger de ikke hadde tjenstlig behov for, og listene lå lagret i usikker sone.

Datatilsynet tar blant annet for seg temaer knyttet til tjenstlig behov for tilgang, loggføring, og risikovurdering som en del av internstyringen.

Basert på saken må virksomhetene være oppmerksomme på at tilganger kun skal gis til de med tjenstlig behov, og at andre tiltak kan være nødvendige i lys av en risikovurdering.

Dataangrep hos Østre Toten kommune – overtredelsesgebyr 4 000 000 kr

Kommunen ble utsatt for et dataangrep i 2021 som blant annet resulterte i manglende tilgang, sletting av opplysninger, og spredning av dels svært sensitive opplysninger om enkeltpersoner.

I saken tar Datatilsynet for seg kommunens manglende arbeid med informasjonssikkerhet, herunder mangelfulle informasjonssikkerhetstiltak, sammenholdt med ledelsens og ansattes manglende bevissthet rundt mulige sikkerhetstrusler og dataangrep.

Basert på saken må virksomhetene sikre at de har helhetlig styring på personvern og informasjonssikkerhet. Ledelsen må også sikre at alle ansatte har tilstrekkelig kunnskap og opplæring.

Kameraovervåking, Dragefossen AS – overtredelsesgebyr 150 000 kr

Saken gjelder kameraovervåking av et sentrumsområde. Saken tar for seg behandlingsgrunnlag og grunnleggende vurderinger av personers rettigheter og friheter. Saken gir også tolkningsmoment som er relevante i vurderingen av om kamera fanger opp personopplysninger eller ikke.

Basert på saken må virksomhetene som skal bruke kameraovervåking som virkemiddel, gjøre grundige vurderinger av personvernkonksekvensene tiltaket får for de registrerte.

Publisering av taushetsbelagte opplysninger på nett, Asker kommune – overtredelsesgebyr 1 000 000 kr

Saken omhandlet publisering av taushetsbelagte opplysninger og fødselsnummer på nett gjennom bruk av titler i brev lagt på offentlig postjournal. Saken tar blant annet for seg hvilke forventninger Datatilsynet har til sikring av konfidensialitet og rutiner i en stor kommune.

Basert på saken må virksomhetene sikre at det foreligger rutiner for journalføring og publisering, og at alle ansatte er kjent med disse.