Tusenvis av bilder lå usikret: – Uakseptabelt
Personopplysninger har ligget usikret i kommunens internsystem i over 15 år. Byrådet krever full gjennomgang av saken.
Filmapper med bilder av skolebarn og barnehagebarn lå åpent tilgjengelig på kommunale PC-er, kunne BT fortelle mandag.
Totalt er det snakk om tusenvis av bilder som har vært tilgjengelig i flere tiår, viser kommunens foreløpige gjennomgang.
Hvordan dette kunne skje er det ingen som vet. Finansbyråd Erlend Horn (Venstre) sier det er en uakseptabel glipp som har skjedd i kommunens systemer.
– Skal ikke skje
– Det er det ingen tvil om. Da jeg ble gjort oppmerksom på dette ga jeg beskjed om at dette fellesområdet på kommunens systemer skulle stenges ned. Det ble gjort allerede i går (mandag), sier Horn.
I de aktuelle mappene var det bilder fra skolefotografering og skoleturer, samt barnehagebilder.
Ifølge Datatilsynet likestilles bilder med personopplysninger. Horn er tydelig på at denne type feil ikke skal skje.
– I dag har jeg gitt en tydelig bestilling til administrasjonen om å finne ut hva som har skjedd. Hvor stort omfang, hvorfor har det skjedd, hvorfor er det ikke oppdaget før og hvordan kan vi sikre at det ikke skjer igjen, sier finansbyråden.
Det var Høyres politiske rådgiver Petter Haugland som oppdaget filmappen med bildene da han gjorde seg kjent med sin nye pc. Han meldte fra om avviket før helgen. Mandag ettermiddag ble det altså stengt.
Dette skjedde
Slik Horn forstår saken foreløpig, har flere skoler og barnehager lastet opp bilder til dette området, i tillegg til andre dokumenter som instrukser, kursinformasjon og programfiler.
Problemet var at mappen som inneholdt bilder ikke var lukket slik at bare dem med tilgang kunne åpne den. Dermed har den vært åpen for alle ansatte med tilgang til det administrative nettverket i Bergen kommune. I dag er det registrert 29.000 bruker med tilgang til kommunens systemer.
De eldste bildene stammer fra 2004. Først nå er feilen blitt oppdaget. Horn sier han skjønner at det stilles spørsmål om hvordan dette kan ha skjedd.
– Det har jeg bedt om en grundig redegjørelse for å få svaret på.
Digitaliseringsdirektør Kjetil Århus sier den aktuelle mappen lå på fellesområdet i kommunen, som er ment til å dele filer på tvers av avdelinger og fagområder i kommunen. Til nå har de avdekket to navngitte skoler og én barnehage som har delt bilder i mapper som ikke har vært lukket på korrekt måte.
– En av de navngitte skolene har cirka 1100 profilbilder av elever og lærere fra perioden 2010–2016. De andre funnene er i størrelsesorden 7 og 20 bilder fra cirka 2004, skriver Århus i en e-post.
– Vi har ingen felles områder under «felles-alle» uten tilgangsstyring.
Bergen kommune har ikke konkludert om dette er et brudd på regelverket, men har sendt et forhåndsvarsel til Datatilsynet.
Personopplysninger Seksjonssjef Camilla Nervik i Datatilsynet ønsker ikke å kommentere den aktuelle saken, men svarer på generelt grunnlag.
– Bilder av elever er likestilt med personopplysninger. Det skal bare gis tilgang til personopplysninger i den grad det er nødvendig. Dersom uvedkommende får tilgang til disse opplysningene, er det et brudd på personvernregelverket. Ansatte i kommunen skal bare ha tilgang til de opplysningene man trenger, sier Nervik.
Hun sier at tidsperspektivet, altså hvor lenge filmappen har lagt åpen, kan ha betydning for hvor alvorlig sikkerhetsbruddet er.
– En annen sak som kan spille inn er hvor tilgjengelig filmappen er. Er den vanskelig tilgjengelig, kan konsekvensene være mindre, sier hun.
Takker for varsel
Byråden sier han har stor forståelse for at tilliten i befolkningen er lav til kommunens håndtering av personvernsystematikken etter flere saker som Vigilo-saken.
– Vi har en stor og viktig jobb foran oss i byrådet for å gjenopprette den tilliten og sikre at kulturen for personvern er slik den skal være og at systemene fungerer slik de skal.
Han takker også Petter Haugland for å ha meldt fra om avviket før helgen og lover at bystyret skal få de svarene de har bedt om i denne saken.
I dag har jeg gitt en tydelig bestilling til administrasjonen om å finne ut hva som har skjedd. Erlend Horn, finansbyråd