Personopplysninger på videregående skole har ved en feil har vært tilgjengelig på Internett. Det kan ha gitt tilgang på karakterer og elevvurderinger, og det kan være fare for identitetstjueri. Det virker som mye er uten kontroll, hvilket kan få store konsekvenser for både elever og ansatte.
Av Øyvind Andresen – publisert 26. mai 2020
Agder fylkeskommune gikk ut med en kunngjøring 14. mai om at personopplysninger til elever og ansatte på videregående skoler kan være på avveie. Dette skyldes et sikkerhetsbrudd hos en av fylkeskommunens leverandører, Conexus. Men det er fylkeskommunen som har det overordnede ansvaret. Sikkerhetsbruddet har skjedd på en av serverene til leverandøren, men fylkeskommunen vet ikke hvor denne serveren står til tross for at de er lovpålagt å kjenne til dette. Argument har tidligere skrevet om saken, se her.
På landsplan dreier det seg om lekkasje av opplysninger om ca. 40 000 elever. Tre fylkeskommuner er berørt. Fra 23. mars til 5. mai var det mulig å hente ut personidentifiserbar informasjon fra systemet. I Agder er sju videregående skoler berørt. Personopplysningene som det har vært mulig å ta ned var navn, adresse, personnummer, fødselsdato, kjønn, hjemkommune og epost. Ved hjelp av disse opplysningene kan man få tilgang på karakterene og elevvurderinger til elevene. Dessuten kan det være stor fare for identitetstjueri.
Sikkerhetsbruddet har altså skjedd hos det private dataselskapet Conexus, som leverer den skybaserte programvaren «Conexus Engage». Argument har ved flere anledninger prøvd å komme i kontakt direktøren for Conexus, Andreas Wisløff Samulelsen, uten å lykkes. Firmaet holder til i Drammen, men har 40 ansatte i Vietnam. Conexus samarbeider også med Utdanningsdirektoratet om kartleggingsprøver på småskoletrinnet. Det er et uavklart hvor Conexus lagrer dataene sine.
På henvendelse fra Argument opplyser direktør for utdanning i Agder, Arly Hauge, følgende: «I følge våre opplysninger behandles dataene i Europa. Dette er et av spørsmålene vi nå undersøker nærmere.»
«Fylkeskommunen har nå fokus på å undersøke hva som skjedd og hvordan dette er mulig."
Argument har vært i kontakt med seksjonsjef Camilla Nervik ved seksjon for offentlige tjenester i Datatilsynet. Hun sier at Datatilsynet er i ferd med å undersøke denne saken, og at hun uttaler seg på generell basis. Men hun understreker at de ansvarlig er lovpålagt å ha full kontroll over hele næringskjeden. Det kan være trygt å bruke servere i Europa, men det kan variere fra land til land. Hun viser til den store lekkasjen i Helse Sør-Øst i 2017 der data fra 2,8 millioner pasienter kom på avveie. Ved den lekkasjen var dataservere i Bulgaria involvert, og IT-arbeidere i Øst-Europa hadde tilgang på sensitiv informasjon.
På spørsmål fra Argument Agder om hvordan man vil følge opp denne saken for å hindre at liknende lekkasjer kan skje i framtida, svarer Arly Hauge: «Fylkeskommunen har nå fokus på å undersøke hva som skjedd og hvordan dette er mulig. Vi ser nærmere på den tekniske løsningen, herunder sårbarheter i datatjenesten og overføringen av data fra behandlingsansvarlig til databehandler. Vi vil også se på de organisatoriske sidene av saken, herunder vår egen rolle som bestiller av tjenestene, oppfølgingen av behandlingsansvaret, beredskapsplaner, tilgangsstyring og ikke minst hva vi kan lære av denne hendelsen. ...»
"Datatilsynet får inn mange saker som handler om at personvernet ikke er godt nok ivaretatt i digitale kommunikasjonsverktøy i skolen."
Hun bekrefter at fra høsten 2020 vil alle videregående skolene i fylket innføre programvaren Visma inSchool. Det er en helhetlig skyløsning for elever, lærere og administrasjonen i den videregående skolen. I januar skjedde en større lekkasje fra Visma inSchool i prøvefylket Akershus.
Datatilsynet vil prioritere personvern for elever framover. De skriver på sine nettsider:
"Datatilsynet får inn mange saker som handler om at personvernet ikke er godt nok ivaretatt i digitale kommunikasjonsverktøy i skolen. Manglende rutiner og tiltak for å sikre personopplysningssikkerheten er ikke godt nok innarbeidet."
Datatilsynet gav nylig Bergen kommune et varsel om overtredelsesgebyr på 3 millioner kroner, fordi personopplysninger i skolens kommunikasjonssystem mellom skole og hjem var ikke tilstrekkelig sikret.
Argument Agder vil følge opp datasikkerheten i skolene framover. Her virker det som mye er ute av kontroll, med de konsekvensene det kan få for enkeltpersoner.
Kommentarer? Send til post@argumentagder.no