Tilbake til oversikten
27.03.2020 · Offentlig sektor
Bergen kommune
Bergen kommune ble ilagt 3 MNOK — et av de første store GDPR-gebyrene i Norge — etter sikkerhetsbrudd i skoleapp.
- Gebyr
- 3 MNOK
- Status
- Endelig
- Artikler
- art. 5art. 32
Bakgrunn
Brukernavn og passord for 35.000 elever og ansatte lå tilgjengelig i en ubeskyttet fil. Kommunen fikk beskjed av en forelder, men brukte lang tid på å stenge feilen.
Datatilsynets begrunnelse
Datatilsynet la vekt på at passordene var lagret i klartekst, at feilen hadde vært kjent i flere måneder, og at det dreide seg om barn.
Lærdom for din virksomhet
- Passord skal aldri lagres i klartekst
- Incident response må ha tidsfrister
- Varsler fra allmennheten må tas på alvor — dokumentér mottak og saksbehandling
Kildehenvisninger
Har du feilrettelser? Send til data@ketl.no.
Unngå samme feil i din virksomhet
KETL kobler compliance-dokumenter til event-drevet review og kontinuerlig overvåkning, slik at artikkel 32-risikoer fanges opp før Datatilsynet gjør det.