Fylkeskommunen aner ikke hvor sensitive skoledata er lagret

Dette ble først publiser i  Argument Agder. Illustrasjon: Datatilsynet

Agder fylkeskommune gikk ut med en kunngjøring 14. mai om at personopplysninger til elever og ansatte på videregående skoler kan være på avveie. Dette skyldes et sikkerhetsbrudd hos en av fylkeskommunens leverandører, men det er fylkeskommunen som har det overordnede ansvaret. Sikkerhetsbruddet har skjedd hos en av loggseerverne til leverandøren Conexus, men fylkeskommunen vet ikke hvor denne serveren er til tross for at de er lovpålagt å kjenne til dette. Argument har tidligere skrevet om saken, se her.

På landsplan dreier det seg om en lekkasje på ca. 40 000 elever. I Agder er sju videregående skoler berørt. Personopplysningene som har vært mulig å ta ned, var navn, adresse, personnummer, fødselsdato, kjønn, hjemkommune og e–post. Når man legger sammen disse opplysningene, kan man få tilgang på karakterene og elevvurderinger til elevene. Dessuten er det stor fare for identitetstjueri.

Sikkerhetsbruddet har skjedd hos det private dataselskapet Conexus, som leverer den skybaserte programvaren «Conexus Engage». Tre fylkeskommuner er berørt av hendelsen. Fra 23. mars til 5. mai har det vært mulig å hente ut personidentifiserbar informasjon fra systemet.

Argument Agder har undersøkt denne saken nærmere. Sikkerhetsbruddet har skjedd fordi informasjon på en loggserver ved en feil har vært tilgjengelig på Internett for utenforstående.  Etter en henvendelse fra Argument opplyser fylkesdirektør for utdanning i Agder, Arly Hauge, følgende:

«I følge våre opplysninger behandles dataene i Europa. Dette er et av spørsmålene vi nå undersøker nærmere.»

Argument har også vært i kontakt med seksjonsjef , Camilla Nervik, seksjon for offentlige tjenester, i Datatilsynet. Hun sier at Datatilsynet er i ferd med å undersøke denne saken, og at hun uttaler seg på generell basis. Men hun understreker at de ansvarlig er lovpålagt å ha full kontroll over hele næringskjeden. 

Hun sier at det kan være trygt å bruke servere i Europa, men det kan variere fra land til land. Hun viser til den store lekkasjen i Helse Sør-Øst i 2017 der data fra 2,8 millioner pasienter kom på avveie. I den forbindelse med lekkasjen var også dataservere i Bulgaria involvert, og IT-arbeidere i Øst-Europa hadde tilgang på sensitiv informasjon.

Argument har ved flere anledninger prøvd å komme i kontakt direktøren for Conexsus Andreas Wisløff Samulelsen uten å lykkes. Conexus holder til i Drammen, men har også 40 ansatte i Vietnam. Conexsus Engage  samarbeider også med Utdanningsdirektoratet om kartleggingsprøver på småskoletrinnet.  Det er altså et åpent spørsmål hvor Conexus lagrer dataene sine.

Arly Hauge skriver følgende på spørsmål fra Argument Agder om hvilken oppfølging får denne lekkasjen for å hindre at liknende lekkasjer ikke skjer i framtida:

«Fylkeskommunen har nå fokus på å undersøke hva som skjedd og hvordan dette er mulig. Vi ser nærmere på den tekniske løsningen, herunder sårbarheter i datatjenesten og overføringen av data fra behandlingsansvarlig til databehandler. Vi vil også se på de organisatoriske sidene av saken, herunder vår egen rolle som bestiller av tjenestene, oppfølgingen av behandlingsansvaret, beredskapsplaner, tilgangsstyring og ikke minst hva vi kan lære av denne hendelsen. Undersøkelsene vi gjennomfører bør kunne gi svar på om hendelsen har ført til brudd på bestemmelsene om at behandlingen av data skal skje på en måte som bevarer dataenes konfidensialitet, integritet og tilgjengelighet.»

Arly Hauge bekrefter at fra høsten 2020 vil alle de videregående skolene i fylket innføre Visma inSchool som er en helhetlig skyløsning for elever, lærere og administrasjonen i den videregående skolen. I januar skjedde en større lekkasje fra Visma inSchool i prøvefylket Akershus.

Datatilsynet vil prioritere personvern for elever framover. De skriver på sine nettsider:

“Datatilsynet får inn mange saker som handler om at personvernet ikke er godt nok ivaretatt i digitale kommunikasjonsverktøy i skolen. Manglende rutiner og tiltak for å sikre personopplysningssikkerheten er ikke godt nok innarbeidet.”

Datatilsynet gav nylig Bergen kommune et varsel om overtredelsesgebyr på 3 millioner kroner, fordi personopplysninger i skolens kommunikasjonssystem mellom skole og hjem var ikke tilstrekkelig sikret.

Argument Agder vil følge opp datasikkerheten i skolene framover. Her virker det som mye er uten kontroll med de store konsekvensene det kan få for enkeltpersoner.

Les  også: https://andresensblogg.no/personopplysninger-pa-elever-og-laerere-i-agder-pa-avveie/