Tilbake til oversikten
15.09.2021 · Offentlig sektor
Oslo kommune (Utdanningsetaten)
Oslo kommune ble ilagt 1,25 MNOK for sikkerhetsbrudd i kommunens skoleportal som eksponerte opplysninger om elever.
- Gebyr
- 1.3 MNOK
- Status
- Endelig
- Artikler
- art. 5art. 25art. 32
Bakgrunn
En konfigurasjonsfeil i autentiseringslaget gjorde at elever og foresatte kunne få tilgang til andre elevers opplysninger. Feilen hadde vært tilstede over lengre tid.
Datatilsynets begrunnelse
Datatilsynet fant at kommunen ikke hadde innarbeidet privacy by design / by default i utviklingsløpet og at testingen var utilstrekkelig.
Lærdom for din virksomhet
- Privacy by design må være en del av SDLC
- Løsninger som behandler barns opplysninger krever DPIA
- Autentiseringsløsninger må penetrasjonstestes
Kildehenvisninger
Har du feilrettelser? Send til data@ketl.no.
Unngå samme feil i din virksomhet
KETL kobler compliance-dokumenter til event-drevet review og kontinuerlig overvåkning, slik at artikkel 32-risikoer fanges opp før Datatilsynet gjør det.