Bergen Kommune har blivit bötfälld 170 000€ av Datatilsynet.

Datatilsynet blev uppmärksammade på bristen av en intern visselblåsare på en av kommunens skolor, som hittade en fil innehållandes inloggningsuppgifter för 35000 elever och lärare på en publik lagringsyta.

Datatilsynet fann att kommunens brist på lämpliga åtgärder för att skydda persondata i sin ostrukturerade data konstituerade brott mot både GDPR artikel 5(1)f och artikel 32.

Faktumet att läckan innehöll persondata från 35 000 individer, vara de flesta var barn, ansågs vara graverande.

Det norska beslutet pekar tydligt fingret på behovet att genomföra en inventering av persondata. Bergen kommune har genomfört ett stort antal informationssäkerhetsprojekt, med sofistikerad zon-uppdelning.

Det finns dock ingen anledning att investera i informationssäkerhet och behörighetskontroll, innan man har full kontroll på var persondata finns i datakällorna.

https://www.datatilsynet.no/en/about-privacy/reports-on-specific-subjects/administrative-fine-of-170.000–imposed-on-bergen-municipality/