Varselet gjelder brudd på personopplysningssikkerheten i mobilapplikasjonen Skolemelding, en meldingsapp utviklet for bruk i Osloskolen. I appen kan foresatte og elever sende meldinger til ansatte i skolen. De kan også svare på meldinger sendt fra skolen. Høsten 2018 kom det frem at det har vært mulig for uvedkommende å logge seg inn som autoriserte brukere og dermed få tilgang til personopplysninger om andre elever, foresatte og ansatte gjennom appen. Det er også mulig å registrere sensitive personopplysninger i fritekstfeltet.
Datatilsynet fikk først kjennskap til saken gjennom media, deretter som en melding om brudd på personopplysningssikkerheten (avviksmelding) fra Oslo kommune. Det kom også flere detaljer om sikkerhetshullene utdypet i en bloggpost via en privatperson. Gebyret er varslet fordi kommunen ikke har gjennomført egnede tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen. Det er flere momenter som er med i vurderingen.
Kommunen har ikke vært bevisst sitt ansvar og har lansert en skolemeldingsapp med en uakseptabel sårbarhet uten å gjennomføre egnede tiltak for å lukke sårbarhetene. De har også hatt mangelfull kontroll med leverandøren når det gjelder resultater av sikkerhetstestingen. Slik Datatilsynet forstår det, kan ikke sårbarhetene utnyttes ved vanlig bruk av appen Skolemelding, men ved at man bruker et verktøy for å kunne se og manipulere trafikk av data som kommuniseres. Slike verktøy er lett tilgjengelig for nedlasting fra internett. Sårbarhetene som ble oppdaget er autentiseringsproblemer og et manglende skille mellom brukere som gjorde at man kunne få tilgang til andres meldinger. Det var også mulig å høste personopplysninger og knytte enkeltpersoner til meldinger.
Kilde: Datatilsynet