Orientering om brot på GDPR via FeideKva er Feide?Kva har me gjort?Kontakt med dei ramma?
Kultur og levekår

Orientering om brot på GDPR via Feide

Ein feil i Feide har ført til brot på GDPR. Tenestelevandørar har fått informasjon om personnummer til dei som har logga seg inn via Feide. Det er viktig å presisere at fødselsnummer ikkje har lagt ute ope på nettet på noko tidspunkt.

Kva er Feide?

Feide er den nasjonale løysinga for sikker innlogging og datadeling i utdanning og forsking. Feide blir levert av Sikt – Tenesteleverandøren til kunnskapssektoren. Dei samarbeider med Utdanningsdirektoratet om forvaltninga av tenesta.

Med Feide får elevar, studentar, forskarar og undervisarar trygg og rett tilgang til ei rekkje ulike digitale tenester med eitt brukarnamn og passord. Feide tilbyr også sterk autentisering der sikrare innlogging er nødvendig.

Feide mogleggjer sikker og enkel deling av data, samtidig som personvernet til brukarane blir vareteke. Tenesta sørgjer for å gi god oversikt og kontroll over dataflyten, og den mogleggjer datadriven innovasjon. Skuleeigar i Ullensvang nyttar Feide-pålogging til alle elevar og tilsette i grunnskulen og vaksenopplæringa.

 

Kva har skjedd?

Ein feil i Feide har ført til at ein del tenesteleverandørar me bruker har fått meir informasjon enn avtalt når brukarar logga inn med Feide mellom 19. januar kl. 11.43 og 25. januar kl. 13.57. Tenestelevarndørane har fått informasjon om fødselsnummeret til brukarar som har logga inn, i tillegg til avtalt informasjon dei skal få ved innlogging. I dette tidsrommet har totalt 595 000 personar fått delt fødselsnummer utan at det er avtalt. Feilen hos Feide vart retta 25. januar kl. 13.57. Hos oss gjeld dette 1 140 av våre 1 825 brukarar som nytta ein eller fleire feide-tenester i perioden der feilen låg inne.

Desse er fordelte på 16 feide-tenester for elevar og tilsette i Ullensvang. (Merk at det er overlapp mellom personar på ulike tenester. Dermed vil det samla talet ramma personar vera mindre enn summen av personar per teneste.):

  • Cappelen Damm Utdanning frå Cappelen Damm AS (905 personer)
  • Salaby frå Gyldendal Norsk Forlag AS (387 personer)
  • Aschehoug univers frå H Aschehoug & Co W Nygaard AS (153 personer)
  • Skolestudio frå Gyldendal Norsk Forlag AS (141 personer)
  • Numetry Skole frå Eduplaytion AS (58 personer)
  • Kikora frå Kikora AS (49 personer)
  • Elevkanalen / TV 2 Skole frå TV 2 AS (41 personer)
  • iMAL-lesing frå iMAL Norge AS (21 personer)
  • Ordnett frå Gyldendal Norsk Forlag AS (16 personer)
  • min.kunnskap.no – NY PORTAL frå Cyberbook AS (11 personer)
  • Multi Smart Øving frå Gyldendal Norsk Forlag AS (10 personer)
  • Gyldendal Norsk Forlag frå Gyldendal Norsk Forlag AS (9 personer)
  • DragonBox Account frå Kahoot DragonBox As (3 personer)
  • Pickatale for School frå PICKATALE AS (3 personer)
  • *Lingit frå Lingit AS (23 personer) – venter på bekrefting om at fødselsnummera anten ikkje har blitt lagra eller blitt sletta.
  • *Pendel frå BS Undervisning (9 personer) – venter på bekrefting om at fødselsnummera anten ikkje har blitt lagra eller blitt sletta.

Sikt, som leverer Feide, understrekar at fødselsnummera ikkje har vore ope tilgjengeleg på nett på noko tidspunkt. Tenesteleverandørane er vant til å få og handtera persondata, og har databehandlaravtale med oss.

Sikt har full kontroll på kva personar, vertsorganisasjonar og leverandørar som er ramma av feilen.

Sikts undersøkingar så langt viser at fødselsnummera som er delte med leverandørane, i mange tilfelle ikkje er lagra eller registrert nokon stad. Talet på fødselsnummer som er lagra hos leverandørane er langt lågare enn 595 000.

Oppdatering tysdag 6. februar kl. 14.30: Me har no fått stadfesta at 575 255 brukarar sine data, meir enn 96 prosent, anten ikkje vart lagra eller er sletta hos leverandørane. Me jobbar vidare med å kartleggja dei resterande 20 684 brukarane som er ramma av feilen.

Sikt har varsla Datatilsynet om hendinga. Referanse AR596480816.

 

Kva gjorde skuleeigar når me vart varsla om hendinga?

Administrator for Feide i Ullensvang kommune mottok varsel fredag 26. januar kl. 14.09 om hendinga, der Sikt ikkje kunne seie om våre elevar og tilsette var ramma.

Kommunalsjef oppvekst og utdanning, samt personvernombodet vart orientert om saka måndag 29. januar, og sidan halde løpande orientert om status på saka.

Saka vart meldt inn til Datatilsynet måndag 29. januar, same dag som Sikt orienterte oss om at våre brukarar vart ramma av brotet. Referanse AR596764161.

 

Kvifor har verken Sikt eller skuleeigar teke kontakt med kvar enkelt som vart ramma?

Sikt vurderer at det ikkje er sannsynleg at brotet medfører høg risiko for dei ramma enkeltpersonane. Dermed vurderer dei det slik at det ikkje er nødvendig å varsla dei ramma individuelt.

Skuleeigar si vurdering er lik Sikt si vurdering, og vel difor kun å orientera om at hendinga har skjedd via nettsida vår og intranett.