Hopp til innhold

Elevar kunne finna søsken dei ikkje visste om i Itslearning

Gjennom Europas største læringsplattform fann eleven ut at foreldra hadde omsorg for eit barnevernsbarn. Først tre månader seinare var feilen retta. No kan Itslearning bli straffa for brot på personvernlova.

Itslearning

USIKKERT: Feilen var i systemet i nærare tre månadar, minst, men ingen veit sikkert kor lenge konfidensiell informasjon har vore tilgjengeleg i itslearning.

Foto: Anders Tesdal Galtung / NRK

I slutten av mars 2017 får ein lærar i Hordaland ei alvorleg melding frå eit foreldrepar. Dei er uroa over tryggleiken på det digitale læringsverktøyet svært mange skular i Norge nyttar.

Gjennom Itslearning har nemleg barnet deira klart å finna informasjon om eit barnevernsbarn foreldra hadde omsorga for. Skulen tek straks kontakt med Itslearning.

På det tidspunktet er det ingen som veit kor mange som har oppdaga informasjon dei aldri burde sett. Det skal ta nesten tre månadar før problemet blir retta.

Itslearning skjerm

ITSLEARNING: Slik ser fagoversikten ut for ein vidaregåandeelev i Itslearning.

Sensitiv informasjon

Itslearning er nettbasert og blir i tillegg til kommunikasjon mellom skule og elev, brukt til å legga ut mellom anna oppgåver, karakterar og fråvær. Kvar brukar har sin personlege innlogging.

På same tid som skulen i Hordaland, blir også Oslo kommune klar over den alvorlege feilen i systemet. Rohan Fininger i Utdanningsetaten forklarer at den potensielt sensitive informasjonen var tilgjengeleg på elevane sine profilsider.

– I systemet kan ein elev gå inn på sin profil, og trykka seg vidare inn på sine føresette. Her kjem det opp informasjon om barn som er registrert på foreldra, forklarer Fininger.

Feilen gjer at elevar teoretisk sett kan finna ut om mor eller far har barn dei ikkje visste om.

– Potensielt var det veldig alvorleg, for ein kunne eksponert informasjon som ikkje skulle blitt eksponert. Dette måtte ein gjera noko med, så me varsla Itslearning om feilen, seier assisterande IKT-direktør i Oslo kommune, Ian Porter.

Feilen råka også foreldre eller føresette med omsorg for barn i Barnevernet. Namnet på desse barna ville også stå oppført i den same lista, slik eleven og foreldreparet i Hordaland opplevde.

I dette tilfellet hadde eleven ein forelder som jobba på ein offentleg omsorgsinstitusjon.

Itslearning

STØRST: Berre i Norge har Itslearning over 900.000 brukarar. Dei beklagar feilen som viste sensitiv informasjon ut til elevane.

Foto: Anders Tesdal Galtung / NRK

– Skal ikkje skje

Barne-, ungdoms- og familiedirektoratet seier dei ser svært alvorleg på tryggleiksbrotet.

– Det er alvorleg når informasjon med teieplikt som gjeld barnevernssaker blir gjort tilgjengeleg for uvedkommande. Det skal aldri skje, seier assisterande direktør Kjetil Andreas Ostling.

Han reagerer sterkt på at det tok nær tre månadar før feilen blei fiksa.

– Når slike feil oppstår, må dei bli retta opp umiddelbart, seier Ostling.

Kjetil Andreas Ostling

RETTA FOR SEINT: Kjetil Andreas Ostling i Bufdir meiner slike feil må bli retta opp umiddelbart.

Foto: Beate Riiser / NRK

Har du tips i saka? Kontakt NRK Hordaland på e-post her eller anonymt her.

Må vera frå same kommune

Itslearning har hovudkontor i Bergen, og har lenge vore det leiande digitale læringsverktøyet i Norge. Selskapet har fleire millionar brukarar på høgskular, vidaregåande skular og grunnskular både her til lands og i Europa.

Ifølge Itslearning har feilen berre ramma brukarar i Norge som har tatt i bruk ein såkalla foreldreportal. Her kan foreldre logga inn og følga med på til dømes barna sine karakterar og fråvær på skulen.

I foreldreportalen hentar Itslearning informasjon frå dei skuleadministrative systema. Det er her dei sensitive opplysningane kjem frå, ifølge Itslearning.

– Me er avhengige av å henta inn informasjon frå desse systema for å kunna eksportera tilbake karakterar og fråvær til dei studieadministrative systema. Me nyttar det til å plassera elevar i korrekte klassar, knyta dei opp mot rett kontaktlærar, og mykje meir, fortel dagleg leiar Arne Bergby.

Ifølge Itslearning må det fleire kriterium til for at feilen skal oppstå, mellom anna at elevane må vera busett og gå på ein grunnskule i same kommune.

Eksemepel på personvernglipp i Itslearning

TESTFORELDER: Ein lærar i Bergen har laga denne testen for å syne problemet på elevane si profilside på Itslearning.

Beklagar

I Norge har Itslearning kring 900.000 brukarar. 360.000 av dei er foreldre som har aktiv konto på foreldreportalen.

Selskapet hevdar det er lite sannsynleg at andre brukarar har kome over sensitiv informasjon dei ikkje skulle sjå.

Itslearning legg seg likevel flate og beklagar at feilen oppstod.

– I denne saka har me ikkje tenkt gjennom konsekvensane av ei designendring godt nok. Me synkroniserer veldig mykje data, og her har me lagt til rette for synkronisering av data som ikkje skulle vore tilgjengeleg, vedgår Bergby overfor NRK.

Daglig leder Arne Bergby i Itslearning

BEKLAGAR: Dagleg leiar Arne Bergby seier Itslearning har eit strengt fokus på personvern, men at det har gått gale denne gongen.

Foto: Pressefoto / Itslearning

Brukte for lang tid på retting

Itslearning seier feilen oppstod då dei ville forbetra brukargrensesnittet på profilsidene i midten av mars.

3. april hadde dei fått meldinga frå Hordaland om at sensitiv informasjon blir vist til ein brukar.

Support-avdelinga identifiserte raskt dette som eit problem, og gav saka vidare til utviklarane for retting. Men det tok nesten tre månadar før feilen var retta.

Først 19. juni oppdaterte selskapet Itslearning-programvara, og den sensitive informasjonen blir ikkje lenger vist ut.

Bergby seier dei opererer med ulike alvorsgrader når det blir meldt om feil, og at dei mest alvorlege kan rettast på ein dag. Men denne saka har følgt prosedyren for mindre alvorlege feil, noko Itslearning tek sjølvkritikk for.

Dei erkjenner at feilen burde fått langt høgare prioritet tilbake i april.

– Me har ikkje forstått kva konsekvensar dette hadde, og derfor tok det altfor lang tid. Perioden frå 3. april til 19. juni, der brukarar i andre kommunar kunne koma over potensielt sensitiv informasjon, kunne me enkelt ha redusert til eit minimum.

Bjørn Erik Thon

KAN KOMA REAKSJONAR: Bjørn Erik Thon fortel at Datatilsynet vil sjå på saka.

Foto: Åsa Mikkelsen / Datatilsynet

Datatilsynet vil sjå på saka

Førebels har det ikkje kome meldingar om liknande hendingar som på skulen i Hordaland.

Itslearning skulle likevel ha sendt avviksmelding om saka, ifølge Bjørn Erik Thon i Datatilsynet.

Tilsynet fekk aldri nokon melding, men Thon seier dei no vil sjå nærare på saka.

– Slik informasjon skal ikkje koma i feil hender, for dette er sensitiv, strengt personleg informasjon. Berre folk som jobbar i Barnevernet skal vita kven som er barnevernsbarn. Det er naturleg for oss å undersøka om personvernlova er blitt brote i denne saka, seier Thon til NRK.

– Me har eit godt samarbeid med Datatilsynet og dei er velkomne til å sjå nærare på denne saka. Me skal hjelpa med all informasjon, svarer Arne Bergby i Itslearning.

Har du tips i saka? Kontakt NRK Hordaland på e-post her eller anonymt her.