VENNESLA: Et sikkerhetsbrudd i it-løsningen som skolen bruker til å kommunisere med elever og foresatte gjorde nemlig at alle elever fikk tilgang til sensitiv informasjon sendt skolen om sykdom og andre forhold.

Blant annet lå følgende melding ute fra en foresatt, sendt til en klasseforstander.

"Hei. Bekymrer meg litt for (navn). Han sliter, kunne du bedt helsesøster om å ta en prat med ham og at hun eventuelt formidler noe hjelp videre. Tror egentlig han ønsker seg en liten dytt for å komme seg videre. Sliter med skole og kropp. Synes vi skal prøve noe, ellers er jeg redd han dropper ut".

SYKEMELDINGER: Elevene bruker tjenesten til å melde fra om sykdom. Disse ligger også åpent framme. Foto: Skjermdump

Åpent for alle

Meldingen som er sendt til skolen fra en bekymret forelder, er ment kun for klasseforstanderen gjennom kommunikasjonsløsningen Mobilskole, som er en applikasjon på hovedplattformen Itslearning.

Men ved en teknisk glipp kunne elever klikke seg inn på Mobilskole og se alle opplysninger som er sendt til og fra skolen, hovedsakelig sykemeldinger fra elever.

Det er kun ansatte ved skolen som skal ha tilgang, og tjenesten brukes hovedsakelig av elever og foresatte til å sende inn sykemeldinger via sms.

Leverandøren av tjenesten sier at de tar sikkerhetsbristen alvorlig, og at applikasjonen er stengt på alle skoler som har den.

— Vi har stengt denne applikasjonen i Itslearning for rundt 200 skoler over hele landet til vi har rettet feilen, sier daglig leder i Mobilskole, Håkon Kalbakk, til Fædrelandsvennen.

Mobilskole utelukker ikke at personvernsopplysninger kan være på avveie andre steder i landet, men Kalbakk sier at de aldri har hørt om tilsvarende tilfelle på sine fire år.

- Ikke ment for dette

Rektor Thorkild Haus sier at sms- tjenesten ble innført i høst, og at ingen i ledelsen var kjent med bristen.

— Dette er veldig beklagelig. Vi tok direkte kontakt med leverandøren da vi hørte om dette nå, og det er dumt, for vi har hatt stor glede av tjenesten, sier han.

Ifølge Haus var ikke tjenesten ment for personsensitive opplysninger.

— Jeg mener at vi gikk ut med informasjon om det til de foresatte. Men jeg kan ikke si hva slags beskjeder som har kommet inn, sier han.

På avveie: På Vennesla videregående skole er sensitive personopplysninger kommet på avveie. Foto: Henrik Ihme

Oppdaget av elev

Fædrelandsvennen ble tipset av en elev som oppdaget bristen for rundt tre måneder siden. Han ønsker å være anonym.

Elevens far forklarer sikkerhetsbristen slik.

— Koblingen er åpen i et par sekunder etter innlogging på Itslearning, og da kan eleven få tilgang ved å trykke på koblingen, uten at han eller hun nødvendigvis er klar over det, sier han til Fædrelandsvennen.

— Dette er veldig graverende, for her kan elevene se sensitiv informasjon om sine medelever, sier faren.

Eleven forteller at også andre elever på skolen kjenner til sikkerhetsbruddet.

— Jeg vet at andre har vært inne uten å være klar over hva de har gjort, slik jeg tilfeldig kom inn første gangen. Jeg skjønte med en gang at noe ikke stemte. Det blir sendt sensitiv informasjon til skolen om elever og sykdom som ikke andre skal få vite om. Dette er en grov feil som bryter klart med personvernsloven, sier eleven.

Han oppdaget bristen for tre måneder siden.

— Flere vet om dette. Så vidt jeg vet har ikke dette gått utover noen elever ennå. Men det er bare et tidsspørsmål. Det er derfor jeg varsler om dette, sier han.