Data Protection Academy » Data Protection News » Data protection fine imposed on the Municipality of Oslo Education Authority
Data protection fine imposed on the Municipality of Oslo Education Authority
Date: 18.02.2020
Grund für das Datenschutz-Bußgeld: Sicherheit der App “Skolemelding” war nicht gewährleistet
Gegen die Bildungsbehörde der Stadtverwaltung Oslo, ist eine Verwaltungsstrafe von 120.000 Euro verhängt wurden, weil die Sicherheit der Verarbeitung der mobilen App “Skolemelding” nicht gewährleistet war. Die App wird für die Kommunikation zwischen Schulangestellten, Eltern und Schülern verwendet.
The fine was imposed because the city administration had not taken appropriate technical and organisational measures to ensure a level of security appropriate to the risks involved. The following points were key elements in the assessment of the data protection authority:
- Eine der beabsichtigten Verwendungen der App ist es, dass Eltern Nachrichten über ihre Kinder und deren Abwesenheit von der Schule über ein Freitextfeld senden. Dies ermöglicht die Kommunikation von speziellen Kategorien persönlicher Daten, wie z. B. Gesundheitsdaten, die die Kinder betreffen. Es gibt keine technischen Maßnahmen, um dies zu verhindern, und innerhalb der App wird keine Information gegeben, dass eine solche Übertragung vermieden werden sollte. Im Einklang mit dem “data protection by design” und den Standardeinstellungen sind alternative Maßnahmen wie Drop-Down-Listen und Kontrollkästchen geeigneter.
- Due to the poor security of the app login, unauthorized persons were able to access and change the personal data of more than 63,000 students in grades one to ten.
- As a consequence of the insufficient security tests before the app went live, it contained known security holes.
Previously, the DPA had notified its intention to impose a fine of 200 000 euro in response to the above findings. However, the final amount was reduced to 120,000 Euros due to mitigating circumstances in this case.
The municipality has taken measures to mitigate the damage as soon as the safety deficiencies were brought to its attention and has shown its willingness to resolve the problems. The Municipality of Oslo has not appealed against the decision.
Amount of the data protection fine: 120,000 euros
Country: Norway
- Internal control system - 10 September 2024
- TISAX requirements: Prepare certification step by step - 8 January 2024
- Audit management: Implementing audits more efficiently - 26 October 2023
This might interest you too:
https://media.robin-data.io/2022/05/23150359/Header-Bussgeld.jpg
343
685
Nadine Porrmann
https://media.robin-data.io/2022/07/05140916/Robin-Data_ComplianceOS_white_logo.png
Nadine Porrmann2019-12-19 13:24:362022-09-21 09:10:46Highest data protection fine to date hits Delivery Hero
https://media.robin-data.io/2022/05/23150359/Header-Bussgeld.jpg
343
685
Caroline Schwabe
https://media.robin-data.io/2022/07/05140916/Robin-Data_ComplianceOS_white_logo.png
Caroline Schwabe2019-12-19 13:24:202022-09-21 09:10:57Data protection fine for the City of Oslo
https://media.robin-data.io/2022/05/23150359/Header-Bussgeld.jpg
343
685
Caroline Schwabe
https://media.robin-data.io/2022/07/05140916/Robin-Data_ComplianceOS_white_logo.png
Caroline Schwabe2019-12-09 14:23:182022-09-21 09:06:59BfDI imposes fine on Rapidata GmbH
