Integritetsskyddsmyndigheten har tagit emot ett antal anmälningar om personuppgiftsincidenter från utbildningsnämnden i Stockholm stad. Incidenterna rör Skolplattformen, som är det it-system som används för bland annat elevadministration i Stockholm. Skolplattformen innehåller uppgifter om uppåt 500 000 elever, vårdnadshavare och lärare. Systemet innehåller såväl känsliga och integritetskänsliga uppgifter som uppgifter om elever och lärare med sekretessmarkerade uppgifter eller skyddad identitet.
Myndigheten har granskat fyra delsystem i Skolplattformen och har funnit allvarliga brister. I ett av delsystemen har brister i möjligheten att begränsa användarnas åtkomst till uppgifterna gjort att stora delar av personalen haft möjlighet att komma åt uppgifter om elever med skyddad identitet. I ett annat delsystem har vårdnadshavare på ett relativt enkelt sätt kunnat komma åt andra barns uppgifter om exempelvis betyg och utvecklingssamtal. Via sökningar på Google har det varit möjligt att hitta länkar för inloggning till ett administrationsgränssnitt och där komma över uppgifter om lärare med skyddad identitet.
– I ett it-system som detta hanteras stora mängder personuppgifter. Då är det oerhört viktigt att den personuppgiftsansvariga har vidtagit tillräckliga säkerhetsåtgärder för att skydda uppgifterna och löpande säkerställer skyddet, säger Ranja Bunni som är jurist på Integritetsskyddsmyndigheten och som deltagit i granskningen.
I sitt beslut konstaterar Integritetsskyddsmyndigheten att utbildningsnämnden inte har säkerställt en lämplig säkerhet för personuppgifterna. Nämnden har inte heller vidtagit tillräckliga lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, vilket bland annat inbegriper ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska säkerhetsåtgärderna.
Integritetsskyddsmyndigheten utfärdar en sanktionsavgift på fyra miljoner kronor för de överträdelser som konstaterats. I Sverige är maxgränsen för sanktionsavgifter mot myndigheter 10 miljoner kronor.
– Enligt dataskyddsförordningen, GDPR, ska sanktionsavgifter vara effektiva, proportionella och avskräckande. I det här fallet har överträdelserna rört flera hundra tusen registrerade, däribland barn och elever, samt omfattat brister i hanteringen av känsliga och integritetskänsliga personuppgifter som exempelvis uppgifter om personer med skyddad identitet och uppgifter om hälsa, säger Salli Fanaei som också deltagit i Integritetsskyddsmyndighetens granskning.
Läs Integritetsskyddsmyndighetens beslut i pdf-format (pdf, 550 kB)
För mer information kontakta
Jurist Ranja Bunni, telefon 08-657 61 46
Jurist Salli Fanaei, telefon 08-657 61 45
IT-säkerhetsspecialist Adolf Slama, telefon 08-657 61 12
Presstjänsten, 08-515 15 415
Fler nyheter inom ämnet
-
IMY klar med ytterligare granskningar av Meta-pixeln
20 december 2024 -
SKR får inte behandla personuppgifter i den nationella väntetidsdatabasen
19 december 2024 -
EDPB yttrar sig över träning och användning av AI-modeller
18 december 2024 -
Allt fler oroas över att AI gör intrång i den personliga integriteten
29 november 2024
Fler nyheter inom ämnet
-
IMY klar med ytterligare granskningar av Meta-pixeln
20 december 2024 -
SKR får inte behandla personuppgifter i den nationella väntetidsdatabasen
19 december 2024 -
EDPB yttrar sig över träning och användning av AI-modeller
18 december 2024 -
Allt fler oroas över att AI gör intrång i den personliga integriteten
29 november 2024