Vklass måste skärpa säkerheten
I dataskyddsförordningen, GDPR, finns en skyldighet för verksamheter att i vissa fall anmäla personuppgiftsincidenter till IMY. Myndigheten har tagit emot ett 60-tal anmälningar om en incident som rör lärplattformen Vklass. Anmälarna gör gällande att någon obehörig kommit över personuppgifter om lärare och elever från lärplattformen.
Incidentanmälningarna kommer från kommunala nämnder och privata verksamheter som bedriver skol- och utbildningsverksamhet. Dessa är personuppgiftsansvariga, det vill säga ytterst ansvariga för de personuppgifter som respektive verksamhet hanterar i lärplattformen Vklass. Bolaget Vklass som tillhandahåller lärplattformen är personuppgiftsbiträde i relation till de personuppgiftsansvariga.
– Både den personuppgiftsansvariga och personuppgiftsbiträdet har ett ansvar för att säkerställa att personuppgifterna hanteras och skyddas på ett korrekt sätt. Här har vi valt att granska Vklass som är personuppgiftsbiträde för en lång rad verksamheter, säger Katarina Bengtsson som är it- och informationssäkerhetsspecialist på IMY.
Vklass uppger till IMY att incidenten troligen har inträffat genom att en elev skrivit ett skript som automatiskt sparat ner uppgifter från lärplattformen i en egen databas och att de uppgifterna sedan publicerats öppet på en webbplats, som numera är nedstängd.
Bolaget fick kännedom om incidenten från en användare av plattformen som upptäckt webbplatsen ifråga. Vklass säger sig dock inte ha kännedom om tidpunkten för när den obehöriga uthämtningen av personuppgifter från lärplattformen inträffade eller under hur lång tid eleven samlat på sig data och personuppgifter.
– Att bolaget inte självt upptäckt incidenten och heller inte kan utreda den i tillräcklig utsträckning gör att vi nu förelägger bolaget att vidta åtgärder som gör det möjligt att upptäcka onormala användarbeteenden i lärplattformen och att kunna spåra vad som skett i systemet.
Bolaget får även en reprimand för att inte i tillräckligt hög grad ha skyddat personuppgifterna i lärplattformen från obehörigt röjande.
För mer information kontakta
It- och informationssäkerhetsspecialist Katarina Bengtsson, 08-515 15 459
Presstjänsten, 08-515 15 415
Fler nyheter inom ämnet
-
Nya föreskrifter förenklar för företag att genomföra kontroller mot sanktionslistor
29 oktober 2024 -
IMY söker innovationsprojekt med GPDR-utmaningar
7 oktober 2024 -
IMY och fyra banker i GDPR-projekt för minskad penningtvätt
24 september 2024 -
Integritetsskyddsmyndigheten får ökade anslag
19 september 2024
Fler nyheter inom ämnet
-
Nya föreskrifter förenklar för företag att genomföra kontroller mot sanktionslistor
29 oktober 2024 -
IMY söker innovationsprojekt med GPDR-utmaningar
7 oktober 2024 -
IMY och fyra banker i GDPR-projekt för minskad penningtvätt
24 september 2024 -
Integritetsskyddsmyndigheten får ökade anslag
19 september 2024