It-systemet Skolplattformen, som kostat upp mot en miljard kronor att bygga sedan 2013, har dragit på sig flera anmälningar gällande personuppgiftsincidenter. Säkerhetsluckan exponerades av en privatperson tillika förälder i fjol vilket ledde till att delar av plattformen stängdes ned.
Skolplattformen innehåller uppgifter om uppåt 500 000 elever, vårdnadshavare och lärare i Stockholms stad och Datainspektionen har har granskat fyra delsystem i Skolplattformen och funnit allvarliga brister.
I ett system har det varit möjligt för stora delar av personalen att komma åt uppgifter om elever med skyddad identitet.
I ett annat delsystem har vårdnadshavare på ett relativt enkelt sätt kunnat komma åt andra barns uppgifter om exempelvis betyg och utvecklingssamtal. Via sökningar på Google har det varit möjligt att hitta länkar för inloggning till ett administrationsgränssnitt och där komma över uppgifter om lärare med skyddad identitet.
”I ett it-system som detta hanteras stora mängder personuppgifter. Då är det oerhört viktigt att den personuppgiftsansvariga har vidtagit tillräckliga säkerhetsåtgärder för att skydda uppgifterna och löpande säkerställer skyddet”, säger Ranja Bunni som är jurist på Datainspektionen och som deltagit i granskningen.
Datainspektionen skriver att utbildningsnämnden inte har säkerställt en lämplig säkerhet för personuppgifterna. Nämnden har inte heller vidtagit tillräckliga lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, vilket bland annat inbegriper ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska säkerhetsåtgärderna.
Datainspektionen utfärdar en sanktionsavgift på fyra miljoner kronor för de överträdelser som konstaterats. I Sverige är maxgränsen för sanktionsavgifter mot myndigheter 10 miljoner kronor.
”Enligt dataskyddsförordningen, gdpr, ska sanktionsavgifter vara effektiva, proportionella och avskräckande. I det här fallet har överträdelserna rört flera hundra tusen registrerade, däribland barn och elever, samt omfattat brister i hanteringen av känsliga och integritetskänsliga personuppgifter som exempelvis uppgifter om personer med skyddad identitet och uppgifter om hälsa”, säger Salli Fanaei som också deltagit i Datainspektionens granskning.