Skolpersonal kunde komma åt uppgifter om elever med skyddad identitet och föräldrar kunde ta del av andra barns betyg och utvecklingssamtal.
Nu tvingas Stockholms stad betala en sanktionsavgift på fyra miljoner kronor för bristerna it-systemet Skolplattformen.
Det var efter att ha mottagit ett antal anmälningar om personuppgiftsincidenter från utbildningsnämnden i Stocholms stad som Datainspektionen valde att inleda en granskning av Skolplattformen – det it-system som används för bland annat elevadministration i Stockholm och innehåller uppgifter kopplade till en halv miljon elever, föräldrar och lärare.
De rör sig om såväl känsliga och integritetskänsliga uppgifter som uppgifter om elever och lärare med sekretessmarkerade uppgifter eller skyddad identitet.
Kunde logga in som admin med hjälp av Google
Under granskningen av fyra av Skolplattformens delsystem identifierade Datainspektionen ett antal allvarliga brister. Det handlar, bland annat, om brister i möjligheten att begränsa användarnas åtkomst, vilket innebär att skolpersonal kunnat komma åt uppgifter om elever med skyddad identitet. Dessutom har föräldrar, i ett annat delsystem, ”på ett relativt enkelt sätt” haft möjligheten att komma åt uppgifter om andra elevers betyg och anteckningar från utvecklingssamtal. Detta genom att via Googlesökningar hitta länkar för administratörsgränsnittet och där logga in som en administratör.
– I ett it-system som detta hanteras stora mängder personuppgifter. Då är det oerhört viktigt att den personuppgiftsansvariga har vidtagit tillräckliga säkerhetsåtgärder för att skydda uppgifterna och löpande säkerställer skyddet, säger Ranja Bunni som är jurist på Datainspektionen i ett pressmeddelande.
I sitt beslut slår Datainspektionen fast att utbildningsnämnden således inte har säkerställt en lämplig säkerhet för personuppgifterna och inte heller vidtagit tillräckliga lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.
Krävs på fyra miljoner i sanktionsavgift
Mot bakgrund av granskningsfynden beslutar Datainspektionen att utfärda en sanktionsavgift på fyra miljoner kronor för de konstaterade överträdelserna.
– Enligt dataskyddsförordningen, GDPR, ska sanktionsavgifter vara effektiva, proportionella och avskräckande. I det här fallet har överträdelserna rört flera hundra tusen registrerade, däribland barn och elever, samt omfattat brister i hanteringen av känsliga och integritetskänsliga personuppgifter som exempelvis uppgifter om personer med skyddad identitet och uppgifter om hälsa, säger Salli Fanaei, jurist på Datainspektionen.
