Stockholms stads skolplattform innehåller uppgifter om runt 500 000 elever, vårdnadshavare och lärare. Systemet innehåller såväl känsliga och integritetskänsliga uppgifter som uppgifter om elever och lärare med sekretessmarkerade uppgifter eller skyddad identitet.
Myndigheten har granskat fyra delsystem i Skolplattformen och har funnit allvarliga brister. I ett av delsystemen har brister i möjligheten att begränsa användarnas åtkomst till uppgifterna gjort att stora delar av personalen haft möjlighet att komma åt uppgifter om elever med skyddad identitet. I ett annat delsystem har vårdnadshavare på ett relativt enkelt sätt kunnat komma åt andra barns uppgifter om exempelvis betyg och utvecklingssamtal. Via sökningar på Google har det varit möjligt att hitta länkar för inloggning till ett administrationsgränssnitt och där komma över uppgifter om lärare med skyddad identitet.
– I ett it-system som detta hanteras stora mängder personuppgifter. Då är det oerhört viktigt att den personuppgiftsansvariga har vidtagit tillräckliga säkerhetsåtgärder för att skydda uppgifterna och löpande säkerställer skyddet, säger Ranja Bunni som är jurist på Datainspektionen och som deltagit i granskningen.
I sitt beslut konstaterar Datainspektionen att utbildningsnämnden inte har säkerställt en lämplig säkerhet för personuppgifterna. Nämnden har inte heller vidtagit tillräckliga lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, vilket bland annat inbegriper ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska säkerhetsåtgärderna.
Datainspektionen utfärdar en sanktionsavgift på fyra miljoner kronor för de överträdelser som konstaterats. I Sverige är maxgränsen för sanktionsavgifter mot myndigheter 10 miljoner kronor.
– Enligt dataskyddsförordningen, GDPR, ska sanktionsavgifter vara effektiva, proportionella och avskräckande. I det här fallet har överträdelserna rört flera hundra tusen registrerade, däribland barn och elever, samt omfattat brister i hanteringen av känsliga och integritetskänsliga personuppgifter som exempelvis uppgifter om personer med skyddad identitet och uppgifter om hälsa, säger Salli Fanaei som också deltagit i Datainspektionens granskning.