Tillbaka till huvudmeny

Bristfälligt dataskydd i skolplattform leder till höga sanktionsavgifter för svensk kommun

Över en halv miljon elever berörs av de brister som påträffades i plattformen, vilket nu kostar fyra miljoner kronor i sanktionsavgifter.

Över en halv miljon elever berörs av de brister som påträffades i plattformen som används för elevadministration av Stockholms Stad. Nu kostar detta kommunen fyra miljoner kronor i sanktionsavgifter.

Integritetsskyddsmyndigheten (IMY) har flera gånger mottagit anmälningar om personuppgiftsincidenter från personal i kommunens utbildningsnämnd. Systemet innehåller integritetskänsliga uppgifter, till exempel uppgifter om elever som lever under skyddad identitet. Därför är incidenterna särskilt allvarliga.

Sanktionsavgiften som IMY beslutat om är på fyra miljoner kronor. Sett ur ett svenskt perspektiv är det ett relativt stort belopp, med en maxgräns på 10 miljoner kronor för sanktionsavgifter mot myndigheter. IMY har endast utfärdat en GDPR-sanktionsavgift som varit större, och då gällde det Google.

Läs också: Kan systemkrav förbättra rektorers arbetsmiljö?

IMY motiverar sanktionsavgiften med att överträdelsen har påverkat väldigt många registrerade och innefattat brister i hanteringen av känsliga personuppgifter. Totalt har flera hundra tusen personer påverkats, däribland barn, och det har exempelvis förekommit uppgifter om hälsa och uppgifter om personer med skyddad identitet i plattformen som inte har skyddats tillräckligt.

Av beslutet framgår att utbildningsnämnden har behandlat personuppgifter i strid med artikel 5.1 f och artikel 32.1 i GDPR som båda ställer krav på lämplig säkerhet. Enligt IMY har behörighetsstyrningen i plattformen inte fungerat som önskvärt. Myndigheten beskriver att den personuppgiftsansvariga organisationen inte har vidtagit tillräckliga säkerhetsåtgärder. Man tycker heller inte att utbildningsnämnden haft rutiner som lever upp till kraven som finns för system med så pass många och känsliga personuppgifter.

Mest populära

  • Kan arbetsgivare betala ut pengar istället för semester?

    När semesteråret når sitt slut, och de anställda har semesterdagar kvar, vad kan du som arbetsgivare göra? Kan du betala ut pengar istället för att ge medarbetaren semester? Det är en vanlig fråga, och svaret finns i semesterlagen.

  • Räknas restid som arbetstid?

    Betald restid – en definitionsfråga med flera svar. Många yrkesgrupper spenderar många timmar i veckan på att resa mellan olika projekt eller arbetsplatser. Det finns tillfällen då restid räknas som arbetstid. Däremot räknas inte resan till och från den ordinarie arbetsplatsen som restid – dina medarbetare har alltså inte rätt till kompensation för tiden de lägger på att ta sig till arbetet.