Hoppa till innehåll på sidan

Allvarliga brister i Skolplattformen i Stockholm

Publicerad: 24 november 2020
IMY har granskat Skolplattformen, det it-system som används för bland annat elevadministration av skolor i Stockholm stad. Granskningen visar på brister i säkerheten som är så allvarliga att myndigheten utfärdar en administrativ sanktionsavgift på fyra miljoner kronor mot utbildningsnämnden i Stockholm stad.

Integritetsskyddsmyndigheten har tagit emot ett antal anmälningar om personuppgiftsincidenter från utbildningsnämnden i Stockholm stad. Incidenterna rör Skolplattformen, som är det it-system som används för bland annat elevadministration i Stockholm. Skolplattformen innehåller uppgifter om uppåt 500 000 elever, vårdnadshavare och lärare. Systemet innehåller såväl känsliga och integritetskänsliga uppgifter som uppgifter om elever och lärare med sekretessmarkerade uppgifter eller skyddad identitet.

Myndigheten har granskat fyra delsystem i Skolplattformen och har funnit allvarliga brister. I ett av delsystemen har brister i möjligheten att begränsa användarnas åtkomst till uppgifterna gjort att stora delar av personalen haft möjlighet att komma åt uppgifter om elever med skyddad identitet. I ett annat delsystem har vårdnadshavare på ett relativt enkelt sätt kunnat komma åt andra barns uppgifter om exempelvis betyg och utvecklingssamtal. Via sökningar på Google har det varit möjligt att hitta länkar för inloggning till ett administrationsgränssnitt och där komma över uppgifter om lärare med skyddad identitet.

– I ett it-system som detta hanteras stora mängder personuppgifter. Då är det oerhört viktigt att den personuppgiftsansvariga har vidtagit tillräckliga säkerhetsåtgärder för att skydda uppgifterna och löpande säkerställer skyddet, säger Ranja Bunni som är jurist på Integritetsskyddsmyndigheten och som deltagit i granskningen.

I sitt beslut konstaterar Integritetsskyddsmyndigheten att utbildningsnämnden inte har säkerställt en lämplig säkerhet för personuppgifterna. Nämnden har inte heller vidtagit tillräckliga lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, vilket bland annat inbegriper ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska säkerhetsåtgärderna.

Integritetsskyddsmyndigheten utfärdar en sanktionsavgift på fyra miljoner kronor för de överträdelser som konstaterats. I Sverige är maxgränsen för sanktionsavgifter mot myndigheter 10 miljoner kronor.

– Enligt dataskyddsförordningen, GDPR, ska sanktionsavgifter vara effektiva, proportionella och avskräckande. I det här fallet har överträdelserna rört flera hundra tusen registrerade, däribland barn och elever, samt omfattat brister i hanteringen av känsliga och integritetskänsliga personuppgifter som exempelvis uppgifter om personer med skyddad identitet och uppgifter om hälsa, säger Salli Fanaei som också deltagit i Integritetsskyddsmyndighetens granskning.

Läs Integritetsskyddsmyndighetens beslut i pdf-format (pdf, 550 kB)

För mer information kontakta

Jurist Ranja Bunni, telefon 08-657 61 46

Jurist Salli Fanaei, telefon 08-657 61 45

IT-säkerhetsspecialist Adolf Slama, telefon 08-657 61 12

Presstjänsten, 08-515 15 415

Senast uppdaterad: 5 maj 2021
Sidans etiketter Dataskydd, Utbildning
Senast uppdaterad: 5 maj 2021
Sidans etiketter Dataskydd, Utbildning