IMY inleder granskning av Vklass

I dataskyddsförordningen, GDPR, finns en skyldighet för företag, myndigheter och andra organisationer att anmäla vissa personuppgiftsincidenter till IMY. En incident kan till exempel handla om att personuppgifter har blivit förstörda, ändrade, gått förlorade eller kommit i orätta händer genom obehörig åtkomst.

IMY har tagit emot ett 60-tal sådana anmälningar från skolor och kommuner som rör lärplattformen Vklass. Enligt incidentanmälningarna ska någon ha laddat ner personuppgifter om skolelever och lärare från lärplattformen.

– En grundläggande princip i dataskyddsförordningen är att både personuppgiftsansvariga och personuppgiftsbiträden ska skydda de personuppgifter som de behandlar, till exempel så att inte obehöriga får tillgång till dem. Nu inleder vi en granskning av lärplattformen för att utreda den inträffade incidenten, säger Katarina Bengtsson, it- och informationssäkerhetsspecialist på IMY.

I sin granskning ställer IMY ett antal frågor till företaget bakom lärplattformen för att bland annat ta reda på vad som inträffat, hur företaget upptäckte incidenten, omfattningen av incidenten och vilka organisatoriska och tekniska säkerhetsåtgärder som vidtagits före och efter incidenten.