Vklass måste skärpa säkerheten

Publicerad: 25 augusti 2023

Integritetsskyddsmyndigheten (IMY) har granskat lärplattformen Vklass efter att ha tagit emot ett stort antal anmälningar om personuppgiftsincidenter. Myndigheten konstaterar att Vklass inte skyddat personuppgifterna tillräckligt och att bolaget nu måste förbättra sin förmåga att upptäcka och utreda incidenter.

I dataskyddsförordningen, GDPR, finns en skyldighet för verksamheter att i vissa fall anmäla personuppgiftsincidenter till IMY. Myndigheten har tagit emot ett 60-tal anmälningar om en incident som rör lärplattformen Vklass. Anmälarna gör gällande att någon obehörig kommit över personuppgifter om lärare och elever från lärplattformen.

Incidentanmälningarna kommer från kommunala nämnder och privata verksamheter som bedriver skol- och utbildningsverksamhet. Dessa är personuppgiftsansvariga, det vill säga ytterst ansvariga för de personuppgifter som respektive verksamhet hanterar i lärplattformen Vklass. Bolaget Vklass som tillhandahåller lärplattformen är personuppgiftsbiträde i relation till de personuppgiftsansvariga.

– Både den personuppgiftsansvariga och personuppgiftsbiträdet har ett ansvar för att säkerställa att personuppgifterna hanteras och skyddas på ett korrekt sätt. Här har vi valt att granska Vklass som är personuppgiftsbiträde för en lång rad verksamheter, säger Katarina Bengtsson som är it- och informationssäkerhetsspecialist på IMY.

Vklass uppger till IMY att incidenten troligen har inträffat genom att en elev skrivit ett skript som automatiskt sparat ner uppgifter från lärplattformen i en egen databas och att de uppgifterna sedan publicerats öppet på en webbplats, som numera är nedstängd.

Bolaget fick kännedom om incidenten från en användare av plattformen som upptäckt webbplatsen ifråga. Vklass säger sig dock inte ha kännedom om tidpunkten för när den obehöriga uthämtningen av personuppgifter från lärplattformen inträffade eller under hur lång tid eleven samlat på sig data och personuppgifter.

– Att bolaget inte självt upptäckt incidenten och heller inte kan utreda den i tillräcklig utsträckning gör att vi nu förelägger bolaget att vidta åtgärder som gör det möjligt att upptäcka onormala användarbeteenden i lärplattformen och att kunna spåra vad som skett i systemet.

Bolaget får även en reprimand för att inte i tillräckligt hög grad ha skyddat personuppgifterna i lärplattformen från obehörigt röjande.

Läs beslutet mot Vklass

Relaterade länkar

Beslut tillsyn Vklass (pdf, 142 kB)

För mer information kontakta

It- och informationssäkerhetsspecialist Katarina Bengtsson, 08-515 15 459
Presstjänsten, 08-515 15 415

Senast uppdaterad: 25 augusti 2023

Fler nyheter inom ämnet

Se fler nyheter

Fler nyheter inom ämnet

Se fler nyheter

Senast uppdaterad: 25 augusti 2023

Vi guidar dig

Ska du utföra ett ärende?

Om IMY

Vi guidar dig

Ska du utföra ett ärende?

Om IMY

Om IMY

Om IMY

Vi guidar dig

Ska du utföra ett ärende?

Vi guidar dig

Ska du utföra ett ärende?

Söktips!

Vklass måste skärpa säkerheten

Läs beslutet mot Vklass

För mer information kontakta

Fler nyheter inom ämnet

Planerat underhåll av IMY.se den 12 mars

IMY vill se fortsatta satsningar på dataskyddsområdet

IMY satsar på innovation och klagomålshantering

David Törngren ny vikarierande generaldirektör för IMY

Fler nyheter inom ämnet

Planerat underhåll av IMY.se den 12 mars

IMY vill se fortsatta satsningar på dataskyddsområdet

IMY satsar på innovation och klagomålshantering

David Törngren ny vikarierande generaldirektör för IMY