Stockholms skolplattform har fått en hel del kritik mot brister i hur personuppgifter hanterats och i början av sommaren kom också en granskning som staden låtit göra för att se vad som gått snett när den utvecklades.

Nu har Datainspektionen granskat incidenter i fyra delsystem och slår fast att det handlat om allvarliga brister i plattformen som innehåller uppgifter om uppåt en halv miljon elever, vårdnadshavare och lärare. Där finns också känsliga uppgifter om exempelvis elever och lärare med skyddad identitet.

– I ett it-system som detta hanteras stora mängder personuppgifter. Då är det oerhört viktigt att den personuppgiftsansvariga har vidtagit tillräckliga säkerhetsåtgärder för att skydda uppgifterna och löpande säkerställer skyddet, säger Ranja Bunni som är jurist på Datainspektionen i en kommentar.

För generösa med behörighet

Ett av de fyra delsystem man tittat på är modulen Skolpliktsbevakning där bland annat uppgifter om elever och deras vårdnadshavare – som namn, adress, personnummer och kontaktuppgifter behandlas. Här finns även uppgifter om elever med skyddad identitet.

Granskningen visar dock på tekniska brister i modulen och att obehöriga personer har kunnat komma åt integritetskänsliga personuppgifter. Det går inte att se det exakta antalet användare som haft faktisk obehörig åtkomst till dessa uppgifter men potentiellt kan det röra sig om 1 302 användare som kunnat komma åt personuppgifter avseende 60 elever med skyddad identitet visar granskningen.

Dessutom anser Datainspektionen att fler har haft behörighet till systemet än som varit motiverat.

Förälder larmade

Datainspektionen har också tittat på det delsystem – Elevdokumentation – där en förälder i början av höstterminen förra året larmade om att det gick att komma åt andra personers information. Det har handlat om sådant som uppgifter om andra elever – förnamn, efternamn, personnummer, skoltyp årskurs, klass men även elevens omdöme ur modulen utvecklingssamtal.

Enligt Datainspektionen är en del av dessa uppgifter att betrakta som känslig – exempelvis elevers hälsa såsom uppgifter som förekommer i olika utredningar om elever eller att elever går till en särskola. Därför bör mycket höga tekniska krav ställas på för att ligga på en lämplig säkerhetsnivå.

Hittat uppgifter om sju personer

Det har också funnits brister på Startsidan där sådant som elevers och lärares namn, e-postadress, skolkoppling, koppling till grupper och mentorsgrupper samt kurser ligger.

I början av sommaren 2019 gjordes det möjligt för vårdnadshavare att söka på andra vårdnadshavare med barn i samma klass under förutsättning att båda samtyckt till det. Men efter två månader visade det sig att det gick att man genom att ändra anrop i utvecklarverktyget i sin webbläsare kunde söka fram andra vårdnadshavare som fanns registrerade på Startsidan med hjälp av personnummer.

Utbildningsnämnden har identifierat en vårdnadshavare som har kommit åt obehörig information om sju unika personer. Ingen av de drabbade hade dock skyddad identitet.

Länkar ute på Google

Det fjärde granskade delsystemet är Administrationsgränssnittet som var gemensamt för de två delsystemen Frånvaro/Närvaro och Schema i Skolplattformen. Här hanterades sådant som namn, personnummer, e-post, telefonnummer, klasstillhörighet, lektionsinformation som ämne och sal, frånvarouppgifter och ansökan om ledighet.

I augusti förra året visade det sig att vårdnadshavare via sökning på Google hittat länkar för inloggning till Administrationsgränssnittet dit vårdnadshavare inte ska kunna logga in. Där har man sedan kunnat ta fram kontaktuppgifter för lärare – även dem med skyddad identitet även om de inte varit markerade och på så sätt kunnat identifieras.

Otillräckllig säkerhet

Bristerna har åtgärdats men Datainspektionen anser att utbildningsnämnden inte har haft en lämplig säkerhet för personuppgifterna eller vidtagit tillräckliga tekniska och organisatoriska åtgärder för att få en säkerhetsnivå som är lämplig i förhållande till risken som att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska säkerhetsåtgärderna.

Resultatet blir att Datainspektionen nu utfärdar en sanktionsavgift på fyra miljoner kronor för de överträdelser som konstaterat. Maxgränsen för myndigheter i Sverige är 10 miljoner kronor.

– Enligt dataskyddsförordningen, GDPR, ska sanktionsavgifter vara effektiva, proportionella och avskräckande. I det här fallet har överträdelserna rört flera hundra tusen registrerade, däribland barn och elever, samt omfattat brister i hanteringen av känsliga och integritetskänsliga personuppgifter som exempelvis uppgifter om personer med skyddad identitet och uppgifter om hälsa, säger Salli Fanaei som också deltagit i Datainspektionens granskning i en kommentar.

Läs också:
Kaosprojekt bakom Skolplattformen – konflikter och bristande kompetens
Skolplattformen: Läckta elevdata utreds – ”men de flesta delarna fungerar ändå”