Säkerhetsbrister. Föräldrar har på ett relativt lätt sätt kunnat komma åt andra barns uppgifter om exempelvis betyg och utvecklingssamtal, visar Datainspektionens granskning. Foto: Arkivfoto: Sacharias Källdén

Flera miljoner i straffavgift efter brister i Skolplattformen

Stockholms hårt kritiserade it-satsning Skolplattformen har haft så allvarliga säkerhetsbrister att staden tvingas betala en straffavgift på fyra miljoner kronor. Det har Datainspektionen beslutat.

  • Publicerad 12:24, 24 nov 2020

Mitt i har tidigare rapporterat om säkerhetsluckor i Stockholms stads skolplattform, som innehåller uppgifter om runt 500 000 elever, vårdnadshavare och lärare.

Nu visar Datainspektionens granskning av it-systemet, som bland annat används för elevadministration av skolor i staden, på så allvarliga brister i säkerheten att staden tvingas betala en sanktionsavgift på fyra miljoner kronor.

Enligt myndigheten har stora delar av personalen i ett av de granskade delsystemen haft möjlighet att komma åt uppgifter om elever med skyddad identitet. Föräldrar har på ett relativt lätt sätt kunnat komma åt andra barns uppgifter om exempelvis betyg och utvecklingssamtal. Via Google-sökningar har det varit möjligt att hitta länkar för att logga in till ett administrationsgränssnitt och där se uppgifter om lärare med skyddad identitet.

Bristande riskanalys och kontroll

Enligt dataskyddsförordningen, GDPR, ska sanktionsavgifter vara effektiva, proportionella och avskräckande. Så här säger Salli Fanaei, som varit delaktig i granskningen på Datainspektion, om beslutet att kräva staden på fyra miljoner kronor.

– Vår bedömning i det här fallet är att de här uppgifterna rör så många, flera hundra tusen registrerade, och är så känsliga, när det gäller skyddade personuppgifter finns risk för liv om obehöriga kommer åt dem. Dessutom är elever en utpekat sårbar grupp, säger Salli Fanaei.

Skolplattformen sågas i ny rapport – men ingen ansvarig

Datainspektionen slår fast att stadens utbildningsnämnd inte har säkerställt en lämplig säkerhet för personuppgifterna.

– Det här är ett enormt system med alltifrån namn och adresser men även uppgifter om hälsa, utvecklingssamtal och skyddade identiteter. Då ställs det krav på hög säkerhet för att skydda personuppgifterna. Därför måste man i förväg analysera vilka säkerhetsåtgärder som är lämpliga och fortlöpande testa och utvärdera de åtgärder man har vidtagit. Där har man brustit, säger Salli Fanaei.

Staden: "Tar kritiken på stort allvar"

Staden ska nu noga läsa igenom Datainspektionens beslut och ta till sig av kritiken, uppger utbildningsdirektör Lena Holmdahl.

– Vi tar den kritik som Datainspektionen framför på stort allvar och kan konstatera att situationen varit långt ifrån acceptabel när det gäller skydd av personuppgifterna. Vi har åtgärdat de systembrister som Datainspektionen lyfter och fortsätter att vidta åtgärder för att bristerna inte ska uppstå igen, säger hon i ett pressmeddelande.