Bristfälligt dataskydd i skolplattform - höga sanktionsavgifter för svensk kommun

Över en halv miljon elever berörs av de brister som påträffades i plattformen som används för elevadministration av Stockholms Stad. Nu kostar detta kommunen fyra miljoner kronor i sanktionsavgifter.

Integritetsskyddsmyndigheten (IMY) har flera gånger mottagit anmälningar om personuppgiftsincidenter från personal i kommunens utbildningsnämnd. Systemet innehåller integritetskänsliga uppgifter, till exempel uppgifter om elever som lever under skyddad identitet. Därför är incidenterna särskilt allvarliga.

Sanktionsavgiften som IMY beslutat om är på fyra miljoner kronor. Sett ur ett svenskt perspektiv är det ett relativt stort belopp, med en maxgräns på 10 miljoner kronor för sanktionsavgifter mot myndigheter. IMY har endast utfärdat en GDPR-sanktionsavgift som varit större, och då gällde det Google.

IMY motiverar sanktionsavgiften med att överträdelsen har påverkat väldigt många registrerade och innefattat brister i hanteringen av känsliga personuppgifter. Totalt har flera hundra tusen personer påverkats, däribland barn, och det har exempelvis förekommit uppgifter om hälsa och uppgifter om personer med skyddad identitet i plattformen som inte har skyddats tillräckligt.

Av beslutet framgår att utbildningsnämnden har behandlat personuppgifter i strid med artikel 5.1 f och artikel 32.1 i GDPR som båda ställer krav på lämplig säkerhet. Enligt IMY har behörighetsstyrningen i plattformen inte fungerat som önskvärt. Myndigheten beskriver att den personuppgiftsansvariga organisationen inte har vidtagit tillräckliga säkerhetsåtgärder. Man tycker heller inte att utbildningsnämnden haft rutiner som lever upp till kraven som finns för system med så pass många och känsliga personuppgifter.