Datainspektionen utfärdar ett vite om 4Mkr till Utbildningsnämnden i Stockholm stad.
Vitet gäller stadens skolplattform, som vid en granskning av systemet har visat sig ha allvarliga brister.
Det har bland annat visat sig att systemet saknar möjlighet att på ett relevant sätt begränsa behörigheter för anställda.
Datainspektionen konstaterar att utbildningsnämnden inte har säkerställt en lämplig säkerhet för personuppgifterna. Man har inte heller vidtagit tillräckliga lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken.
I systemet hanteras personuppgifter för 500 000 elever, vårdnadshavare och lärare.
Maximalt vite för myndigheter i Sverige är 10Mkr, så det utdömda vitet utgör 40% av maxbeloppet.
Datainspektionens beslut ger oss några viktiga insikter:
- Tillsyn sker nu även genom faktisk granskning av system och datalagring.
- Det är av absolut vikt att vidta relevanta åtgärder för ”privacy by design” även för historiska data och system
- Det är ett allvarligt brott mot GDPR att sakna, och därmed inte kunna visa, förmåga att begränsa behörighet och tillgång till personuppgifter.
Problemen kan dels, som i Stockholms stads fall, finnas i äldre system, men det största problemet återfinns bland filer och e-post.
Här finns ofta stora mängder okända och dokumenterade personuppgifter, varför behörighetsstyrningen till dessa är obefintlig och helt utan styrning och kontroll.
https://www.datainspektionen.se/nyheter/allvarliga-brister-i-skolplattformen-i-stockholm/