Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att Gyldendal A/S behandling av personuppgifter inte har skett i enlighet med reglerna i dataskyddsförordningen (GDPR).
Av beslutet framgår att Gyldendal tillhandahåller tjänsten Systime Screening, som används av lärare i skolor för att skapa tester. Testerna är utformade för att undersöka om eleverna har akademiska eller kunskapsmässiga styrkor och svagheter. Testerna genomförs i en webbläsare och nås genom att klicka på en länk som skickas via e-post eller genom att manuellt skriva in en webbadress, och är inte föremål för några åtkomstbegränsningar. Detta innebär att vem som helst kan genomföra testet om han eller hon, avsiktligt eller oavsiktligt, anger en fungerande länk. Dessutom bestod länkarna som gav tillgång till testerna av förkortade webbadresser. En webbadress består av åtta tecken och den slumpmässiga delen består av två tecken.
Den enkla webbadressen och avsaknaden av åtkomstbegränsningar för testerna innebar att lärare kunde, och fick, obehörig tillgång till elevernas tester. Tillgången innebar att en elev från en skola fick fylla i ett test som skapats av en lärare från en annan skola. På detta sätt fick lärarna obehörig tillgång till elevernas namn, e-post och screeningresultat.
Gyldendal har medvetet utformat lösningen på detta sätt för att garantera en hög grad av flexibilitet. URL:en förkortades enligt kundernas önskemål, eftersom kunderna hade systemtekniska begränsningar i sin IT-utrustning.
Enligt Datatilsynet följer det av artikel 32.1 GDPR att personuppgiftsansvarig ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till de risker som den behandling som personuppgiftsansvarig utför innebär. Personuppgiftsansvarig är således skyldigt att identifiera de risker som behandlingen innebär för de registrerade och att se till att lämpliga säkerhetsåtgärder vidtas för att skydda de registrerade från dessa risker.
Datatilsynet anser att kravet på adekvat säkerhet normalt kommer att innebära att det i system med ett stort antal konfidentiella och skyddsvärda uppgifter om ett stort antal användare ska ställas högre krav för den som behandlar personuppgifter för att säkerställa att ingen obehörig åtkomst till personuppgifter sker.
En tjänst som tydligt syftar till att behandla och utvärdera skyddsvärda personuppgifter om minderåriga, inklusive yrkesförmåga och härledd hälsoinformation, ställer enligt Datatilsynet större krav på personuppgiftsansvarigs utformning av sin tekniska lösning. Behandlingsaktiviteter som kan nås via en URL ska därför ske på ett sätt som säkerställer nödvändig sekretess, så att tredje part inte potentiellt får insyn i och redigerar åtkomst till information där det inte finns något affärsbehov.
Enligt Datatilsynet är URL-manipulation en typ av programmeringsfelskälla som är allmänt känd och lätt bör motverkas av personuppgiftsansvarig. Dessutom anser Datatilsynet att en förkortad länk bestående av 8 tecken, där den randomiserade delen tar upp 2 tecken, generellt sett inte är ett uttryck för adekvat skydd, eftersom det både finns en fast struktur i strukturen och en extremt begränsad entropi.
Datatilsynet anser också att personuppgiftsansvarig löpande ska göra en bedömning av de risker deras system har vid behandling av personuppgifter. Systemtekniska begränsningar i en personuppgiftsansvarigs IT-upplägg kan inte i sig motivera att det inte finns ett adekvat skydd för registrerades rättigheter.
Baserat på ovanstående finner Datatilsynet att Gyldendal inte har vidtagit lämpliga organisatoriska och tekniska åtgärder att säkerställa en säkerhetsnivå som passar de risker som är förknippade med företagets behandling av personuppgifter.
Efter en genomgång av ärendet finner Datatilsynet därför att det finns skäl att framföra allvarlig kritik mot att Gyldendals behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 GPDR.