Integritetsskyddsmyndigheten (IMY) konstaterar att Vklass AB i egenskap av personuppgiftsbiträde har behandlat personuppgifter i strid med artikel 32.1 i dataskyddsförordningen (GDPR).
Av beslutet framgår att IMY har granskat lärplattformen Vklass efter att ha tagit emot ett stort antal anmälningar om personuppgiftsincidenter. I GDPR finns en skyldighet för verksamheter att i vissa fall anmäla personuppgiftsincidenter till IMY. IMY har tagit emot ett 60-tal anmälningar om en incident som rör lärplattformen Vklass. Anmälarna gör gällande att någon obehörig kommit över personuppgifter om lärare och elever från lärplattformen.
Incidentanmälningarna kommer från kommunala nämnder och privata verksamheter som bedriver skol- och utbildningsverksamhet. Dessa är personuppgiftsansvariga, det vill säga ytterst ansvariga för de personuppgifter som respektive verksamhet hanterar i lärplattformen Vklass. Bolaget Vklass som tillhandahåller lärplattformen är personuppgiftsbiträde i relation till de personuppgiftsansvariga.
Både den personuppgiftsansvariga och personuppgiftsbiträdet har enligt IMY ett ansvar för att säkerställa att personuppgifterna hanteras och skyddas på ett korrekt sätt. I detta ärende har IMY valt att granska Vklass som är personuppgiftsbiträde för en lång rad verksamheter.
Vklass uppger till IMY att incidenten troligen har inträffat genom att en elev skrivit ett skript som automatiskt sparat ner uppgifter från lärplattformen i en egen databas och att de uppgifterna sedan publicerats öppet på en webbplats, som numera är nedstängd. Bolaget fick kännedom om incidenten från en användare av plattformen som upptäckt webbplatsen ifråga. Vklass säger sig dock inte ha kännedom om tidpunkten för när den obehöriga uthämtningen av personuppgifter från lärplattformen inträffade eller under hur lång tid eleven samlat på sig data och personuppgifter.
Att bolaget inte självt upptäckt incidenten och heller inte kan utreda den i tillräcklig utsträckning gör att IMY förelägger Vklass enligt artikel 58.2 (d) GDPR att i enlighet med artikel 32 GDPR vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa bolagets förmåga att kunna identifiera avvikande händelser i lärplattformen Vklass, samt förmåga till spårbarhet i lärplattformen i syfte att kunna upptäcka och fastställa orsaken bakom och omfattningen av en inträffad personuppgiftsincident.
IMY ger även Vklass en reprimand enligt artikel 58.2 (b) GDPR för att inte i tillräckligt hög grad ha skyddat personuppgifterna i lärplattformen från obehörigt röjande.