Sverige: Utbildningsnämnden i Stockholms stad bötfälls med 4 miljoner kronor för allvarliga brister i Skolplattformen

Datainspektionen har bötfällt Utbildningsnämnden i Stockholms stad (“Utbildningsnämnden”) med 4 miljoner kronor för allvarliga brister i Skolplattformen.

Av beslutet framgår att Datainspektionen tagit emot ett antal anmälningar om personuppgiftsincidenter från Utbildningsnämnden. Incidenterna rör Skolplattformen, som är det it-system som används för bland annat elevadministration i Stockholm. Skolplattformen innehåller uppgifter om uppåt 500 000 elever, vårdnadshavare och lärare. Systemet innehåller såväl känsliga och integritetskänsliga uppgifter som uppgifter om elever och lärare med sekretessmarkerade uppgifter eller skyddad identitet.

Datainspektionen har granskat fyra delsystem i Skolplattformen och har funnit allvarliga brister. I ett av delsystemen har brister i möjligheten att begränsa användarnas åtkomst till uppgifterna gjort att stora delar av personalen haft möjlighet att komma åt uppgifter om elever med skyddad identitet. I ett annat delsystem har vårdnadshavare på ett relativt enkelt sätt kunnat komma åt andra barns uppgifter om exempelvis betyg och utvecklingssamtal.

I sitt beslut konstaterar Datainspektionen att Utbildningsnämnden inte har säkerställt en lämplig säkerhet för personuppgifterna enligt artikel 5.1 (f) i dataskyddsförordningen (“GDPR”). Utbildningsnämnden har inte heller vidtagit tillräckliga lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken enligt artikel 32.1 i GDPR, vilket bland annat inbegriper ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska säkerhetsåtgärderna.

Datainspektionen konstaterar även att Utbildningsnämnden har behandlat personuppgifter i delsystemen i Skolplattformen i strid med artikel 35 i GDPR, genom att inte ha genomfört konsekvensbedömningar för dessa system trots att behandlingarna sannolikt leder till hög risk för fysiska personers fri- och rättigheter eftersom det är frågan om stora system, med många barn registrerade och med både känsliga- och integritetskänsliga personuppgifter.

Eftersom överträdelserna rört flera hundra tusen registrerade, däribland barn och elever, samt omfattat brister i hanteringen av känsliga och integritetskänsliga personuppgifter som exempelvis uppgifter om personer med skyddad identitet och uppgifter om hälsa, utfärdar Datainspektionen en sanktionsavgift på 4 miljoner kronor för de överträdelser som konstaterats.

Mer information

Myndighet: Integritetsskyddsmyndigheten (IMY)

Land: Sverige

Lagrum: Art. 5 GDPR, art. 32 GDPR, art. 35 GDPR, art. 58 GDPR, art. 83 GDPR, 6 kap. 2 § dataskyddslagen

Sanktionsavgift: 4 000 000 kronor

Mottagare: Utbildningsnämnden i Stockholms stad

Beslutsnummer: DI-2019-7024

Beslutdatum: 2020-11-23

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

09 MAR

Introduktion till dataskyddsförordningen

Lär dig om grunderna i GDPR och vad som gäller vid behandling av personuppgifter.

16 MAR

Molntjänster och tredjelandsöverföringar

Få en genomgång av reglerna för tredjelandsöverföringar vid användning av molntjänster.

23 MAR

Konsekvensbedömning avseende dataskydd

Lär dig att göra en konsekvensbedömning avseende dataskydd i praktiken.