Datainspektionen har bötfällt Utbildningsnämnden i Stockholms stad (“Utbildningsnämnden”) med 4 miljoner kronor för allvarliga brister i Skolplattformen.
Av beslutet framgår att Datainspektionen tagit emot ett antal anmälningar om personuppgiftsincidenter från Utbildningsnämnden. Incidenterna rör Skolplattformen, som är det it-system som används för bland annat elevadministration i Stockholm. Skolplattformen innehåller uppgifter om uppåt 500 000 elever, vårdnadshavare och lärare. Systemet innehåller såväl känsliga och integritetskänsliga uppgifter som uppgifter om elever och lärare med sekretessmarkerade uppgifter eller skyddad identitet.
Datainspektionen har granskat fyra delsystem i Skolplattformen och har funnit allvarliga brister. I ett av delsystemen har brister i möjligheten att begränsa användarnas åtkomst till uppgifterna gjort att stora delar av personalen haft möjlighet att komma åt uppgifter om elever med skyddad identitet. I ett annat delsystem har vårdnadshavare på ett relativt enkelt sätt kunnat komma åt andra barns uppgifter om exempelvis betyg och utvecklingssamtal.
I sitt beslut konstaterar Datainspektionen att Utbildningsnämnden inte har säkerställt en lämplig säkerhet för personuppgifterna enligt artikel 5.1 (f) i dataskyddsförordningen (“GDPR”). Utbildningsnämnden har inte heller vidtagit tillräckliga lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken enligt artikel 32.1 i GDPR, vilket bland annat inbegriper ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska säkerhetsåtgärderna.
Datainspektionen konstaterar även att Utbildningsnämnden har behandlat personuppgifter i delsystemen i Skolplattformen i strid med artikel 35 i GDPR, genom att inte ha genomfört konsekvensbedömningar för dessa system trots att behandlingarna sannolikt leder till hög risk för fysiska personers fri- och rättigheter eftersom det är frågan om stora system, med många barn registrerade och med både känsliga- och integritetskänsliga personuppgifter.
Eftersom överträdelserna rört flera hundra tusen registrerade, däribland barn och elever, samt omfattat brister i hanteringen av känsliga och integritetskänsliga personuppgifter som exempelvis uppgifter om personer med skyddad identitet och uppgifter om hälsa, utfärdar Datainspektionen en sanktionsavgift på 4 miljoner kronor för de överträdelser som konstaterats.