Dataintrång i Göteborgs stad läroplattform röjde 47 000 grundskoleelevers personuppgifter
Författare: Kave Noori
Enligt ett pressmeddelande från Göteborgs stad den 8 oktober fick grundskoleförvaltningen reda på ett omfattande dataintrång kvällen innan. I pressmeddelandet står det att en enskild person hade laddat ner personuppgifter om 47 000 elever från lärplattformen “Vklass”. När Grundskoleförvaltningen fick kännedom om incidenten stängde de omedelbart av all tillgång till systemet.
Enligt pressmeddelandet anmäldes händelsen till både polisen och Integritetsskyddsmyndigheten (IMY). Göteborgs stad utgår från att den utlämnade informationen varken är hemlig eller särskilt känslig. I pressmeddelandet anges att den information som kom att röjas var elevens namn, klass, timplan och årskurs. All denna information är offentlig och kan lämnas till vem som helst genom en begäran att ta del av allmänna handlingar
“Grundskoleförvaltningen ser ytterst allvarligt på det inträffade samt att säkerheten i lärplattformen inte kan garantera att personuppgifter är möjliga att komma åt och ladda ner. Särskilt allvarligt är det att elevers uppgifter inte har varit säkra. Vi kommer att göra allt som är möjligt för att säkerställa att vi minimerar skadan och att någonting liknande inte kan ske igen.” förklarar Kristian Johansson, säkerhetschef i Göteborgs grundskoleförvaltning.
När pressmeddelandet publicerades var Göteborgs stad inte medveten om hur intrånget kunde ha inträffat. I en artikel i Aftonbladet den 8 oktober berättar dock Kristian Johansson att elevernas personuppgifter erbjöds till försäljning på en “extern webbplats”. I Aftonbladets artikel uttrycker han att föräldrar inte behöver vara oroliga för att spridningen av enskilda elevers uppgifter i sig ska utgöra en fara. Det är mer på grund av omfattningen av personuppgiftsincidenten, det vill säga det stora antalet berörda elever som gör att grundskoleförvaltningen betraktar detta som ett allvarligt dataintrång, säger Kristian Johansson
Regler om personuppgiftsincidenter
En personuppgiftsincident är en säkerhetsincident som resulterar i oavsiktlig eller olaglig förstörelse, förlust eller ändring av personuppgifter. Det kan också resultera i obehörigt utlämnande av eller tillgång till personuppgifter. I båda fallen rör det sig om personuppgiftsincidenter. Personuppgiftsincidenter kan inträffa på olika sätt, till exempel genom att en obehörig får tillgång till personuppgifter, att datorer med personuppgifter förloras eller stjäls, att någon ändrar personuppgifter utan tillstånd eller att personuppgifter inte längre är tillgängliga för den person som behöver dem. Du kan läsa mer på IMYs webbplats.
Läs mer här:
Grundskoleförvaltningen, pressmeddelande den 7 okt 2022
Aftonbladet artikel 8 oktober 2022
Integritetsskyddsmyndighetens hemsida om personuppgiftsincidenter
