Integritetsskyddsmyndigheten, IMY, har gett Vklass AB, ett företag som tillhandahåller en lärplattform för grund- och gymnasieskolor i Sverige, en reprimand. Plattformen gör det möjligt för skolpersonal att kommunicera med elever och deras föräldrar.

I september 2022 anmälde företaget en incident till Integritetsskyddsmyndigheten som påverkade cirka 60 personuppgiftsansvariga. De personuppgiftsansvariga som är kunder var både offentliga och privata skolor. Enligt anmälan fanns det misstankar om att information från plattformen obehörigen hade publicerats online.

Plattformsleverantören Vklass kontaktade och informerade skolorna om att information om elever hade publicerats på en webbsida. Informationen som publicerades bestod av för- och efternamn, smeknamn, foton, vilken klass eleven tillhörde, e-postadresser och telefonnummer. I vissa fall fanns inte all information tillgänglig för varje elev i den uppladdade databasen.

Lärplattformens leverantör misstänker att en elev som själv hade tillgång till plattformen olovligen kommit åt uppgifterna. Leverantören misstänker att eleven fick tillgång till uppgifterna genom att manipulera ett så kallat API-anrop.

IMY drog i sin utredning slutsatsen att plattformen brutit mot GDPR på ett allvarligt sätt. För det första uppgav IMY att det var oroande att varje skolas databas inte var isolerad, eftersom det över huvud taget inte borde vara möjligt att extrahera information från mer än en skola. För det andra påpekade IMY att elever är en särskilt sårbar grupp som behöver särskilt skydd. För det tredje påpekade IMY att anledningen till att inrätta en onlineplattform är att skolpersonal, elever och föräldrar ska kunna kommunicera säkert online via kanaler som inte är tillgängliga för allmänheten, och att dessa grupper därför bör kunna förvänta sig att dessa system är säkra. 

Integritetsskyddsmyndigheten konstaterade också att leverantören hade tagit incidenten på allvar och hade infört starkare säkerhetsåtgärder. Även om dessa ansågs otillräckliga övervägde IMY ändå en mindre sträng påföljd. Integritetsskyddsmyndigheten såg dessutom positivt på det faktum att leverantören hade försökt kontakta alla sina kunder så snart den blev medveten om överträdelsen. 

Efter att ha beaktat samtliga omständigheter gav Integritetsskyddsmyndigheten en varning (reprimand) i stället för att påföra leverantören en sanktionsavgift. Reprimanden kombinerades med en anvisning till leverantören att vidta vissa ytterligare tekniska åtgärder, inklusive loggningsfunktioner som kan upptäcka och spåra avvikelser, så att orsaken bakom framtida dataläckor kan fastställas och att deras omfattning kan utredas. 

Läs mer:

Integritetsskyddsmyndigheten, Vklass måste skärpa säkerheten, 25 Aug 2023

Forum för Dataskydd, Dataintrång i Göteborgs stad läroplattform röjde 47 000 grundskoleelevers personuppgifter, 11 Oktober 2022