IMY konstaterar att Vklass har behandlat personuppgifter i strid med GDPR
Efter att ha tagit emot ett 60-tal incidentanmälningar rörande lärplattformen Vklass inledde IMY en granskning av bolagets roll som personuppgiftsbiträde åt både kommunala och fristående skolhuvudmän. Plattformen används i huvudsak av skolor för kommunikation mellan elever, deras vårdnadshavare och skolpersonal. Anmälningarna gällde att någon obehörig kommit över personuppgifter om lärare och elever från lärplattformen. Bolaget Vklass, som tillhandahåller lärplattformen, är personuppgiftsbiträde i relation till de personuppgiftsansvariga utbildningsnämnderna och fristående skolhuvudmännen.
Vklass uppgav till IMY att incidenten troligen inträffat genom att en elev skapat ett skript som utnyttjat en sårbarhet i en av plattformens API:er (nu åtgärdad) och automatiskt sparat ner uppgifter därifrån i en egen databas varifrån de publicerats öppet på en webbplats. Webbplatsen är numera nedstängd och händelsen polisanmäld. Bolaget fick kännedom om incidenten från en användare av plattformen som upptäckt webbplatsen. Bolaget uppgav vidare att man inte har kännedom om när den obehöriga uthämtningen av personuppgifter från lärplattformen inträffade eller under hur lång tid eleven samlat på sig data och personuppgifter.
I det beslut som myndigheten fattade den 28 augusti i år, föreläggs Vklass att i enlighet med artikel 32.1 och 2 GDPR vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa bolagets förmåga att kunna identifiera avvikande händelser i lärplattformen och till spårbarhet i syfte att kunna upptäcka och fastställa orsaken till och omfattningen av en inträffad incident. Detta då bolaget inte självt upptäckt den inträffade incidenten och inte heller kunnat utreda den i tillräcklig utsträckning. IMY framhöll att förmågan att ha kontroll över vad som sker och vad som har skett i en verksamhets olika IT-system är grundläggande för att upprätthålla säkerheten för de personuppgifter som behandlas där. Detta är av särskild vikt när det gäller organisationer som tillhandahåller och administrerar IT-system åt andra verksamheter. IMY lyfte här särskilt fram att de registrerade till stor del är barn, vars personuppgifter har ett särskilt skydd enligt skäl 38, GDPR.
IMY konstaterar emellertid också att de olika personuppgiftsansvarigas uppgifter är separerade i bolagets plattform och ett uttag omfattande flera personuppgiftsansvariga därför inte torde vara möjligt. De personuppgifter som hämtats från adressböckerna har inte heller rört känsliga eller skyddade personuppgifter och inte heller omdömen eller fritexter. Vidare har Vklass agerat skyndsamt och informerat de personuppgiftsansvariga när incidenten upptäcktes och snabbt implementerat nya säkerhetssystem i plattformen efter detta. IMY har därför avstått från att påföra Vklass någon sanktionsavgift och istället stannat vid en reprimand enligt artikel 58.2 b GDPR tillsammans med det ovan nämnda föreläggandet.
Beslutet riktar ingen kritik mot de personuppgiftsansvariga skolhuvudmän vars uppgifter röjts ur plattformen.
Av Simon Jernelöv, rådgivare och jurist på JP Infonet.
Ursprungligen publicerad i JP ITnet och JP Skolnet.
Referat av Integritetsskyddsmyndigheten dnr IMY-2022-9092.
Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.
Publicerad 28 sep 2023
Rådgivare, jurist
