Bøde på fire mio. svenske kroner for manglende sikkerhed i svensk skoleplatform

Overtrædelse af databeskyttelsesforordningen

Det svenske datatilsyn, Datainspektionen, tildelte en offentlig myndighed en bøde på fire mio. svenske kroner for en række overtrædelser af databeskyttelsesforordningen.

Overtrædelserne skete i en svensk skoleplatform som 500.000 elever, forældre og lærere benyttede til kommunikation og administration. Platformen indeholdt store mængder personoplysninger, herunder følsomme personoplysninger i form af helbredsoplysninger samt fortrolige oplysninger om adressebeskyttelse.

Skoleplatformen bestod af en række moduler. I et modul var det muligt for en stor del af personalet at få uautoriseret adgang til oplysninger om studerende med adressebeskyttelse. I et andet modul kunne forældre få uautoriseret adgang til andre børns oplysninger om f.eks. karakterer og elevsamtaler. Det var også muligt at finde links på Google til administratorgrænsefladen og få adgang til oplysninger om lærere med adressebeskyttelse.

Det svenske datatilsyn fandt, at databeskyttelsesforordningens artikel 5, stk. 1, litra f, der bl.a. beskytter den registrerede mod uautoriseret eller ulovlig behandling, og artikel 32, som kræver passende tekniske og organisatoriske sikkerhedsforanstaltninger, ikke var overholdt. Den dataansvarlige offentlige myndighed havde dermed ikke iværksat passende tekniske og organisatoriske sikkerhedsforanstaltninger, herunder regelmæssige tests, undersøgelser og evaluering af sikkerhedsniveauet og -foranstaltningerne.

Det svenske datatilsyn konstaterede også, at en konsekvensanalyse vedrørende databeskyttelse efter databeskyttelsesforordningens artikel 35 (DPIA) ikke var foretaget som påkrævet. Det var tilsynets opfattelse, at en DPIA var påkrævet, da der var tale om et stort IT-system med mange registrerede børn samt følsomme og fortrolige personoplysninger, som sandsynligvis indebar en høj risiko for de registreredes rettigheder og frihedsrettigheder.

Bøden på fire mio. svenske kroner skyldes ifølge tilsynet, at overtrædelserne påvirkede flere hundrede tusinde registrerede, herunder børn og studerende, og at overtrædelserne vedrører følsomme og fortrolige personoplysninger.

Hvad viser afgørelsen?

Afgørelsen viser, at store IT-systemer udgør en særlig risiko for alvorlige overtrædelser af databeskyttelsesforordningen. Det skyldes, at store IT-systemer kan indeholde store mængder af personoplysninger, herunder ofte følsomme og fortrolige personoplysninger, og at sikkerhedshuller kan få store konsekvenser.

Det er derfor afgørende, at databeskyttelsesreglernes krav indtænkes i forbindelse med udvikling og indkøb af IT-systemer. Det indebærer bl.a., at forordningens krav om passende tekniske og organisatoriske sikkerhedsforanstaltninger skal iværksættes på baggrund af risikovurderinger. IT-systemet skal være tilstrækkeligt testet og afprøvet, før det lanceres til brugerne. Afgørelsen viser også, at det er nødvendigt regelmæssigt at teste og evaluere sikkerhedsforanstaltningerne.

Før behandlingen af personoplysninger i IT-systemet igangsættes skal det klarlægges, om en konsekvensanalyse vedrørende databeskyttelse (DPIA) er påkrævet. For at nedbringe risikoen for de registrerede skal sikkerhedsforanstaltninger, der kan afbøde de identificerede risici, iværksættes.

Vær også opmærksom på databeskyttelsesforordningens krav om databeskyttelse gennem standardindstillinger (Privacy by default) og indbygget databeskyttelse (Privacy by design) indebærer, at IT-systemer skal være designet og indrettet så kravene til f.eks. grundlæggende behandlingsprincipper og sikkerhed overholdes. Det kan være meget vanskeligt efterfølgende at rette op på disse krav, og det er derfor vigtigt at have dem for øje under udviklingen og indkøbet af IT-systemet.