L’Ispettorato dei dati ha esaminato la piattaforma scolastica, il sistema informatico utilizzato, tra le altre cose, per l’amministrazione studentesca delle scuole nella città di Stoccolma. La revisione mostra carenze nella sicurezza che sono così gravi che l’autorità emette una sanzione amministrativa di 4 milioni di SEK nei confronti del Board of Education della città di Stoccolma.
L’Ispettorato dei dati ha ricevuto una serie di segnalazioni di incidenti relativi ai dati personali dal Board of Education della città di Stoccolma. Gli incidenti riguardano la School Platform, che è il sistema informatico utilizzato, tra le altre cose, per l’amministrazione studentesca a Stoccolma. La piattaforma della scuola contiene informazioni su oltre 500.000 studenti, tutori e insegnanti. Il sistema contiene informazioni sensibili e sensibili alla privacy, nonché informazioni su studenti e insegnanti con informazioni riservate o identità protetta.
L’autorità ha esaminato quattro sottosistemi nella piattaforma scolastica e ha riscontrato gravi carenze. In uno dei sottosistemi, le carenze nella possibilità di limitare l’accesso degli utenti ai dati hanno fatto sì che gran parte del personale abbia avuto la possibilità di accedere ai dati sugli studenti con identità protetta. In un altro sottosistema, i tutori sono stati in grado di accedere alle informazioni di altri bambini, ad esempio, sui voti e sui colloqui di sviluppo in un modo relativamente semplice. Attraverso le ricerche su Google è stato possibile trovare link per accedere ad un’interfaccia di amministrazione e trovare informazioni su docenti con identità protette.
In un sistema informatico come questo vengono trattate grandi quantità di dati personali. Quindi è estremamente importante che la persona responsabile dei dati personali abbia adottato misure di sicurezza sufficienti per proteggere i dati e garantisca costantemente la protezione. Ranja Bunni, avvocato presso l’ispettorato svedese dei dati e che ha partecipato alla revisione.
Nella sua decisione, l’ispettorato dei dati: il Board of Education non ha garantito un’adeguata sicurezza per i dati personali.
Il Consiglio, inoltre, non ha adottato misure tecniche e organizzative sufficienti per garantire un livello di sicurezza adeguato in relazione al rischio, che include una procedura per testare, esaminare e valutare regolarmente l’efficacia delle misure tecniche di sicurezza.
L’Ispettorato dei dati emette una penale di 4 milioni di SEK per le violazioni accertate. In Svezia, il limite massimo per le sanzioni contro le autorità è di 10 milioni di SEK.
Secondo il regolamento sulla protezione dei dati, GDPR, le penali devono essere effettive, proporzionate e dissuasive. In questo caso, le violazioni hanno colpito centinaia di migliaia di dichiaranti, compresi bambini e studenti, e includevano carenze nel trattamento di dati personali sensibili alla privacy come i dati su persone con identità protette e dati sulla salute.
beslut-tillsyn-stockholms-stad