It-værktøj gav ulovlig adgang til børns data i 10 år: Gyldendal får alvorlig kritik af Datatilsynet

30. august kl. 05:00
Elev.
Illustration: Jakob Vind.
I en ny afgørelse skælder Datatilsynet ud på Danmarks største forlag for at lave et testværktøj, som giver lærere uautoriseret adgang til elevers personoplysninger.

De seneste ti år har danske folkeskolelærere haft uautoriseret adgang til elevers personoplysninger gennem et værktøj fra Gyldendal, og derfor udtaler Datatilsynet nu alvorlig kritik af forlaget.

Det skriver tilsynsmyndigheden på sin hjemmeside.

Problemet er opstået med Gyldendals tjeneste ‘Systime Screening’, som lærere kan bruge til at lave test til eleverne. Gennem et link eller ved at indtaste en URL kan barnet tilgå testen, som giver et 'øjebliksbillede’ af elevens faglige styrker og svagheder.

Læreren får adgang til resultatet sammen med elevens navn og e-mail, men efter fire anmeldelser til Datatilsynet står det klart, at der er problemer med uautoriseret adgang til testresultaterne.

Artiklen fortsætter efter annoncen

Når en elev indtaster en URL, får han eller hun direkte adgang til testen uden yderligere verificering. Hvis en elev fra skole ‘a’ taster en URL tilknyttet en test, som er lavet af en lærer på skole ‘b’, får skole b’s lærer adgang til personoplysninger fra skole a’s elev.

Ifølge afgørelsen oplyser Gyldendal til Datatilsynet, at den manglende verificering er et bevidst designvalg for at skabe mere fleksibilitet om løsningen. Derudover har skolerne ønsket, at der blev anvendt en URL-forkorter, som forlaget også har imødekommet.

Værktøjet bliver brugt på 128 skoler, og derfor er mange mindreårige potentielt blevet ramt af sikkerhedsbruddet. Gyldendal har dog ikke et overblik over omfanget, da virksomheden ikke kan se, hvem linksene er delt med.

Adgangen til personoplysningerne er et brud på GDPR, som skærper sikkerhedskravet, når der er tale om børn. Derfor har Datatilsynet givet Gyldendal alvorlig kritik, som dog har samarbejdet i sagen, og det har gjort straffen mindre.

Forlaget gjorde de dataansvarlige opmærksomme på problemet den 13. august sidste år, og efterfølgende har man lavet justeringer af URLen, så det er sværere at taste forkert. Derudover har Gyldendal lavet en vejledning til medarbejdere, der instruerer dem i, hvad de skal være opmærksomme på, når de bruger systemet.

Har allerede udsigt til GDPR-bøde

Det er ikke første gang, Gyldendal er i fedtefadet hos Datatilsynet. Forlaget kan potentielt se frem til en bøde på 1 millioner kroner, efter Datatilsynet i slutningen af juni i år politianmeldte virksomheden.

Forlaget havde gemt 685.000 gamle medlemmers personoplysninger uden grund i en passiv database uden retningslinjer for sletning. For 395.000 af de tidligere medlemmer var der tale om en ulovlig opbevaring i over ti år.

I sommers forsikrede Datatilsynet Version2 om, at der hverken var tale om fortrolige eller følsomme oplysninger, men kunne ikke komme de konkrete data-typer nærmere. Rækken af sager stopper dog ikke her.

I sommers kunne Version2 afsløre, at en sårbarhed hos Gyldendal har ledt til, at en ukendt hacker har kunnet lave 73.000 opslag på institutioner og folkeskoleklasser over to dage. På den måde har vedkommende fået adgang til elevernes navne, brugernavne til det såkaldte UNI-login, tilknytning til institution og skole og klasse.

Forlaget anmeldte selv sikkerhedsbruddet til Datatilsynet, som ifølge anmeldelsen kan have ramt op mod 750.000 skolebørn og lærere. Tilsynsmyndigheden har endnu ikke afgjort sagen.

Ingen kommentarer endnu.  Start debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger