Incidenterna rör Skolplattformen, som är det it-system som används för bland annat elevadministration i Stockholm. Skolplattformen innehåller uppgifter om uppåt 500 000 elever, vårdnadshavare och lärare. Systemet innehåller såväl känsliga och integritetskänsliga uppgifter som uppgifter om elever och lärare med sekretessmarkerade uppgifter eller skyddad identitet.
I sitt beslut konstaterar Datainspektionen att utbildningsnämnden inte har säkerställt en lämplig säkerhet för personuppgifterna. Nämnden har inte heller vidtagit tillräckliga lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, vilket bland annat inbegriper ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska säkerhetsåtgärderna.
Dag Wetterberg uttalar sig om den höga sanktionen:
Vi noterar ännu en gång att dataskyddsmyndigheterna i Europa ser allvarligt på organisationers IT-säkerhetsarbete (artikel 32 i Dataskyddsförordningen). Det är även viktigt att följa de grundläggande principerna i förordningen rörande konfidentialitet- samt ändamålet med personuppgiftshanteringen. Att spara uppgifter för att ”de är bra att ha” är inget vi rekommenderar.
