Pressmeddelande: Barn- och utbildningsförvaltningen ska betala sanktionsavgift: IMY bedömer brister i dataskydd
Integritetsskyddsmyndigheten (IMY) bedömer att Barn- och utbildningsnämnden har brustit i sin skyldighet, enligt artikel 35.1 i dataskyddsförordningen. IMY beslutar att Barn- och utbildningsnämnden i Östersunds kommun ska betala en administrativ sanktionsavgift på 300 000 kronor.
Att Barn- och utbildningsförvaltningen har brustit enligt artikel 35.1 i dataskyddsförordningen innebär att det inte genomförts en konsekvensbedömning innan tjänsten Google Workspace for Education (Google Workspace) började användas i 24 av kommunens skolor hösten 2020.
I februari 2023 beslutade Integritetsskyddsmyndigheten (IMY) att inleda ett tillsynsärende mot Barn- och utbildningsnämnden i Östersunds kommun i syfte att granska om tjänsten används i skolor där nämnden är personuppgiftsansvarig och om denna behandling av personuppgifter i sådant fall är förenlig med dataskyddsbestämmelserna. Tillsynen handlar inte om att personuppgifter har läckt, snarare om brister i hanteringen av konsekvensbedömningen kring Googles tjänster. Syftet med konsekvensbedömning är att identifiera och bedöma vilka risker som finns med en viss personuppgiftsbehandling och ta fram åtgärder för att minimera och hantera dessa risker. Detta för att skydda våra användares personliga integritet.
Sedan anmälan om tillsyn inkom har förvaltningen avsett personella och ekonomiska resurser för att åtgärda bristerna.
Åtgärderna som tagits i korthet:
- Extern genomlysning. Kommunen har tagit hjälp av ett externt företag för att få hjälp med att identifiera säkerhetsbrister i tjänsten, och därefter arbetat med att åtgärda dessa.
- Utredningsarbete. Ett gediget utredningsarbete har utförts, och utförs fortfarande, av tjänstepersoner på barn- och utbildningsförvaltningen och IT-enheten.
- Samarbete. Många kommuner använder samma tjänst. I Norge finns ett samarbete mellan ett antal norska kommuner och deras motsvarighet till Sveriges Kommuner och Regioner (SKR). Östersunds kommun har tagit kontakt med SKR för att se om liknande samarbetsmöjligheter finns i Sverige, med tanke på det stora antal kommuner som idag använder samma tjänst som Östersunds kommun. Detta är fortfarande ett pågående arbete för att se vilka möjligheter till samarbete som finns i frågan.
- Säkerhetsåtgärder. Efter att ha konstaterat att tjänsten används på samma sätt i Nederländerna, har stort fokus legat på att få till samma säkerhetsåtgärder som i Nederländerna där bedömningen gjorts att en adekvat skyddsnivå nåtts genom en mängd tekniska och organisatoriska säkerhetsåtgärder.
- Tecknat avtal. Nämnden har tecknat avtal med Google om utökad licens, vilket bland annat innebär att data grundkrypteras, samt möjliggör för våra utbildade systemadministratörer att arbeta med de säkerhetsinställningar som krävs enligt de identifierade riskerna.
- Fortsatt arbete. Åtgärder kommer fortsätta vidtas för att minska riskerna, och stärka skyddet, av användarnas integritet. Exempelvis pågår ett arbete med en utökad kryptering, där endast Östersunds kommun har åtkomst till krypteringsnycklarna. Förvaltningen har haft, och kommer fortsätta att ha, kontinuerlig kontakt med Google kring arbetet för att säkerställa att personuppgifter hanteras korrekt och säkert.
Kontakt
Vid frågor kontakta: Lars Torin, förvaltningschef Barn- och utbildningsförvaltningen.
Telefon: 063-14 34 66 E-post: Lars.torin@ostersund.se
Tips. Prenumerera på våra nyheter och servicemeddelanden så håller du koll på viktig information från Östersunds kommun. Börja prenumerera