Dataintrånget vid fostrans- och utbildningssektorn vid Helsingfors stad har väckt frågor om hur dataskyddet fungerar vid staden i allmänhet och inom sektorn i synnerhet. Dataintrånget upptäcktes den 30 april.
Dataintrånget riktades mot en nätverksenhet där det fanns personuppgifter om elever och studerande födda mellan åren 2005 och 2018. Intrånget var möjligt för att en server inte hade uppdaterats, fastän den borde.
Svenska Yle kan nu berätta om ett annat fall inom fostrans- och utbildningssektorn där det funnits tydliga brister i datasäkerheten. Uppgifterna hittas i dokument från Dataombudsmannens byrå.
Dataskyddsombudet mejlade chefer
Stadens elevvård har en webbplats, jelppii.fi, där elever kan skicka meddelande via en blankett till sin skolas kurator eller psykolog. Webbplatsen upprätthölls tidigare av ett it-företag.
I början av oktober 2019 skickar dåvarande dataskyddsombudet vid fostrans- och utbildningssektorn ett mejl till flera chefer inom elevvården och dataförvaltningen. Mejlet handlar om blanketten.
”Användarna borde informeras om hur deras personuppgifter behandlas. Via blanketten kan det komma hur känsliga saker som helst och vi ska vara säkra på att blanketten och hela behandlingsprocessen är säker. Därför frågar jag vilken instans som upprätthåller jelppii.fi och är innehållsansvarig för den. Vet ni?” (översatt från finska).
”Betydande risk att känsliga personuppgifter hamnar i fel händer”
Dataskyddsombudet får till svar att ett företag har skapat webbsidan och att den finns i sektorns molntjänst.
Men hans oro stillas inte utan han fortsätter fråga om det är säkert att skicka information via blanketten och vem som kan ta del av den.
Det här är byggt med omsorg som Isakskatedralen
En chef svarar honom ”Jag måste inflika här emellan att det här är byggt med omsorg som Isakskatedralen”.
Dataskyddsombudet återkommer i början av november 2019 till samma chefer där han skriver att han inte har lyckats få fram information om hur datasäker elevvårdsblanketten är. Han skriver att det finns en ”betydande risk att känsliga personuppgifter hamnar i fel händer”.
Anmälan görs först ett år senare
Först ett år senare, i slutet av november 2020, gör staden en anmälan till dataombudsmannen om blanketten.
Anmälan görs efter att företaget som upprätthåller webbsidan upptäcker en personuppgiftsincident, det vill säga en felaktig hantering av personuppgifter.
Enligt anmälan har information som elever skrivit i blanketten automatiskt skickats till it-företagets mejlkorg. Men de anställda vid företaget har inte skrivit under något avtal om sekretess.
Företaget har enligt anmälan raderat meddelanden som har innehållit känslig information. Identiteten på de elever som har berörts har inte kunnat redas ut. Staden har inte ens uppgett hur många det gäller.
Staden trodde det fanns ett avtal med företaget
Staden förklarar för dataombudsmannen att anmälan inte gjordes tidigare för att man på staden trodde det fanns ett avtal med it-företaget om dataskydd och sekretess. Först när frågan utreddes ytterligare framkom att inget avtal fanns.
Staden förklarar också att man haft planer på att själva upprätthålla webbsidan med blanketten och därför vidtogs inga åtgärder om datasäkerheten hösten 2019.
Företaget rättade till felet genom en programuppdatering i november 2020.
Numera upprätthålls webbsidan med elevvårdsblanketten av Helsingfors stad.
Påföljdsavgift kunde ha blivit aktuell
Biträdande dataombudsmannen gav ett beslut i ärendet i augusti 2023.
Enligt beslutet får Helsingfors stad en anmärkning för att ha brutit mot dataskyddsbestämmelser om att ingå avtal med den aktör som hanterar personuppgifter.
Enligt beslutet kunde det bli aktuellt med en påföljdsavgift, men dataskyddslagen tillåter inte att en offentlig organisation tilldelas en sådan.
Bristande kunskaper i datasäkerhet
Svenska Yle berättade för två veckor sedan att Helsingfors stads dataskyddsombud i flera år har larmat om personalens bristande kunskaper i datasäkerhet vid fostrans- och utbildningssektorn.
Statistik visar att från 2022 till och med slutet av april 2024 har under hälften, eller 44 procent, av personalen vid daghem och skolor gjort det obligatoriska datasäkerhetstestet.
En följd av att alla inte gör testet är att antalet personuppgiftsincidenter ökar, skrev dataskyddsombudet i databokslutet för 2022.
