Lärplattformen Vklass granskas av IMY

I sin granskning konstaterar IMY att Vklass inte skyddat personuppgifterna tillräckligt och att bolaget nu måste förbättra sin förmåga att upptäcka och utreda incidenter.

Integritetsskyddsmyndigheten (IMY) har granskat lärplattformen Vklass efter att ha tagit emot ett 60-tal anmälningar om personuppgiftsincidenter. Anmälarna gör gällande att någon obehörig kommit över personuppgifter om lärare och elever från lärplattformen.

Vklass uppger till IMY att incidenten troligen har inträffat genom att en elev skrivit ett skript som automatiskt sparat ner uppgifter från lärplattformen i en egen databas och att de uppgifterna sedan publicerats öppet på en webbplats, som numera är nedstängd.

Bolaget fick kännedom om incidenten från en användare av plattformen som upptäckt webbplatsen ifråga. Vklass säger sig dock inte ha kännedom om tidpunkten för när den obehöriga uthämtningen av personuppgifter från lärplattformen inträffade eller under hur lång tid eleven samlat på sig data och personuppgifter.

– Att bolaget inte självt upptäckt incidenten och heller inte kan utreda den i tillräcklig utsträckning gör att vi nu förelägger bolaget att vidta åtgärder som gör det möjligt att upptäcka onormala användarbeteenden i lärplattformen och att kunna spåra vad som skett i systemet, säger Katarina Bengtsson som är it- och informationssäkerhetsspecialist på IMY.

Bolaget får även en reprimand för att inte i tillräckligt hög grad ha skyddat personuppgifterna i lärplattformen från obehörigt röjande.

Publicerad 29 aug 2023