Skilja ekki af hverju íslenskt foreldri safnaði persónuupplýsingum um 422 börn

Aðilinn sem safnaði persónuupplýsingum um 422 nemendur í gegnum upplýsingakerfið Mentor er foreldri barns í skóla á Íslandi. Vitað er hver átti í hlut en Mentor fer nú yfir næstu skref með lögmanni. Þetta staðfestir forstjóri Mentor í samtali við Vísi og furðar sig jafnframt á málinu. Forstjóri Persónuverndar segir yfir tuttugu tilkynningar hafa borist vegna málsins, sem nú er til meðferðar hjá stofnuninni.

Mentor sendi út tilkynningu vegna málsins í gær. Í tilkynningu segir að í lok dags fimmtudaginn 14. febrúar hafi skráður notandi Mentor hér á landi orðið uppvís að heimildarlausri upplýsingasöfnun úr skólaupplýsingakerfi Mentor. Viðkomandi tókst að safna kennitölum og forsíðumyndum 422 nemenda í 96 skólum í sveitarfélögum víðsvegar á Íslandi, þar af 179 nemenda í Reykjavík. 

Sjá einnig: Hóta að stöðva skráningar í Mentor



„Sannreynt hefur verið að ekki var um að ræða neinar aðrar upplýsingar en kennitölu og forsíðumynd viðkomandi nemenda. Ekki var hægt að nálgast neinar aðrar upplýsingar né heldur breyta upplýsingum og engin lykilorð voru í hættu,“ segir í tilkynningu.

„Af hverju myndi einhver gera þetta?“

Niclas Walter forstjóri Mentor segir í samtali við Vísi að viðskiptavinum Mentor hafi verið gert viðvart strax og öryggisbresturinn kom upp í síðustu viku. Þá sé búið að lagfæra umræddan öryggisbrest og koma í veg fyrir að atvikið endurtaki sig.

Aðspurður segir Niclas að fyrirtækið viti hver það var sem átti í hlut. Um er að ræða foreldri eða forráðamann barns í íslenskum skóla sem þegar hafi verið með aðgang að Mentor-kerfinu.

„Þetta er manneskja sem skráði sig inn í kerfið og misnotaði aðgang sinn. Við vitum nákvæmlega hver það er,“ segir Niclas.

„Viðkomandi hefði ekki getað gert þetta öðruvísi. Utanaðkomandi aðila hefði aldrei tekist að komast inn á þennan hátt. Þú verður fyrst að vera kominn inn í kerfið til að gera þetta.“

Veistu af hverju manneskjan ákvað að safna þessum upplýsingum?

„Nei. Þetta er mjög skrýtið. Af hverju myndi einhver gera þetta?“ spyr Niclas. „Við erum nú að fara yfir næstu skref með lögmanni okkar.“

 

Yfir tuttugu tilkynningar

Helga Þórisdóttir forstjóri Persónuverndar segir stofnunina hafa málið til meðferðar. Fjöldi tilkynninga vegna málsins hafi borist Persónuvernd frá skólunum sjálfum. Engir foreldrar hafi hins vegar tilkynnt stofnuninni um öryggisbrestinn.

„Þetta eru yfir tuttugu tilkynningar um öryggisbrestinn sem við höfum fengið frá ábyrgðaraðilunum sjálfum sem eru þá einhverjir af þeim skólum sem eru undir,“ segir Helga. Þá hafi einhverjir skólar sent sameiginlegar tilkynningar.

Sjá einnig: Notkun rafræns kennsluhugbúnaðar áhyggjuefni því upplýsingar um börn gætu ratað úr landi

Helga segir að viðkomandi aðili hafi aðeins komist yfir almennar persónuupplýsingar. Slíkt krefjist minni viðbragða af hálfu Persónuverndar en ef um væri að ræða viðkvæmar persónuupplýsingar.

Verkferlar virðast hafa skilað sér

Árið 2015 hóf Persónuvernd frumkvæðisathugun á vinnslu persónuupplýsinga í rafræna upplýsingakerfi Mentor hjá fimm grunnskólum sem valdir voru af handahófi. Þeirri vinnu lauk í janúar en þá höfðu grunnskólarnir sem urðu undir í úttektinni orðið við öllum ábendingum Persónuverndar, með aðstoð Sambands íslenskra sveitarfélaga og Reykjavíkurborgar. Helga segir ljóst að svo virðist sem verkferlar hafi skilað sér í tilviki öryggisbrestsins nú.

„Þó það sé auðvitað mjög miður að öryggisbrestur hjá Mentor hafi komið upp. En það er við vinnsluaðilann að eiga hvað það varðar, sem er Mentor.“

 

Tilgangurinn skiptir máli

Innt eftir því hvort það hafi áhrif á stöðu málsins að foreldri, sem þegar hafði aðgang að kerfinu, standi að öryggisbrestinum segist Helga ekki geta tjáð sig frekar efnislega um málið að sinni.

„En almennt getur það auðvitað skipt máli hver tilgangur aðila er og í rauninni má segja að ef það sé einstaklingur sem kemst að veikleika í kerfi að þá held ég að það skipti máli fyrir þann sem ber ábyrgð á því kerfi að fá þær ábendingar,“ segir Helga.

„Það er hægt að fara mjög illa með það þegar fólk hakkar sig inn í kerfi og þá erum við að tala um að öðrum sé veittur aðgangur að sömu upplýsingum. En ef það er í rauninni bara verið að benda á galla þá held ég að það á endanum styrki kerfið að vita af þeim lapsus.“