Sektar Mentor um 3,5 milljónir vegna öryggisbrestsins

Atli Ísleifsson skrifar 4. maí 2021 11:27

Vegna veikleika í kerfinu gátu tveir aðilar, einn á Íslandi og annar í Svíþjóð, nálgast kennitölur og myndir, svokallaða avatars, samtals 424 barna án þess að hafa til þess heimild. Vísir/Samsett

Persónuvernd hefur lagt 3,5 milljóna króna stjórnvaldssekt InfoMentor ehf. vegna öryggisbrests sem átti sér stað í vefkerfinu Mentor í febrúar 2019. Vegna veikleika í kerfinu gátu tveir aðilar, einn á Íslandi og annar í Svíþjóð, nálgast kennitölur og myndir, svokallaða avatars, samtals 424 barna án þess að hafa til þess heimild.

Frá þessu segir á vef Persónuverndar. Þar segir að veikleikinn hafi falist í því að sex stafa kerfisnúmer nemenda hafi verið sýnileg í vefslóð tiltekinnar síðu í Mentor-kerfinu og unnt hefði verið að nálgast þær persónuupplýsingar sem þar var að finna með því einu að breyta tölum í viðkomandi vefslóð.

„InfoMentor ehf. gekkst við því að mannleg mistök hefðu orðið til þess að lagfæringu veikleikans hefði ekki verið lokið að fullu, þrátt fyrir að fyrirmæli hefðu verið gefin þar um. Þannig hafði lausn þegar verið þróuð, en ekki innleidd í kerfið fyrr en eftir að fyrirtækinu varð kunnugt um öryggisbrestinn. Taldi Persónuvernd að koma hefði mátt í veg fyrir öryggisbrestinn með fullnægjandi eftirfylgni og prófunum öryggisráðstafana.“

Sendu líka kennitölur barnanna til rangra skóla og persónuverndarfulltrúa

Persónuvernd komst að þeirri niðurstöðu að InfoMentor hefði ekki tryggt öryggi persónuupplýsinga innan Mentor-kerfisins með þeim hætti sem áskilið er persónuverndarlögum.

Persónuvernd taldi sömuleiðis að InfoMentor hafi ekki tryggt fullnægjandi öryggi persónuupplýsinga þeirra skráðu einstaklinga sem urðu fyrir áhrifum öryggisbrestsins þegar fyrirtækið sendi kennitölur hlutaðeigandi einstaklinga í nokkrum tilvikum til rangra skóla og persónuverndarfulltrúa.

Helga Þórisdóttir er forstjóri Persónuverndar.Vísir/Egill

„Við ákvörðun stjórnvaldssektarinnar var einkum horft til fjölda þeirra skráðu einstaklinga sem öryggisbresturinn hafði áhrif á og sem hefðu getað orðið fyrir áhrifum hans með tilliti til fjölda notenda Mentor-kerfisins. Einnig hafði mikla þýðingu að um var að ræða persónuupplýsingar barna sem njóta sérstakrar verndar laga nr. 90/2018 og reglugerðarinnar. Þá taldi Persónuvernd þurfa að gera enn ríkari kröfur en ella til InfoMentors ehf. sem vinnsluaðila í ljósi þess að meginstarfsemi fyrirtækisins felst í þróun og rekstri vefkerfis sem er sérstaklega ætlað fyrir vinnslu persónuupplýsinga um börn. Á hinn bóginn benti ekkert til þess að skráðir einstaklingar hefðu orðið fyrir tjóni vegna öryggisbrestsins, auk þess sem InfoMentor ehf. lagði fram gögn sem sýndu fram á ýmsar ráðstafanir sem fyrirtækið hafði gripið til með það að markmiði að tryggja öryggi persónuupplýsinga í Mentor-kerfinu. Þótti stjórnvaldssektin því hæfilega ákveðin kr. 3.500.000,“ segir á vef Persónuverndar.

Persónuvernd Skóla - og menntamál Grunnskólar

Mest lesið

Fleiri fréttir