Datatilsynet udtaler alvorlig kritik af Gyldendal A/S for ikke at tage højde for URL-manipulation i indretningen af URL’en, som giver adgang til en service, der bruges til at screene skoleelevers færdigheder.
Gyldendal A/S udbyder servicen Systime Screening, der anvendes af lærere på skoler til at oprette test. Testene har til formål at screene elever for faglige- eller færdighedsmæssige styrker og svagheder.
Testene udfyldes i en browser og tilgås ved at trykke på et link sendt via e-mail eller ved manuel indtastning af en URL.
Testene er ikke underlagt nogen adgangsbegrænsninger. Det betyder, at enhver kan udfylde testen, hvis de – forsætligt eller tilfældigt – indtaster et virksomt link. Endvidere bestod de links, der gav adgang til testene, af forkortede URL’er. Konkret bestod en URL af otte tegn, hvor den randomiserede del udgjorde to tegn.
Den simple URL og den manglende adgangsbegrænsning på testene medførte, at lærere kunne få – og også fik – uautoriseret adgang til elevers tests. Adgangen skete bl.a. ved, at en elev fra én skole udfyldte en test, som var oprettet af en lærer fra en anden skole. På den måde fik lærere uautoriseret adgang til elevers navn, e-mail og screeningresultat.
Gyldendal A/S designede bevidst løsningen på denne måde for at sikre en høj grad af fleksibilitet. URL’en blev forkortet efter ønsker fra deres kunder, fordi kunderne havde systemtekniske begrænsninger i deres it-setup.
Risiko for URL-manipulation skal imødekommes Datatilsynet slog fast i sagen, at personoplysninger, der kan tilgås via URL, skal indrettes på en måde, der sikrer personoplysningernes fortrolighed. Dette indebærer, at man skal sikre, at tredjemand ikke potentielt får uautoriseret adgang til oplysningerne.
I det konkrete tilfælde levede Gyldendal A/S’ indretning af URL’en ikke op til kravet om passende sikkerhed i GDPR. Dette skyldtes, at indretningen ikke tog højde for URL-manipulation, der er almindelig kendt og let burde imødekommes, samt at testenes formål entydigt var at behandle beskyttelsesværdige personoplysninger.
Datatilsynet bemærkede herudover, at indretningen af en løsning, der forringer de registreredes rettigheder, ikke alene kan retfærdiggøres, fordi databehandlerens kunder (de dataansvarlige) har systemtekniske begrænsninger i deres it-setup.
Vil du vide mere? Læs afgørelsen her.
Kilde: datatilsynet.dk
Comments