Alvorlig kritik af Gyldendal A/S for ikke at leve op til kravet om passende sikkerhed

Dato: 21-06-2022

Datatilsynet udtaler alvorlig kritik af Gyldendal A/S for ikke at tage højde for URL-manipulation i indretningen af URL’en, som giver adgang til en service, der bruges til at screene skoleelevers færdigheder.

Journalnummer: 2021-431-0149

Resume

Gyldendal A/S udbyder servicen Systime Screening, der anvendes af lærere på skoler til at oprette test. Testene har til formål at screene elever for faglige- eller færdighedsmæssige styrker og svagheder.

Testene udfyldes i en browser og tilgås ved at trykke på et link sendt via e-mail eller ved manuel indtastning af en URL.

Besvarelsen af testene er ikke underlagt nogen adgangsbegrænsninger. Det betyder, at enhver kan udfylde testen, hvis de – forsætligt eller tilfældigt – indtaster et virksomt link. Endvidere bestod de links, der gav adgang til testene, af forkortede URL’er. Konkret bestod en URL af otte tegn, hvor den randomiserede del udgjorde to tegn. Disse links kunne kun tilgås af dem, der havde adgang lærernes resultatmodul.

Den simple URL og den manglende adgangsbegrænsning på testene medførte, at lærere kunne få – og også fik – uautoriseret adgang til elevers tests. Adgangen skete bl.a. ved, at en elev fra én skole udfyldte en test, som var oprettet af en lærer fra en anden skole. På den måde fik lærere uautoriseret adgang til elevers navn, e-mail og screeningresultat.

Gyldendal A/S designede bevidst løsningen på denne måde for at sikre en høj grad af fleksibilitet. URL’en blev forkortet efter ønsker fra deres kunder, fordi kunderne havde systemtekniske begrænsninger i deres it-setup.

Risiko for URL-manipulation skal imødekommes

Datatilsynet slog fast i sagen, at personoplysninger, der kan tilgås via URL, skal indrettes på en måde, der sikrer personoplysningernes fortrolighed. Dette indebærer, at man skal sikre, at tredjemand ikke potentielt får uautoriseret adgang til oplysningerne.

I det konkrete tilfælde levede Gyldendal A/S’ indretning af URL’en ikke op til kravet om passende sikkerhed i GDPR. Dette skyldtes, at indretningen ikke tog højde for URL-manipulation, der er almindelig kendt og let burde imødekommes, samt at testenes formål entydigt var at behandle beskyttelsesværdige personoplysninger.

Datatilsynet bemærkede herudover, at indretningen af en løsning, der forringer de registreredes rettigheder, ikke alene kan retfærdiggøres, fordi databehandlerens kunder (de dataansvarlige) har systemtekniske begrænsninger i deres it-setup.

Afgørelse

Datatilsynet vender hermed tilbage i sagen, hvor tilsynet den 27. september 2021, på baggrund af fire dataansvarliges anmeldelser om brud på persondatasikkerheden, valgte at iværksætte en samlesag mod databehandleren Gyldendal A/S.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Gyldendal A/S behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at Gyldendal A/S, herunder Systime, er databehandler for en række kommuner, herunder i alt 128 skoler. Gyldendal A/S har siden 2010 udbudt servicen ”Systime Screening”. Servicen kan anvendes af lærere på skoler til at oprette tests (spørgsmål og opgaveløsning), der har til formål at screene eleverne. Screeningresultatet har til formål at give et ”indikativt øjebliksbillede” af elevernes generelle eller specifikke faglige eller færdighedsmæssige styrker eller udfordringer, herunder f.eks. ord- eller talblindhed. Testen besvares ved et tryk på et afsendt link via e-mail eller ved manuel indtastning. Besvarelsen sker efterfølgende i en browser. Resultatet af testen fremsendes ikke til eleven selv, men fremgår udelukkende på den oprettende lærers resultatmodul.

Gyldendal A/S har til sagen oplyst, at elevers tilknytningsforholdet ikke valideres i forhold til deres respektive uddannelsesinstitutioner. Dette betyder, at en vilkårlig elev, med linket i hænde, kan tilgå testen. Gyldendal har anført, at den store fleksibilitet er et bevidst valg, som dog betyder, at værktøjet kan anvendes på ”uhensigtsmæssige måder”. Typeeksemplet – der fordrer bruddet på persondatasikkerheden – består i, at en lærer fra skole A opretter en test, der utilsigtet havner og besvares af en uvedkommende elev fra skole B. På den baggrund opnår lærer A uautoriseret adgang til en vilkårlig elevs fra skole Bs screeningresultat, navn og e-mail. Invitationslinket er ikke indstillet med en adgangsbarrierer, herunder tilknyttet en bestemt elev. Enhver med adgang til linket kan således udfylde testen, der i praksis f.eks. kan ske ved, at linket deles i et offentligt tilgængeligt dokument. Et andet scenarie kunne være, at en elev selv videresender det eller ved en tastefejl indtaster det forkert.

Gyldendal A/S har videre oplyst, at linksene som udgangspunkt er meget lange, hvorfor de anvender en URL-forkorter, der væsentligt forkorter URL’en. Gyldendal oplyser, at de har forkortet linksene ”efter ønske fra kunder, hvis LMS-systemer ikke tillader lange links.” Hertil beskriver Gyldendal A/S, hvordan URL’en var før justeringen på baggrund af den konkrete hændelse: ”De korte links var før justeringen ret korte (8 tegn), hvor den randomiserede del fyldte 2 tegn. Efter justeringerne er de korte links nu som minimum 12 tegn, hvoraf den randomiserede del er på 3 tegn. Samtidig udelukkedes et antal tegn, som er særligt egnende til forveksling – fx nul og stort O, stort I og lille L, etc.” Herved tilsigtes det, at risikoen for elevers tastefejl minimeres. Gyldendal A/S fastslår i forlængelse, at elever ikke – ved at ændre i URL’en – kan tilgå andres test. I alle tilfælde, er det kun dem, der har adgang til den oprettende lærers resultatmodul, der kan få indsigt i personoplysningerne. Det er ikke muligt for disse at ændre eller slette personoplysningerne.

Det fremgår af sagen, at Gyldendal A/S kan se tests oprettet af lærere samt besvarelserne. Gyldendal A/S kan ikke se, hvem linksene er delt med og kan derfor ikke oplyse om hændelsens omfang, herunder antallet af berørte registrerede. Gyldendal A/S har oplyst, at de potentielle konsekvenser ved tredjemands uautoriserede kendskab til en elevs faglige formåen kan give anledning til, at ”de påvirkede elever bringes i forlegenhed”. Herudover anføres det, at alle lærere hypotetisk set kan ’høste’ vilkårlige elevers personoplysninger.

Gyldendal A/S har om deres forudgående foranstaltninger oplyst, at de har vejledninger og FAQs i produktet og handelsbetingelser på Systimes hjemmeside. Det er ikke blevet undersøgt, om de berørte personoplysninger er blevet udnyttet. På baggrund af henvendelser om den konkrete hændelse i august 2021, genvurderede Gyldendal A/S risiciene brugen af Systime Screening. Herudover indskærpede de den korrekte brug af værtøjet over for de dataansvarlige 

Gyldendal A/S har vedlagt en henvisning til deres vejledning for oprettelse og håndtering af tests. Det fremgår heraf under emnefeltet ”Del en test med dine elever”, at:

”Vær opmærksom på:

  • at du kun må dele linket med studerende og kollegaer på den skole/institution, du er ansat på. Screeningerne må ikke bruges på andre skoler end den, der har licensen til det.
  • at studerende ikke må tilgå links til screeninger, der kommer fra andre skoler, og elever heller ikke må sende linket videre til andre, da modtagerens resultater og personoplysninger vil fremgå af din resultatoversigt.
  • at du ikke må publicere screeningslinks på websider eller i dokumenter, som andre end elever eller kollegaer fra din skole/institution har adgang til.”

Endeligt oplyser Gyldendal A/S, at de dataansvarlige er blevet underrettet den 13. august 2021.

3. Begrundelse for Datatilsynets afgørelse

Datatilsynet lægger på baggrund af det af Gyldendal A/S oplyste til grund, at skolelærere ved anvendelse af Systime Screening har haft uautoriseret adgang til elevers screeningresultat, herunder indtastede navn og e-mail, hvorfor tilsynet finder, at der er sket et brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.

3.1. Databeskyttelsesforordningens artikel 32

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at databehandleren skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved databehandlerens behandlinger af personoplysninger.

Der påhviler således databehandleren en pligt til at identificere de risici, databehandlerens behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at der i systemer med et stort antal fortrolige og beskyttelsesværdige oplysninger om et stort antal brugere, skal stilles højere krav til databehandlerens omhyggelighed ved sikring af, at der ikke sker uautoriseret adgang til personoplysninger.

En service, der entydigt har til formål at behandle og evaluere beskyttelsesværdige personoplysninger om mindreårige, herunder faglig formåen og afledte helbredsoplysninger, stiller større krav til databehandlerens indretning af deres tekniske løsning. Behandlingsaktiviteter, der kan tilgås via en URL, skal foregå på en måde, der sikrer den fornødne fortrolighed, således at tredjemand ikke potentielt får indsigt i og redigeringsadgang til oplysninger, hvor der ikke er et arbejdsmæssigt behov.

Det er Datatilsynets opfattelse, at URL-manipulation er en type af programmeringsmæssig fejlkilde, som er almindelig kendt og let burde imødegås af databehandleren. Hertil er det Datatilsynets opfattelse, at et forkortet link, der består af 8 tegn, hvor den randomiserede del fylder 2 tegn, generelt ikke er udtryk for passende beskyttelse, idet der både er en fast struktur i opbygningen og en yderst begrænset entropi.

Det er videre Datatilsynets opfattelse, at en databehandler løbende skal foretage en vurdering af de risici, deres system har ved behandling af personoplysninger. Systemtekniske begrænsninger i en dataansvarligs it-setup, kan ikke i sig selv begrunde, at der ikke er en passende beskyttelse af de registreredes rettigheder.

Datatilsynet finder på ovenstående baggrund, at Gyldendal A/S – ved ikke at have implementeret tilstrækkelige adgangsbarrierer for adgang til og redigering af screeningtestene, herunder ved entropien af den valgte URL – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved virksomhedens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Gyldendal A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet har ved valg af reaktion lagt vægt på, at Gyldendal A/S ikke, henset til screeningtestens entydige formål med behandling af beskyttelsesværdige personoplysninger, har indrettet deres URL på en tilstrækkelig sikker måde, og at den pågældende svaghed er af kendt karakter.

Datatilsynet har videre lagt vægt på, at forholdene har gjort sig gældende i over 10 år, hvoraf en del ligger før databeskyttelsesforordningens fandt anvendelse og, at bruddet har berørt et stort antal mindreårige registrerede fra potentielt 128 skoler.

Datatilsynet har noteret sig, at Gyldendal A/S efterfølgende har gennemført justeringer af URL’en, således at risikoen for fejlindtastning samt URL-manipulation minimeres. Herudover har Gyldendal underrettet de dataansvarlige den 13. august 2021. I yderligere formildende retning har Datatilsynet lagt vægt på Gyldendal A/S’ medvirken til sagens opklaring.

Datatilsynet har videre noteret sig, at Gyldendal A/S har udarbejdet en vejledning rettet mod de dataansvarlige, der instruerer, hvordan Systime Screening hensigtsmæssigt anvendes. Denne er blevet indskærpet over for de dataansvarlige. Herudover har Datatilsynet noteret sig, at Gyldendal A/S har foretaget en genvurdering af risiciene ved brug af Systime Screening.

3.2. Sammenfatning

Datatilsynet finder, at der er grundlag for at udtale alvorlig kritik af, at Gyldendal A/S behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).