Kritik af Gyldendal A/S for ikke at leve op til kravet om passende sikkerhed

Dato: 13-04-2023
Afgørelse Private virksomheder Kritik Anmeldt brud på persondatasikkerheden Adgangskontrol Anmeldelse af brud på persondatasikkerheden Behandlingssikkerhed Uautoriseret adgang

Datatilsynet udtaler kritik af Gyldendal A/S for ikke at have indrettet URL’en tilstrækkelig sikkert i Systime Screening, som giver adgang til en service, der bruges til at screene elevers færdigheder på ungdomsuddannelsesinstitutioner.

Journalnummer: 2021-431-0149

Resume

Gyldendal A/S udbyder servicen Systime Screening, der anvendes af lærere på ungdomsuddannelsesinstitutioner til at oprette test. Testene har til formål at screene elever for faglige- eller færdighedsmæssige styrker og svagheder.

Testene udfyldes i en browser og tilgås ved at trykke på et link sendt via e-mail eller ved manuel indtastning af en URL.

Adgangen til at besvare testene var alene begrænset ved, at brugerne skulle være logget ind på en ”MinKonto” på Systime. Det betød, at enhver, der var logget ind, kunne udfylde testen, hvis de indtastede et virksomt link. Endvidere bestod de links, der gav adgang til testene, af forkortede URL’er. Konkret bestod en URL af otte tegn, hvor den randomiserede del udgjorde to tegn. Det var kun den oprettende lærer, der havde adgang til testresultaterne.

Den simple URL og opsætningen af adgangsbegrænsningen på testene medførte, at en elev fra én skole – bevidst (f.eks. for at øve sig) eller uforvarende (f.eks. som følge af fejlindtastning af URL’en) – kunne udfylde en test, som var oprettet af en lærer fra en anden skole, og herved kunne lærere få – og fik også – uautoriseret adgang til andre end deres egne elevers navn, e-mail og screeningsresultater.

Gyldendal A/S designede bevidst løsningen på denne måde for at sikre en høj grad af fleksibilitet, og URL’en blev forkortet efter ønsker fra deres kunder, fordi de havde systemtekniske begrænsninger i deres it-setup.

Risiko for fejlindtastning af URL skal imødekommes

Datatilsynet slog fast i sagen, at behandlingsaktiviteter, der kan tilgås via URL, skal foregå på en måde, der sikrer personoplysningernes fortrolighed. Dette stiller krav til indretningen af de tekniske løsninger, og det indebærer bl.a., at man skal sikre sig, at elever ikke uforvarende kommer til at dele deres personoplysninger med tredjemand.

I det konkrete tilfælde levede Gyldendal A/S’ indretning af URL’en ikke op til kravet om passende sikkerhed i GDPR. Dette skyldtes, at indretningen ikke tog højde for URL-manipulation/ændring og fejlindtastning, som er almindeligt kendte fejlkilder, der let burde imødegås af databehandleren, samt at testenes formål entydigt var at behandle beskyttelsesværdige personoplysninger.

Datatilsynet bemærkede herudover, at indretningen af en løsning, der forringer de registreredes rettigheder, ikke alene kan retfærdiggøres, fordi databehandlerens kunder (de dataansvarlige) har systemtekniske begrænsninger i deres it-setup.

Afgørelse

Datatilsynet vender hermed tilbage i sagen, hvor tilsynet den 27. september 2021 på baggrund af fire dataansvarliges anmeldelser om brud på persondatasikkerheden valgte at iværksætte en samlesag mod databehandleren Gyldendal A/S.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Gyldendal A/S behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at Gyldendal A/S, herunder Systime, er databehandler for i alt 128 ungdomsuddannelsesinstitutioner. Gyldendal A/S har siden 2010 udbudt servicen ”Systime Screening”. Servicen kan anvendes af lærere til at oprette tests (spørgsmål og opgaveløsning), der har til formål at screene eleverne. Screeningresultatet har til formål at give et indikativt øjebliksbillede af elevernes generelle eller specifikke faglige eller færdighedsmæssige styrker eller udfordringer, herunder f.eks. ord- eller talblindhed.

Testen tilgås og besvares via et link, der sendes til elevens e-mail, eller ved at eleven manuelt indtaster linket i en browser. Inden testen kan besvares, skal eleverne have oprettet sig som brugere af MinKonto i Systime og være logget ind på denne konto. Resultatet af testen fremsendes ikke til eleven selv, men fremgår udelukkende på den oprettende lærers resultatmodul.

Gyldendal A/S har oplyst, at elevers tilknytningsforhold ikke valideres i forhold til deres respektive uddannelsesinstitutioner. Systime Screening ved altså ikke, hvilken uddannelsesinstitution en elev er tilknyttet. Systime Screening kan derfor ikke forhindre, at en elev tager en test oprettet af en lærer fra en anden skole. Gyldendal A/S har anført, at denne fleksibilitet er et bevidst valg, som dog betyder, at værktøjet kan anvendes på uhensigtsmæssige måder – og at de anmeldte brud tilsyneladende netop er sket ved uhensigtsmæssig brug af Systime Screening.

Typeeksemplet – der fordrer bruddet på persondatasikkerheden – består i, at en lærer fra skole A opretter en test, der utilsigtet havner hos og besvares af en uvedkommende elev fra skole B. På den baggrund opnår lærer A uautoriseret adgang til en vilkårlig elevs fra skole Bs screeningresultat, navn og e-mail. Invitationslinket er som anført ikke indstillet med en adgangsbarriere, herunder tilknyttet en bestemt elev. Enhver med adgang til linket kan således udfylde testen efter at være logget ind på MinKonto i Systime Screening.

Gyldendal A/S har identificeret følgende fem typescenarier for, hvordan dette formodes at kunne ske: 

  1. En lærer fra skole A er ikke opmærksom på licensvilkårene for brugen af Systime Screening og har aftalt med en lærer fra skole B, at elever på skole B kan tage deres tests med lærer A’s adgang.
  2. En lærer fra skole A opretter og deler et invitationslink i et offentligt tilgængeligt dokument – f.eks. en lektionsplan. En elev fra skole B finder ved en tilfældighed eller ved søgning dette link og ønsker at øve sig, inden eleven selv skal screenes på sin egen skole.
  3. En elev på skole A er blevet screenet af sin lærer fra skole A. Eleven har kammerater, der går på skole B på samme årgang. Eleven foreslår sine kammerater på skole B at øve sig, inden de også skal screenes og sender invitationslinket til dem. Kammeraterne på skole B tager altså lærer A’s test.
  4. En lærer på skole A deler et invitationslink ved at indsætte det i skolens LMS-system. LMS-systemets editor har opsat regler for brug/visning af bestemte tegn i links, hvorefter denne editor ændrer eller fjerner visse tegn i linket. Dette kan medføre, at linket ikke længere henviser til en test oprettet af lærer fra skole A, men en test oprettet af en lærer fra skole B.
  5. En lærer fra skole A deler et link ved at skrive dette op på en tavle, hvorfra eleverne skal skrive det af og ind i deres browsers adressefelt. Ved den manuelle kopieringer kan et eller flere tegn bortfalde eller fejlagtigt opfattes som et andet, så det link eleven tilgår er blevet et link til en test oprettet af en lærer på skole B.

Gyldendal A/S har videre oplyst, at linksene som udgangspunkt er meget lange, hvorfor de anvender en URL-forkorter, der væsentligt forkorter URL’en. Gyldendal A/S oplyser, at de har forkortet linksene efter ønske fra kunder, hvis LMS-systemer ikke tillader lange links.

Gyldendal A/S har anført, at der på baggrund af henvendelserne om bruddene er foretaget en revurdering af risiciene ved brug af Systime Screening, ligesom den korrekte brug af værktøjet er blevet indskærpet over for de dataansvarlige.

Det blev i den forbindelse vurderet, at hændelserne højst sandsynligt vedrører det ovennævnte scenarie 5. Det er således hypotesen, at den førnævnte URL-forkorter i perioden lige før hændelserne benyttede en række bestemte tegn, som er særligt egnede til forveksling i forbindelse med manuel kopiering af links.

På baggrund af hypotesen er der gennemført justeringer af URL-forkorteren med henblik på at nedsætte risikoen for scenarie 5 (minimering af risikoen for elevers tastefejl). Gyldendal A/S har i den forbindelse oplyst, at de korte links før justeringen var ret korte (8 tegn), hvor den randomiserede del fyldte 2 tegn. Efter justeringerne er de korte links nu som minimum 12 tegn, hvoraf den randomiserede del er på 3 tegn. Samtidig udelukkedes et antal tegn, som er særligt egnende til forveksling – fx nul og stort O, stort I og lille L, etc.

Gyldendal A/S fastslår i forlængelse heraf, at elever ikke – ved at ændre i URL’en – kan tilgå andres test. I alle tilfælde er det kun dem, der har adgang til den oprettende lærers resultatmodul, der kan få indsigt i personoplysningerne. Det er ikke muligt for disse at ændre eller slette personoplysningerne.

Det fremgår af sagen, at Gyldendal A/S kan se tests oprettet af lærere samt besvarelserne. Gyldendal A/S kan ikke se, hvem linksene er delt med, og kan derfor ikke oplyse om hændelsens omfang, herunder antallet af berørte registrerede. Det er derfor heller ikke blevet undersøgt, om de berørte personoplysninger er blevet udnyttet. Gyldendal A/S har oplyst, at de potentielle konsekvenser ved tredjemands uautoriserede kendskab til en elevs faglige formåen kan give anledning til, at de påvirkede elever bringes i forlegenhed.

Gyldendal A/S har om deres forudgående foranstaltninger oplyst, at de har vejledninger og FAQs i produktet og handelsbetingelser på Systimes hjemmeside.

Gyldendal A/S har vedlagt en henvisning til deres vejledning for oprettelse og håndtering af tests. Det fremgår heraf under emnefeltet ”Del en test med dine elever”:

”Vær opmærksom på:

  • at du kun må dele linket med studerende og kollegaer på den skole/institution, du er ansat på. Screeningerne må ikke bruges på andre skoler end den, der har licensen til det.
  • at studerende ikke må tilgå links til screeninger, der kommer fra andre skoler, og elever heller ikke må sende linket videre til andre, da modtagerens resultater og personoplysninger vil fremgå af din resultatoversigt.
  • at du ikke må publicere screeningslinks på websider eller i dokumenter, som andre end elever eller kollegaer fra din skole/institution har adgang til.”

Gyldendal A/S har endeligt oplyst, at de dataansvarlige er blevet underrettet den 13. august 2021.

3. Begrundelse for Datatilsynets afgørelse

Datatilsynet lægger på baggrund af det af Gyldendal A/S oplyste til grund, at lærere ved anvendelse af Systime Screening har haft uautoriseret adgang til elevers screeningresultat, herunder indtastede navn og e-mail, hvorfor tilsynet finder, at der er sket et brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.

3.1. Databeskyttelsesforordningens artikel 32

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at databehandleren skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved databehandlerens behandlinger af personoplysninger.

Der påhviler således databehandleren en pligt til at identificere de risici, databehandlerens behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at der i systemer med et stort antal fortrolige og beskyttelsesværdige oplysninger om et stort antal brugere skal stilles højere krav til databehandlerens omhyggelighed ved sikring af, at der ikke sker uautoriseret adgang til personoplysninger.

En service, der entydigt har til formål at behandle og evaluere beskyttelsesværdige personoplysninger om faglig formåen stiller store krav til databehandlerens indretning af deres tekniske løsning. Behandlingsaktiviteter, der kan tilgås via en URL, skal foregå på en måde, der sikrer den fornødne fortrolighed, således at de registrerede ikke uforvarende og uden at være bevidst herom kommer til at videregive personoplysninger til tredjemand, som ikke har et arbejdsmæssigt eller andet legitimt behov for adgang til oplysningerne.

Det er Datatilsynets opfattelse, at URL-manipulation/ændring- og fejlindtastning er en type af fejlkilde, som er almindelig kendt og let burde imødegås af databehandleren. Det er yderligere Datatilsynets opfattelse, at et forkortet link, der består af 8 tegn, hvor den randomiserede del fylder 2 tegn, generelt ikke er udtryk for passende beskyttelse, idet strukturen i opbygningen af linket giver en begrænset entropi og ikke afhjælper de identificerende fejlscenarier.

Det er videre Datatilsynets opfattelse, at en databehandler løbende skal foretage en vurdering af de risici, deres system indebærer ved behandling af personoplysninger. Systemtekniske begrænsninger i en dataansvarligs it-setup kan ikke i sig selv begrunde, at der ikke, ved de behandlinger af personoplysninger der foretages, er en passende beskyttelse af de registreredes rettigheder.

Datatilsynet finder på ovenstående baggrund, at Gyldendal A/S – ved ikke at have implementeret tilstrækkelige adgangsbarrierer for adgang til besvarelse af screeningtestene, herunder ved entropien af den valgte URL – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved virksomhedens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Gyldendal A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet har ved valg af reaktion lagt vægt på, at Gyldendal A/S ikke, henset til screeningtestens entydige formål med behandling af beskyttelsesværdige personoplysninger, har indrettet deres URL på en tilstrækkelig sikker måde, og at den pågældende svaghed er af kendt karakter.

Datatilsynet har videre lagt vægt på, at forholdene har gjort sig gældende i over 10 år, hvoraf en del dog ligger før databeskyttelsesforordningens fandt anvendelse og, at bruddet har berørt et stort antal elever fra potentielt 128 ungdomsuddannelsesinstitutioner.

Datatilsynet har noteret sig, at Gyldendal A/S har foretaget en revurdering af risiciene ved brug af Systime Screening, og at der på baggrund heraf er gennemført justeringer af URL’en, således at risikoen for fejlindtastning minimeres. Herudover har Gyldendal underrettet de dataansvarlige den 13. august 2021. I yderligere formildende retning har Datatilsynet lagt vægt på Gyldendal A/S’ medvirken til sagens opklaring.

Datatilsynet har videre noteret sig, at Gyldendal A/S har udarbejdet en vejledning rettet mod de dataansvarlige, der instruerer i, hvordan Systime Screening hensigtsmæssigt anvendes og at den korrekte brug af værktøjet er blevet indskærpet over for de dataansvarlige.

3.2. Sammenfatning

Datatilsynet finder, at der er grundlag for at udtale kritik af, at Gyldendal A/S behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

Bemærk

Dette er en korrigeret afgørelse

Datatilsynet har på baggrund af en henvendelse fra Gyldendal A/S korrigeret og præciseret den oprindelige afgørelse. I den nye afgørelse er der således ikke lagt vægt på, at der er tale om behandling af oplysninger om mindreårige eller helbredsoplysninger. Dette har også medført, at Datatilsynet har udtalt ”kritik” i stedet for ”alvorlig kritik” af den manglende behandlingssikkerhed.