Rettelse den 29/8 2022 klokken 16.37: Tidligere fremgik det af artiklen, at der er tale om børn. Gyldendal har nu oplyst, at der er tale om unge på ungdomsuddannelser og gymnasielærere.
De seneste ti år har danske gymnasielærere haft uautoriseret adgang til elevers personoplysninger gennem et værktøj fra Gyldendal, og derfor udtaler Datatilsynet nu alvorlig kritik af forlaget.
Det skriver tilsynsmyndigheden på sin hjemmeside.
Problemet er opstået med Gyldendals tjeneste ‘Systime Screening’, som lærere kan bruge til at lave test til eleverne. Gennem et link eller ved at indtaste en URL kan eleven tilgå testen, som giver et 'øjebliksbillede’ af hans eller hendes faglige styrker og svagheder.
Læreren får adgang til resultatet sammen med elevens navn og e-mail, men efter fire anmeldelser til Datatilsynet står det klart, at der er problemer med uautoriseret adgang til testresultaterne.
Når en elev indtaster en URL, får han eller hun direkte adgang til testen uden yderligere verificering. Hvis en elev fra skole ‘a’ taster en URL tilknyttet en test, som er lavet af en lærer på skole ‘b’, får skole b’s lærer adgang til personoplysninger fra skole a’s elev.
Ifølge afgørelsen oplyser Gyldendal til Datatilsynet, at den manglende verificering er et bevidst designvalg for at skabe mere fleksibilitet om løsningen. Derudover har skolerne ønsket, at der blev anvendt en URL-forkorter, som forlaget også har imødekommet.
Værktøjet bliver brugt på 128 skoler, og derfor er mange mindreårige potentielt blevet ramt af sikkerhedsbruddet. Gyldendal har dog ikke et overblik over omfanget, da virksomheden ikke kan se, hvem linksene er delt med.
Adgangen til personoplysningerne er et brud på GDPR, og derfor har Datatilsynet givet Gyldendal alvorlig kritik, som dog har samarbejdet i sagen, og det har gjort straffen mindre.
Forlaget gjorde de dataansvarlige opmærksomme på problemet den 13. august sidste år, og efterfølgende har man lavet justeringer af URLen, så det er sværere at taste forkert. Derudover har Gyldendal lavet en vejledning til medarbejdere, der instruerer dem i, hvad de skal være opmærksomme på, når de bruger systemet.
Begrænsede sikkerhedsbrud
Selvom Datatilsynet skriver i afgørelsen, at Gyldendal ikke har et overblik over omfanget, og at problemet kan have stået på i 10 år, er det sandsynligvis noget mere begrænset, skriver forlaget i en mail til Version2.
Virksomheden modtog nemlig først henvendelser om krydsningsproblemet i starten af august sidste år, og man har ikke modtaget henvendelser om det efter den 13. august 2021. I den periode var det under 10 skoler, som henvendte sig, og det er ikke sandsynligt, at flere har været påvirket, skriver Gyldendal i mailen:
»Med det fokus, der er på privacy efter GDPR, vurderer vi, at det ikke er sandsynligt, at skolerne ikke vil have henvendt sig før eller efter, hvis det var sket tidligere eller skete igen.«
Har allerede udsigt til GDPR-bøde
Det er ikke første gang, Gyldendal er i fedtefadet hos Datatilsynet. Forlaget kan potentielt se frem til en bøde på 1 millioner kroner, efter Datatilsynet i slutningen af juni i år politianmeldte virksomheden.
Forlaget havde gemt 685.000 gamle medlemmers personoplysninger uden grund i en passiv database uden retningslinjer for sletning. For 395.000 af de tidligere medlemmer var der tale om en ulovlig opbevaring i over ti år.
I sommers forsikrede Datatilsynet Version2 om, at der hverken var tale om fortrolige eller følsomme oplysninger, men kunne ikke komme de konkrete data-typer nærmere. Rækken af sager stopper dog ikke her.
I sommers kunne Version2 afsløre, at en sårbarhed hos Gyldendal har ledt til, at en ukendt hacker har kunnet lave 73.000 opslag på institutioner og folkeskoleklasser over to dage. På den måde har vedkommende fået adgang til elevernes navne, brugernavne til det såkaldte UNI-login, tilknytning til institution og skole og klasse.
Forlaget anmeldte selv sikkerhedsbruddet til Datatilsynet, som ifølge anmeldelsen kan have ramt op mod 750.000 skolebørn og lærere. Tilsynsmyndigheden har endnu ikke afgjort sagen.
Artiklen er opdateret den 30/8 2022 klokken 10.01 med afsnittet under mellemrubrikken "begrænsede sikkerhedsbrud", efter Gyldendal sendte en mail til Version2 med yderligere oplysninger.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
