InfoMentor sektað um 3,5 milljónir vegna öryggisbrests

04.05.2021 - 12:46
Mynd með færslu
 Mynd:
Persónuvernd hefur lagt 3,5 milljóna króna stjórnvaldssekt á fyrirtækið InfoMentor vegna öryggisbrests í febrúar fyrir tveimur árum. Fyrirtækið rekur vefinn Mentor sem er ætlað skólum og öðrum sem starfa með börnum, meðal annars leik- og grunnskólum. Áttatíu og fjórar tilkynningar bárust um öryggisbrestinn, 75 frá grunnskólum og níu frá leikskólum. Ekkert bendir til þess að einhver börn hafi orðið fyrir tjóni af völdum öryggisbrestsins.

Öryggisbresturinn náði til 423 barna á Íslandi og barns í Svíþjóð. Hann leiddi til þess að tveir aðilar, einn á Íslandi og annar í Svíþjóð, gátu nálgast kennitölur og svokallaða „avatar“-myndir barna án þess að hafa til þess heimild.

Persónuvernd segir í úrskurði sínum að öryggisbresturinn hafi ekki orðið vegna árásar utanaðkomandi aðila á Mentor-kerfið heldur vegna athæfis innskráðra notenda. Upplýsingarnar voru því ekki aðgengilegar einhverjum sem ekki var notandi kerfisins. 

Jafnframt er bent á að InfoMentor hafi lagt fram gögn sem sýni fram á ýmsar ráðstafanir sem gripið hafi verið til þannig að öryggi persónuupplýsinga sé tryggt.

Við ákvörðun sektarinnar horfði Persónuvernd hins vegar til þess að þetta voru persónuupplýsingar barna sem njóti sérstakrar verndar og til þeirrar miklu ábyrgðar sem InfoMentor ber í þessu samhengi. 

Þá voru viðbrögð fyrirtækisins við öryggisbrestinum talin ófullnægjandi að hluta, einkum í ljósi mistaka við tilkynningu fyrirtækisins um öryggisbrestinn til ábyrgðaraðila og til persónuverndarfulltrúa eins sveitarfélags. Fullnægjandi prófanir á tæknilegum ráðstöfunum hefðu sömuleiðis getað komið í veg fyrir öryggisbrestinn, að mati stofnunarinnar.

Í tilkynningu Persónuverndar segir að stofnunin hafi gert persónuverndarstofnunum innan EES viðvart um málið þar sem öryggisbresturinn hafði áhrif á barn í Svíþjóð. 

Drög að ákvörðuninni voru send sænsku persónuverndarstofnuninni og voru ekki gerðar neinar athugasemdir. Þetta er í fyrsta skipti sem Persónuvernd tekur ákvörðun sem varðar vinnslu persónuupplýsinga yfir landamæri eftir gildistöku nýrra persónuverndarlaga.