Ályktun og fyrirspurn stjórnar Heimilis og skóla í kjölfar öryggisvillu hjá Mentor

Fimmtudaginn 14. febrúar 2019 komst það upp að notanda Mentor tókst að safna kennitölum og forsíðumyndum 422 nemenda í 96 skólum í sveitarfélögum um land allt. Notandinn var skráður inn í upplýsingakerfi Mentor og gat sótt upplýsingarnar vegna veikleika í kerfinu en viðkomandi hefur nú útskýrt að tilgangurinn var að benda á þennan veikleika. Samkvæmt upplýsingum hefur verið sannreynt að ekki var um að ræða neinar aðrar upplýsingar en kennitölu og forsíðumynd viðkomandi nemenda og haft hefur verið samband við þá sem fyrir brotinu urðu. Gott er að forsvarsmenn Mentor brugðust skjótt og vel við en eftir sitja ýmis vafaatriði.

Heimili og skóla – landssamtökum foreldra hafa borist fyrirspurnir og ábendingar vegna þessa og er ljóst að foreldrar hafa áhyggjur af hvernig unnið er með persónuupplýsingar skólabarna. Stjórn Heimilis og skóla vill koma því á framfæri að litið er alvarlegum augum á atvikið og óskar svara frá Sambandi íslenskra sveitarfélaga, Persónuvernd og Mentor við eftirfarandi spurningum.

Persónuvernd gerði á sínum tíma ítarlegar athugasemdir við vinnslu grunnskóla á persónuupplýsingum í Mentor og tilkynnti að ef ekki yrði orðið við athugasemdum Persónuverndar yrði tekið til skoðunar að stöðva alla frekari skráningu persónuupplýsinga í vefkerfið Mentor hjá skólunum. Sneri sú úttekt einkum að verklagi grunnskólanna en ekki var um að ræða tæknilega úttekt. Hafa skólar landsins almennt brugðist við kröfum Persónuverndar? Var búið að bregðast við þeim núna fyrir innbrotið? Hvers konar upplýsingar um nemendur eru skráðar í kerfið? Hversu lengi eru þessar upplýsingar varðveittar í gagnagrunnum? Hver er ábyrgð sveitarfélaganna hvað varðar úrvinnslu persónuupplýsinga í Mentor? Hver er ábyrgð þeirra á öryggi kerfisins?

Hver eru viðurlögin við að brjótast inn í kerfi eins og Mentor og sækja þangað upplýsingar? Hvernig er verklagi við öryggisúttektir og áhættumat á kerfi á borð við Mentor háttað? Er virk öryggisstefna? Er hún bundin í ferla, vottuð og endurskoðuð reglulega? Hvert er hægt að tilkynna grun um öryggisgalla? Er ástæða til að auðvelda fólki að koma með slíkar ábendingar, t.d. með ábendingahnappi?

Virðingafyllst

Stjórn Heimilis og skóla – landssamtaka foreldra