IMY (Integritetsskyddsmyndigheten) har utfärdat en sanktionsavgift till Stockholms stad bland annat på grund av att känsliga och integritetskänsliga personuppgifter läckte ut. Utbildningsnämnden lagrade personuppgifterna utan tillräcklig säkerhet. Myndigheten tog emot ett antal anmälningar gällande personuppgiftsincidenter som rörde Stockholm stads utbildningsnämnd. Efter granskningen kom myndigheten fram till att de brustit i sin säkerhet och därmed får de en sanktionsavgift på 4 miljoner kronor. Maxbeloppet som en myndighet kan få är 10 miljoner kronor.
Känsliga och integritetskänsliga personuppgifter läckte
Skolplattformen som de tillhandahöll är ett IT-system för lärare, där det bland annat finns information om lärare, elever samt vårdnadshavare. Dessutom finns det känsliga och integritetskänsliga personuppgifter och information om personer som har skyddad identitet. Användare av tjänsten har bland annat haft tillgång till mycket uppgifter som de inte borde haft. Exempelvis uppgifter om personer med skyddad identitet. Dessutom har vårdnadshavare kunnat se betyg och annat tillhörande barn som inte är deras egna. Utöver det har det gått att logga in genom länkar som funnits via sökmotor såsom Google, där det framgått uppgifter om lärare som har haft en skyddad identitet.
Efter sin granskning har IMY konstaterat att utbildningsnämnden som ansvarar för plattformen, inte har vidtagit tillräckligt hög säkerhet. Säkerheten ska vara i proportion till risken som behandlingen av personuppgifterna kan medföra, vilket myndigheten kom fram till att nämnden inte gjort. Ju känsligare personuppgifter, desto större säkerhet måste den som behandlar personuppgifter vidta.