Departemen Pendidikan telah ditegur setelah mengizinkan perusahaan perjudian mengakses data rahasia anak-anak. Investigasi yang dilakukan oleh Kantor Komisi Informasi menemukan pelanggaran data yang serius, karena informasi hingga 28 juta anak tidak digunakan untuk tujuan aslinya.
Departemen pemerintah gagal mencegah akses tidak sah ke data 28 juta anak. ©Sergei Star/Pexels
Penyalahgunaan Data
Kantor Komisi Informasi telah menegur Departemen Pendidikan setelah terbukti melanggar undang-undang perlindungan data secara serius. Perusahaan taruhan diizinkan untuk menggunakan informasi hingga 28 juta anak di database siswa untuk pemeriksaan verifikasi usia.
ICO telah menggambarkan kasus ini sebagai penyalahgunaan informasi sensitif yang berkepanjangan, karena tidak digunakan untuk tujuan yang dimaksudkan. Penyelidikannya menemukan bahwa karena uji tuntas yang buruk di Departemen Pendidikan, database catatan pembelajaran murid digunakan oleh Trust Systems Software UK Ltd.
Perusahaan, yang diperdagangkan sebagai Trustopia, adalah perusahaan penyaringan pekerjaan. Ini memungkinkan data dalam basis data layanan catatan pembelajaran untuk digunakan oleh operator perjudian untuk memeriksa bahwa mereka yang membuka akun perjudian online berusia di atas delapan belas tahun.
Departemen Pendidikan memberikan Trustopia akses ke database ketika menyarankan bahwa itu adalah nama dagang baru untuk Edudes Ltd, yang sebelumnya menjadi penyedia pelatihan. Sebenarnya, Trustopia adalah perusahaan penyaringan dan menggunakan database untuk tujuan verifikasi usia. Ini menawarkan layanan ini kepada bisnis termasuk GB Group, yang membantu operator perjudian dalam memeriksa usia penggunanya. Di antara operator yang bekerja sama dengan GB Group adalah Betfair dan 32Red.
Trustopia memiliki akses ke database LRS dari September 2018 hingga Januari 2020. Selama waktu ini, Trustopia melakukan pencarian pada 22.000 pelajar sebagai bagian dari pemeriksaan verifikasi usia. Departemen Pendidikan telah memverifikasi bahwa Trustopia tidak pernah memberikan pelatihan pendidikan yang didanai pemerintah.
Menurut ICO, berbagi data ini bertentangan dengan undang-undang perlindungan data, karena informasi anak muda tidak digunakan untuk tujuan aslinya. Departemen Pendidikan bertanggung jawab atas informasi yang terkandung dalam database LRS, yang mencatat kualifikasi murid yang dapat diakses oleh penyelenggara pendidikan.
Denda £10 Juta Dihindari
Dalam sebuah pernyataan yang diterbitkan oleh ICO, dikatakan bahwa mereka telah mengeluarkan teguran kepada Departemen Pendidikan dan menguraikan langkah-langkah jelas yang harus dilakukan untuk meningkatkan praktik perlindungan datanya. Mengomentari insiden itu, Komisaris Informasi Inggris John Edwards menjelaskan bahwa Departemen Pendidikan bersalah atas pelanggaran data yang serius. Edwards menyatakan:
“Tidak ada yang perlu dibujuk bahwa database catatan belajar siswa yang digunakan untuk membantu perusahaan perjudian tidak dapat diterima. Penyelidikan kami menemukan bahwa proses yang dilakukan oleh Departemen Pendidikan sangat menyedihkan. Data disalahgunakan, dan Departemen tidak menyadari bahkan ada masalah sampai sebuah surat kabar nasional memberi tahu mereka.”
Melanjutkan, Edwards mengatakan bahwa masyarakat umum memiliki hak untuk mengharapkan bahwa departemen pemerintah pusat memperlakukan data kami dengan hormat dan keamanan. Ini sangat penting jika menyangkut informasi pribadi anak di bawah umur. Dengan demikian, departemen pemerintah gagal dalam kewajibannya untuk menggunakan dan membagikan data anak-anak secara sah, transparan, dan adil.
Departemen juga gagal mencegah akses tidak sah ke data, memastikan pengawasan yang diperlukan dan menghentikan akses informasi untuk tujuan yang tidak sesuai dengan penyediaan layanan pendidikan. Sebagai pelanggaran hukum yang serius, Edwards menambahkan bahwa itu akan menjamin denda 10 juta poundsterling.
Namun, ICO telah mengambil keputusan dalam kasus ini untuk tidak mengeluarkan denda. Dijelaskan bahwa sanksi finansial akan berdampak minimal, karena uang mereka akan dikembalikan ke pemerintah. Namun demikian, ICO ingin menunjukkan betapa seriusnya kesalahan Departemen Pendidikan, dan seberapa mendesaknya mereka harus diperbaiki.
Awal tahun ini, Komisaris Informasi Inggris mengumumkan pendekatan baru terhadap sektor publik, yang bertujuan untuk mengurangi dampak denda pada publik. Seandainya persidangan ini tidak ditetapkan pada bulan Juni, Departemen Pendidikan akan dikenakan denda yang besar.
Departemen Pendidikan Diaudit
Investigasi ICO diluncurkan setelah menerima laporan dari Departemen Pendidikan tentang akses tidak sah ke database LRS-nya. Departemen pemerintah pertama kali mengetahui pelanggaran tersebut ketika diekspos oleh sebuah surat kabar nasional.
Basis data berisi informasi pribadi hingga 28 juta anak dan remaja berusia empat belas tahun ke atas. Informasi dalam database mencakup nama lengkap, tanggal lahir dan jenis kelamin individu, serta prestasi belajar dan pelatihan mereka. Bidang sukarela juga merinci alamat email dan kebangsaan. Basis data menyimpan informasi itu selama 66 tahun.
Pada saat pelanggaran terjadi, 12.600 organisasi memiliki akses ke database LRS. Ini sebagian besar terdiri dari sekolah, perguruan tinggi dan lembaga pendidikan tinggi. Organisasi-organisasi ini diizinkan untuk menggunakan data untuk memeriksa kualifikasi akademik siswa dan menilai apakah mereka memenuhi syarat untuk mendapatkan pendanaan.
Sejak insiden itu terjadi, departemen pemerintah telah menarik akses database dari 2.600 organisasi. Ini juga telah memperkuat proses pendaftarannya. ICO telah mencatat bahwa Departemen Pendidikan sekarang secara teratur memeriksa pencarian yang berlebihan di database dan membatalkan pendaftaran organisasi yang tidak menggunakannya lagi.
ICO menyatakan bahwa insiden itu bertepatan dengan pemberitahuan penilaian dan audit wajib dari Departemen Pendidikan. Departemen setuju untuk memasukkan pertanyaan yang berkaitan dengan database dengan audit. Ini telah bekerja sama dengan ICO sejak audit, yang berlangsung pada tahun 2020, dan terus mengambil langkah-langkah untuk meningkatkan praktik perlindungan datanya.
Pada saat yang sama, ICO melakukan penyelidikan terhadap Trustopia. Perusahaan menyatakan bahwa mereka tidak lagi memiliki akses ke database dan telah menghapus cache data yang disimpan dalam file sementara. Trustopia dibubarkan sebelum penyelidikan ICO dapat diselesaikan, mencegahnya untuk dapat mengambil tindakan pengaturan.
Apakah Anda menikmati artikel ini? Kemudian bagikan dengan teman-teman Anda.
Bagikan di Pinterest
