Podstawą nałożenia kary przez urząd w październiku 2019 r. było niezastosowanie zabezpieczeń adekwatnych do ryzyk związanych z używaniem aplikacji, w ramach której dochodziło do komunikacji pomiędzy nauczycielami, uczniami oraz ich rodzicami. Początkowo gmina miała zostać ukarana kwotą 200 000 euro, jednakże z uwagi na chęć współpracy z organem oraz podjęte działania w celu ograniczenia szkód, niezwłocznie po wykryciu wad bezpieczeństwa, sankcja ta została zmniejszona.
Kluczowymi elementami generującymi potencjalne ryzyko było:
- Umożliwienie przesyłania informacji dotyczących absencji ucznia przez rodzica przy użyciu otwartego pola tekstowego w aplikacji zamiast np. checkboxów. Tego typu rozwiązanie sprawiło, że osoba wysyłająca wiadomość mogła zawrzeć w nim o wiele szerszy niż wymagany zakres danych w tym np. dotyczące stanu zdrowia. Jest to efekt nieuwzględnienia ochrony danych osobowych w fazie projektowania aplikacji Skolemelding.
- Zastosowanie niewystarczających zabezpieczeń logowania do aplikacji, co pozwoliło na nieautoryzowany dostęp do niej, a w konsekwencji także do danych ponad 63 tysięcy uczniów, ich rodziców i nauczycieli.
- Przeprowadzanie nieodpowiednich testów bezpieczeństwa, czego skutkiem były luki w zabezpieczeniach aplikacji.
Gmina nie odwołała się od decyzji urzędu.