Läs senare

Dags att förbereda sig för den nya dataskyddsförordningen

JURIDIKInsamling och spridning av uppgifter om elever kan leda till att elever ges ”digitala tatueringar”, som följer dem under hela deras liv, vilket i värsta fall kan leda till svårigheter långt efter att uppgifterna har spelat ut sin roll.

12 Dec 2016

Skolans digitalisering innebär allvarliga risker för elevernas personliga integritet och att det finns stora brister i hur IT hanteras i skolan, visar en ny statlig utredning.
En kort tillbakablick ger vid handen att digitaliseringen skett utan att integritets- och säkerhetsfrågorna fått tillräcklig uppmärksamhet. När Datainspektionen år 2001 granskade skolors användning av IT-system visade det sig att det endast sällan lagrades uppgifter om elever i något IT-system. Sju år senare gjorde Datainspektionen en ny granskning som visade att IT-system användes flitigt i elevadministration och att skolorna ofta lagrade uppgifter om elevernas sjukdom, frånvaro, betyg och utvecklingsplaner.
Datainspektionen påpekade att skolorna och deras IT-leverantörer ofta hade bristande gallringsrutiner, att känsliga uppgifter registrerades på ett tveksamt sätt samt att IT-säkerheten var bristfällig. Granskningen visade vidare att skolorna ofta saknade regler och instruktioner för vad som fick skrivas i fritextfält. Året därpå följde Datainspektionen upp och fann att stora säkerhetsbrister kvarstod.
Sedan 2009 har digitaliseringen fortsatt och olika IT-system är en självklar del av skolans och elevernas vardag. IT-systemen är numera ofta dynamiska och interaktiva, vilket innebär att de konstruerats så att användarna medvetet eller omedvetet lämnar från sig stora mängder data i syfte att vidareutveckla system och att ge bästa nytta och upplevelse. Information om enskilda har dessutom blivit en handelsvara, vilket innebär att en leverantör kan erbjuda en tjänst gratis eller billigt för att komma över uppgifter om enskilda.

Den nya förordningen ställer krav på att skolhuvudmännen säkerställer och intensifierar det pågående IT-säkerhets- och integritetsarbetet.
Den nya förordningen ställer krav på att skolhuvudmännen säkerställer och intensifierar det pågående IT-säkerhets- och integritetsarbetet. Foto: Colourbox

I en nyligen publicerad statlig utredning Hur står det till med den personliga integriteten? kartläggs och beskrivs faktiska integritetsrisker utifrån ett individperspektiv inom ett stort antal samhällsområden, bland annat inom skolans och arbetslivets områden. Utredningen beskriver att skolan digitaliseras i allt snabbare takt och att ett stort antal uppgifter om elever hanteras i skolornas IT-system.
Kartläggningen visar att år 2015 använde 67 procent av de kommunala skolorna och 56 procent av de fristående skolorna internetbaserade lärplattformar, sju av tio grundskolor och åtta av tio gymnasieskolor använde molntjänster, alltfler skolor hanterar schema, skolresultat etcetera via webben och många lärare kommunicerar med elever via sociala medier.
Tyvärr visar kartläggningen också att det finns stora säkerhetsbrister och kunskapsbrister, och att detta gäller även hos systemleverantörerna. Utredningen pekar särskilt på att dagens användning av lärplattformar och sociala medier innebär allvarliga risker för elevers integritet på ett sätt som kan vara svårt att senare reparera.

När det gäller hantering av personuppgifter i skolan finns det regler i personuppgiftslagen, offentlighets- och sekretesslagen, skollagen och i vissa fall i patientdatalagen. Det är alltså ett omfattande regelverk som måste beaktas. När det gäller personuppgiftslagen är det Datainspektionen som är den tillsynsmyndighet som har att bevaka området. På skolans område har Datainspektionen fattat ett relativt stort antal beslut och då har det exempelvis handlat om kameraövervakning och molntjänster.

Fråga förbundsjuristen

Kirsi Piispanen svarar på juridiska frågor.
Skriv till: redaktionen@chefochledarskap.seKirsi Piispanen

Hittills har skolorna haft att tillämpa personuppgiftslagen men från den 25 maj 2018 gäller en ny dataskyddsförordning som svensk lag. Den nu gällande personuppgiftslagen kommer således att revideras eller helt ersättas. Innehållet i den nya dataskyddsförordningen är redan klart och går att studera, till exempel på Datainspektionens hemsida. Datainspektionen har också tagit fram en vägledning till personuppgiftsansvariga som även skolledare kan ha nytta av att studera. Gå in på www.datainspektionen.se och sök på ”vägledning pua”.

Reglerna i den nya dataskyddsförordningen kommer att innebära att skolhuvudmännen behöver säkerställa och intensifiera det pågående IT-säkerhets- och integritetsarbetet. Förordningen kommer att innebära skärpningar jämfört med det som gäller i dag. Bland annat kommer de registrerade att få ökade rättigheter, det kommer att finnas krav på omedelbar rapportering av integritetsbrott, det införs krav på dokumentation, uppföljning och riskanalyser och det införs betydligt tuffare sanktioner för brott mot förordningen.

I dag är det vanligt att IT-frågorna hanteras av flera personer i skolorna och beslut att använda ett IT-verktyg kan fattas av ett flertal anställda, vilket dock ofta leder till att säkerhets- och integritetsfrågorna inte får den uppmärksamhet som de kräver. För att underlätta övergången till de nya reglerna bör skolhuvudmännen och skolorna redan nu säkerställa att IT- och säkerhetsarbetet följer den nuvarande personuppgifts­lagen och att beslut fattas på rätt nivå. Samtidigt som arbetet för att anpassa verksamheten till de nya reglerna behöver inledas.

ur Lärarförbundets Magasin