Viktigt att hålla koll på vad lagen säger om
personuppgifter i skolornas it-system?
Att använda digital teknik för administration
är en självklarhet på de flesta skolor i landet.
Det är dock inte säkert att skolpersonalen
vet vilka regler som gäller för
elektronisk hantering av personuppgifter.
I april 2011 genomförde Datainspektionen
en heldagskonferens om
Personuppgiftslagen i skolan, då drygt
200 skolledare, kommunpolitiker, ittekniker,
lärare och andra med skolanknytning
fick lära sig mer om vad man
måste tänka på när det gäller skolornas
hantering av personuppgifter.
De flesta skolor i Sverige använder
någon form av digitala system för att
hantera information om sina elever,
exempelvis namn, personnummer,
adresser, klasslistor, scheman, frånvaro
och betyg. Det har också blivit
allt vanligare med digitala lärplattformar
som ett stöd i den pedagogiska
verksamheten. Lärplattformar,
som på engelska kallas LMS (learning
management system) eller VLE
(virtual learning environment), kan
enkelt beskrivas som en webbaserad
miljö för studier. Lärplattformarna
används i vissa sammanhang för helt
nätbaserad distansundervisning men
på många skolor fungerar de som en
integrerad del av den gängse undervisningen.
De digitala systemen erbjuder
stora möjligheter att administrera
undervisningen på ett effektivt sätt
genom att läraren kan göra mycket
material tillgängligt för eleverna via
internet, såsom kursplaneringar,
läxor, provresultat, omdömen, individuella
utvecklingsplaner och mycket
annat.
En del plattformar har särskilda
virtuella rum för varje kurs där läraren
kan lägga ut alla relevanta dokument
för kursen och där eleverna
också kan ladda upp egna inlämningsuppgifter.
I vissa plattformar
finns också funktioner för direktkommunikation
mellan lärare och elever.
Personuppgiftslagen sätter gränser
Samtidigt som den digitala tekniken
skapar fantastiska möjligheter kan det
vara svårt för enskilda lärare och skolledare
att hålla reda på vilka regler
som gäller när man hanterar personuppgifter
elektroniskt. Datainspektionens
skolkonferens om Personuppgiftslagen
syftade till att fylla en stor
del av dessa kunskapsluckor.
Personuppgiftslagen (pul) inrättades
1998. Den första paragrafen i
lagen slår fast att syftet med lagen är
att ”skydda människor mot att deras
personliga integritet kränks genom
behandling av personuppgifter.” En
personuppgift definieras av pul som
”all slags information som direkt eller
indirekt kan hänföras till en fysisk person
som är i livet”.
Erik Janzon, jurist och chef för
enheten för utbildningsfrågor på Datainspektionen,
var en av talarna på
konferensen. Han påpekade inledningsvis
att pul ger mandat för skolor
att hantera personuppgifter, men att
lagen inte innehåller några särskilda
bestämmelser för just skolorna. Däremot
rymmer personuppgiftslagen en
hel del begränsningar som är speciellt
viktiga för skolor att känna till.
Enligt Erik Janzon är målsättningen
att man ska kunna ha en balans
mellan integritetsskydd och en rationell
databehandling. Utan tvekan
finns det otroliga vinster med digital
hantering av personuppgifter. Samtidigt
finns en risk att de digitala uppgifterna
kan missbrukas eller komma
på avvägar. Det är i detta sammanhang
Personuppgiftslagen blir viktig,
då den reglerar den elektroniska behandlingen
av personuppgifter.
– Personlig integritet är i grunden
en mänsklig rättighet, och det är detta
personuppgiftslagen värnar om, säger
Erik Janzon.
Brister i hanteringen av elevers
personuppgifter
Mellan 2008-2010 genomförde Datainspektionen
flera tillsynsprojekt och
granskade ett trettiotal olika skolor
och deras elevadministrativa system.
Under granskningen framkom ett
antal centrala brister i skolornas hantering
av personuppgifter.
En av de brister Datainspektionen
uppmärksammade var att skolor
inte alltid hade kartlagt i vilka olika
system skolan lagrar personuppgifter.
En och samma skola kan hantera
elevuppgifter i en rad olika system
samtidigt: intranätet, lärplattformen,
biblioteket, individuella nyckelkort,
schemaprogram och betygsregistrering.
En annan brist som Erik Janzon
lyfte fram rörde de it-säkehetsåtgärder
skolan vidtagit när det gäller åtkomst
till personuppgifter via internet.
hålla koll på vad lagen säger om
personuppgifter i skolornas it-system?
– Om skolan publicerar integritetskänsliga
uppgifter om eleverna så
måste man säkerställa att det verkligen
är rätt person som loggar in.
Då räcker det inte med användarnamn
och lösenord för att logga in i
systemet, utan man måste använda
engångslösenord, e-legitimation eller
någon annan form av stark autentisering,
säger Erik Janzon.
Integritetskänsliga uppgifter är
till exempel sådant som rör sjukdom,
etnisk härkomst, religiös eller politisk
tillhörighet. Men även värderande
omdömen om eleven och dennes
studieresultat räknas som integritetskänsliga.
Personuppgifter i molnet
Datainspektionen har tagit fram en
checklista för att hjälpa skolor att
följa lagen och undvika de brister
som framkommit i granskningarna.
Där påpekar man bland annat att det
också är viktigt att det företag som
tillhandahåller skolans it-systen följer
reglerna och att det är skolan som
har ansvar för att personuppgifterna
raderas även från systemleverantörens
servrar. Detta är särskilt viktig att
tänka på för de skolor som använder
molntjänster i sin administration.
Erik Janzon påpekar att det inte
finns några särskilda regler för molntjänster,
utan att den enskilda skolan
fortfarande har det yttersta ansvaret
för de uppgifter som publiceras. Det
finns dock ett principiellt förbud mot
att överföra personuppgifter utanför
ESS-området, vilket kan medföra
vissa begränsningar i användningen
av molntjänster.
– Skolan har alltid en skyldighet
att kontrollera var uppgifterna finns
lagrade och var de behandlas, säger
Erik Janzon.
Datainspektionen genomför under
våren 2011 ett tillsynsprojekt där man
särskilt granskar användningen av
molntjänster i ett antal kommuner.
Det finns en hel del svåra rättsliga
frågor när det gäller användningen av
just molntjänster. På Datainspektionens
webbplats kan man följa utvecklingen
och framöver kommer man att
erbjuda vägledning i dessa frågor.
Checklista
Datainspektionen har tagit fram en checklista för att hjälpa skolor att följa
lagen och undvika de brister som framkommit i granskningarna. Här följer
några av de viktigaste punkterna i checklistan:
• Varje skola måste inventera systemen och kartlägga var personuppgifter
finns lagrade. Även lärares egna register på privata hemdatorer ska ingå i
kartläggningen.
• Skolan måste ge tydlig information till elever och vårdnadshavare om vilka
personuppgifter som registreras, vilka syften registreringen har och hur
länge dessa uppgifter kommer att lagras.
• Skolan måste ha tydliga riktlinjer för vad som får skrivas i de digitala system
som hanterar elevuppgifter. Om systemet har fritextfält är detta extra
viktigt. För att undvika problem kan man låta systemet begränsa vad som
får skrivas eller införa särskilda kommentarsalternativ så att man inte kan
formulera något själv.
• Om skolan publicerar integritetskänsliga uppgifter så måste systemet ha
en stark autentisering vid inloggningen.
• Om skolan registrerar integritetskänsliga personuppgifter krävs alltid samtycke
från eleven.
• Skolan måste begränsa personalens behörighet till personuppgifterna.
Endast den skolpersonal som har ansvar för en viss elev (t.ex. lärare eller
mentor) ska ha tillgång till dennes personuppgifter.
• Skolan måste också ha en plan för att personuppgifterna i systemet gallras
med jämna mellanrum. Behåller skolan personuppgifter som man inte
längre har användning av så bryter man mot PuL.
• Det är dessutom viktigt att det företag som tillhandahåller skolans itsystem
följer reglerna. Skolan har ansvar för att personuppgifterna raderas
även från systemleverantörens servrar.
Den fullständiga checklistan och mer om Datainspektionens skolgranskningar
finns på Datainspektionens webbsidor om pul i skolan.
Läs mer om Datainspektionens heldagskonferens på Kolla källan.