Etikett: Dataskydd

Skolhuvudmännen brottas med osäkerheten kring dataskyddsförordningen

Skolhuvudmännen brottas med osäkerheten kring dataskyddsförordningen

25 maj träder Dataskyddsförordningen i kraft som lag i Sverige samt i resten av EU och EES. Den innebär strängare krav på hanteringen av personuppgifter i datatjänster och även en mer strikt kontroll av att lagen efterföljs. Vilka utmaningar skapar det för skolan, där mängder av gratisappar och andra kostnadsfria digitala tjänster används i undervisningen? Vad kan göras för att hantera osäkerheten och underlätta vardagen?

Ökad kontroll och stärkt integritet

Dataskyddsförordningen ersätter personuppgiftslagen och bygger på samma grundläggande principer. Syftet är att öka fysiska personers kontroll över sina personuppgifter, att stärka den enskildes personliga integritet samt att underlätta hanteringen av personuppgifter inom EU och EES. Personuppgifter får endast överföras till tredje land om det finns en adekvat skyddsnivå eller ges särskilda garantier för att informationen och de registrerades integritet skyddas.

Utbildningsnämnden eller motsvarande nämnd är personuppgiftsansvarig för kommunala skolhuvudmän. På friskolor faller uppdraget på styrelsen eller motsvarande funktion. Den personuppgiftsansvarige avgör vilka personuppgifter som hanteras i olika digitala tjänster, och ska se till att de hanteras på ett sätt som skyddar integriteten. Rör det sig om direkta eller indirekta personuppgifter? Är uppgifterna känsliga eller integritetskänsliga? Vem är mottagare? Blir personuppgifterna överförda till tredje land? På varje skola ansvarar rektor för att lärare och annan personal känner till och följer dataskyddsförordningen och de riktlinjer som den personuppgiftsansvarige tagit fram.

PuB-avtal, dataskyddsombud och uppförandekod

Alla leverantörer av digitala tjänster som hanterar personuppgifter – alltifrån administrativa system till molntjänster och appar – är personuppgiftsbiträden (PuB). Den personuppgiftsansvarige ska därför teckna PuB-avtal med alla sådana digitala tjänster som används i verksamheten. Företagen som driver tjänsterna är skyldiga att hålla ett register över alla personuppgifter som hanteras och är skadeståndsansvariga gentemot de som registreras.

Den personuppgiftsansvarige ska utse ett dataskyddsombud (som antingen kan vara anställd eller konsult) som kan bistå med hjälp och råd. Dataskyddsombudet är också kontaktpunkt för Datainspektionen (DI), som är inspekterande myndighet och kan utfärda sanktionsavgifter om dataskyddsförordningen överträds.

Dataskyddsförordningen uppmuntrar branscher och verksamhetsområden att ta fram en uppförandekod som ger tydliga riktlinjer för hur personuppgifter ska hanteras. En uppförandekod ska godkännas och certifieras av DI för att vara giltig, men det kan ske först när lagen har trätt i kraft. För närvarande finns det inga indikationer om att en nationell uppförandekod för skolområdet är på gång.

Appar och gratistjänster är en djungel

Andreas Hedlund, som är ikt-pedagog på Skolkontoret i Skellefteå kommun, välkomnar de strängare kraven på hanteringen av personuppgifter i de digitala system och tjänster som används i skolan. Men han konstaterar samtidigt att det är onödigt att alla skolhuvudmän ska gå igenom samma process för de mest använda verktygen.

– De administrativa systemen är det inga större problem att hantera, eftersom kommunen redan har avtal med leverantörerna som lätt kan kompletteras. Det är betydligt värre med alla appar och gratistjänster som används i förskolan och skolan, och där det det inte finns något avtal. Här är det verkligen en djungel! Hur ska vi göra för att teckna ett PuB-avtal med dem? Vill de verkligen det, eftersom de kan bli skadeståndsskyldiga om det visar sig att personuppgifterna hanteras felaktigt?

Brist på enkla svar

I Stockholms stad genomför utbildningsförvaltningen en massiv fortbildningsinsats för personalen för att säkerställa att alla får en inblick i vad dataskyddsförordningen innebär. Lena Gällhagen, som är samordnare och projektledare på utbildningsförvaltningen, håller med om att många frågor är svåra att besvara.

– SKL har tagit fram utmärkt material som är väl kopplat till skolans vardag och som visar vad man inte får göra. Men problemet är att det inte alltid är lätt att bedöma om personuppgifterna är integritetskänsliga eller om de förs vidare till tredje land. Jag önskar att det även fanns material som mer tydligt förklarar vad man faktiskt får göra. Det skulle nog skapa en större trygghet bland skolledare och lärare.

Samlat grepp för att hantera osäkerheten

Göteborgs stad tar ett samlat grepp för att se till att alla verksamheter i stadsdelarna ges ett likvärdigt stöd för att räta ut frågetecknen, berättar Ingela Dahlgren, som är projektledare för arbetet med dataskyddsförordningen i för- och grundskolan. Intraservice, som levererar interna tjänster till Göteborgs Stads olika verksamheter, fungerar som ett viktigt och samordnande nav i det arbetet. Man drar också nytta av de interna kanalerna, bland annat intranätet och Hjärntorget, för att försäkra sig om att all personal får tillgång till den information som de behöver.

– Vi anstränger oss verkligen för att hantera detta, och jag tycker att vi jobbar på riktigt bra. Men det hade utan tvekan varit enklare om vi fått hjälp från statens sida med att tolka och förstå vad som faktiskt gäller. Nationella uppförandekoder för skolan vore inte heller någon dum idé. Vi utbyter erfarenheter med Västerås stad och vi har en bra, löpande dialog med SKL, men det känns ändå mer osäkert än vad det borde vara.

SKL satsar på olika former av hjälp och stöd

På SKL gör man allt vad man kan för att underlätta arbetet med dataskyddsförordningen i landets kommuner, säger Johanna Karlén, som är programansvarig för skolans digitalisering. Till exempel har SKL flera gånger anordnat webbinarier för att förklara regelverket och för att svara på frågor. Man tar också fram underlag och avtalsmallar, bland annat för att teckna PuB-avtal.

– Men det är viktigt att komma ihåg att vi inte kan teckna några centrala avtal. Det måste kommunerna och skolorna själva göra. Därför försöker vi hela tiden fånga upp de frågor som uppstår, inte minst genom att följa diskussionerna på Dela Digitalt. Om vi hittar nötter som vi och våra jurister inte själva kan knäcka, frågar vi DI och sedan ser vi till att svaren blir allmänt tillgängliga.

SKL erbjuder också ett digitalt samarbetsrum för alla kommunala verksamheter, där deltagare från många olika yrkes- och verksamhetsområden hjälper varandra med bedömningar och ger råd kring hanteringen av personuppgifter. Tanken är att det här ska vara ett mer slutet rum, och de kommuner som är intresserade får ansöka om att delta, tillägger Johanna Karlén.

– Ibland finns det förstås tydliga ja- och nej-frågor, men ofta rör det sig om rena bedömningsfrågor. Då är det bra att hjälpas åt och att försöka belysa frågan ur flera olika håll för att få en bättre bild. En vanlig fråga är när det krävs PuB-avtal och hur ett sådant bäst ska utformas.

Dataskyddsombud och preliminär uppförandekod

Dataskyddsombudet har också en viktig roll för att underlätta och ge stöd åt hanteringen av personuppgifter i skolan i respektive kommun. Utbildningsförvaltningen i Stockholms stad har rekryterat ett eget ombud och i Göteborgs stad ansvarar Intraservice för att ge alla förvaltningar och kommunala bolag tillgång till dataskyddsombud. I Skellefteå kommun har Skolkontoret tillgång till ett dataskyddsombud som man delar med utbildningsförvaltningarna i flera mindre grannkommuner. Dessutom fungerar Anette Johansson som kontaktperson och länk till dataskyddsombudet, och tar emot alla frågor kring dataskyddsförordningen som dyker upp på kommunens skolor. Än så länge har det inte ställts särskilt många frågor, konstaterar hon.

– Det beror nog dels på att dataskyddsombudet kör utbildningar om dataskyddsdirektivet i Nätverket för ikt-inspiratörer och de för i sin tur informationen vidare till sina kollegor ute på skolorna. Ett annat skäl är att dataskyddsombudet har tagit fram ett flödesschema med en preliminär uppförandekod, som gör det enklare att bedöma om appen eller tjänsten kan användas utan PuB-avtal, om det krävs ett avtal eller om tjänsten inte kan användas alls.

Flödesschemat innehåller ett antal frågor som kan besvaras med ja eller nej, säger Andreas Hedlund. Frågorna handlar till exempel om det framgår vad syftet är med att lagra personuppgifter, var dessa lagras geografiskt och hur gallring av uppgifter sker.

– Ofta handlar det om många nivåer och det är svårt att göra en solklar bedömning. Men den som följer schemat får en tydlig guidning och det verkar som att det ger ett gott stöd för det fortsatta bedömningsarbetet.

MDM kan underlätta bedömningsarbetet

Utbildningsförvaltningen i Stockholms stad använder sedan slutet av förra året en MDM-tjänst för att administrera samtliga ipads och alla appar som används i skolorna. Tjänsten gör det enkelt att få en överblick av vilka appar som har installerats och vilka skolor som använder dem, berättar Lena Gällhagen.

– Alla 260 administratörer på Stockholms kommunala skolor använder den här tjänsten i sitt arbete. Därför har vi byggt in ett formulär med frågor som baseras på kraven i dataskyddsförordningen. Om appen kräver konto och inloggning, görs en markering. Går det att ladda upp foton i en molntjänst görs också en markering, och så vidare. Utbildningsförvaltningen får en tydligare bild av läget och det blir lite lättare att bedöma om vi behöver teckna PuB-avtal.

Om en skola redan har registrerat appen, behöver arbetet inte göras om. När alla hjälps åt att gå igenom apparna, blir det mer effektivt och mindre arbete för alla, säger Lena Gällhagen.

– Den stora utmaningen är förstås vår storlek och mängden av unika appar som vi hanterar, plus att det fortfarande inte är helt solklart vad som gäller. Än så länge har vi bara tecknat ett fåtal PuB-avtal, så vi har ett stort gap som måste ses över. Men nu har vi bättre koll på vad vi behöver göra, och det är bara att jobba vidare.

Göteborg stad utnyttjar också MDM-tjänst för att administrera sina ipads och appar, men i nuläget används den inte för att underlätta bedömningen av hur personuppgifter hanteras, säger Ingela Dahlgren.

– Nej, vi låter det vara så länge, eftersom det fortfarande finns många oklarheter kring hur vi ska bedöma. Men när läget väl börjar klarna, kan det säkert bli en smidig och effektiv lösning som underlättar arbetet.

Oro för tillsyn och sanktioner

Många kommuner och skolor bekymrar sig för vilka sanktioner de kommer att drabbas av om de gör fel, men den oron är betydligt överdriven, menar Johanna Karlén.

– Det blir förstås intressant att se de första tillsynsfallen, men jag tror att DI i första hand kommer att peka på vad som behöver åtgärdas för att det inte ska bli några sanktioner. Om kommunerna bara är lyhörda och tar tag i det som behöver göras, hoppas jag att det inte uppstår några större problem.

Anette Johansson tror inte heller att det är någon större risk för omedelbara sanktionsavgifter, men att det förstås blir nödvändigt att göra det som DI pekar på.

– Naturligtvis är det viktigt att tänka sig för och att försöka göra så gott man kan. Men det svåra är att ingen riktigt vet vad som gäller. Det enda vi kan göra är att tolka regelverket och att sprida kunskapen vidare i organisationen, så att alla vet vad de ska göra.

Tidsödande arbete och bristande stöd – men medvetenheten ökar

Andreas Hedlund konstaterar att arbetet är mer besvärligt än det egentligen borde vara, men han tror att det blir bra ändå i slutändan, trots allt.

– En konsekvens blir att vi rensar bort appar och tjänster som inte vill berätta hur de hanterar användarnas personuppgifter. Det kan i sin tur leda till att vi börjar fokusera på de som är öppna med vad de gör och som ger oss de funktioner som vi behöver.

Tyvärr krävs det alltför många timmars arbete och samarbete mellan personer med en rad olika nyckelkompetenser för den som verkligen vill följa regelboken till punkt och pricka, menar Lena Gällhagen.

– Det är förstås utmärkt att barn och ungdomar får ett bättre integritetsskydd, men vi har helt enkelt inte den samlade förmåga som är nödvändig för att vi ska hinna hantera allt i tid på den infrastrukturella nivån. Det är det avgörande problemet, och här skulle vi behöva ett ordentligt stöd.

Ingela Dahlgren instämmer i att det krävs väldigt mycket tid och arbete, men konstaterar samtidigt att medvetenheten om problemen – och hur de kan hanteras – också ökar.

– Jag tror att den ökade medvetenheten ger oss nyckeln till det fortsatta arbetet. Det är ungefär som när lärare och elever ska hantera besvärligt innehåll på nätet. Problemet kan inte lösas med filter; det går inte alltid att svara ja eller nej. Filtret måste helt enkelt sitta i huvudet. Att bedöma integritet och säkerhet är ett ständigt pågående arbete som kräver reflektion och samarbete. Framtiden får utvisa vilken slags hjälp och stöd som vi behöver för att klara det här, både på den nationella och på den lokala nivån.

Text: Stefan Pålsson Först publicerad: 2018-05-23

EU:s allmänna dataskyddsförordning och skolan

EU:s allmänna dataskyddsförordning och skolan

25 maj 2018 träder EU:s nya dataskyddsförordning i kraft i unionens medlemsländer. Den kommer att ställa högre krav på verksamheter som använder datatjänster där personuppgifter hanteras. Vad innebär det för skolan? Vilka förberedelser är möjliga?

Större kontroll, smidigare hantering och högre krav

Allmänna dataskyddsförordningen (General Data Protection Regulation) är avsedd att ge fysiska personer större kontroll över sina egna data. Samma övergripande regelverk ska gälla i alla medlemsländer, men varje land kan komplettera med egna lagar och regler.

Förutom att ge fysiska personer ett bättre skydd, är tanken att underlätta hanteringen av personuppgifter inom unionen. Den nya förordningen kommer att ersätta personuppgiftslagen, den svenska tillämpningen av EU:s dataskyddsdirektiv från 1995, som började gälla 1998. Datainspektionen kommer även i fortsättningen att vara inspekterande myndighet i Sverige. Sannolikt kommer det även att inrättas en ny europeisk myndighet med ett unionsövergripande ansvar.

Den pågående digitaliseringen av skolan innebär att lärare och elever använder allt fler datatjänster där personuppgifter hanteras. Det rör sig om alltifrån appar och bloggtjänster till digitala läromedel och system för omdömen och bedömning. Med tanke på att det här arbetet fortfarande är på ett tidigt stadium, finns det anledning att tro att användningen kommer att öka väsentligt under de kommande åren. Detta kommer att ställa höga krav på skolhuvudmän och skolor framöver.

Tre aktuella utredningar

Under den senaste månaden har det överlämnats tre utredningar till regeringen som kommer att få betydelse för hur det svenska regelverket utformas: Dataskyddsutredningen, utredningen om personuppgifter inom utbildningsområdet samt Integritetskommitténs slutbetänkande.

I Integritetskommitténs slutbetänkande konstateras att användandet av sociala medier, lärplattformar och digitala läromedel innebär risker för den personliga integriteten samtidigt som det skapas nya pedagogiska möjligheter. De uppgifter som samlas in är nödvändiga för att följa elevernas utveckling – men de kan även komma att användas för andra ändamål av tjänsteleverantörerna. Med andra ord är det av stor betydelse att kunskapen om integritetsskydd förbättras inom skolans värld och att riskerna verkligen tas på allvar.

Det mesta pekar på att det inte blir någon heltäckande lag för hur personuppgifter ska hanteras. Istället kommer det sannolikt att skapas uppförandekoder inom olika samhällsområden, som tar upp säkerhet, hur personuppgifter samlas in och hanteras, och så vidare. När det gäller skolan föreslår utredningen om personuppgifter inom utbildningsområdet att regeringen ger ett sådant uppdrag till lämplig myndighet.

Även om detaljerna kring dataskyddsförordningen inte är helt klara än, är det redan väl känt vilka övergripande regler som kommer att gälla. Huvudmän och skolor kan börja förbereda sig såväl tekniskt som organisatoriskt och kunskapsmässigt. I början av året arrangerade SKL ett webbinarium, där man gav en översiktlig beskrivning av det kommande regelverket. Efterhand som det rättsliga läget klarnar, kommer säkert både SKL och andra relevanta aktörer att anordna webbinarier och andra aktiviteter som ger en tydligare och mer detaljerad bild.

Personuppgiftsansvarig, dataskyddspolicy och dataskyddsombud

Dataskyddsförordningen ställer högre krav än de som gäller idag på den personuppgiftsansvariges skyldighet att följa gällande regelverk. För offentliga skolhuvudmän är det utbildningsnämnden eller annan motsvarande nämnd i kommunen som är personuppgiftsansvarig. Det kommer också att ställas högre krav på rapportering och dokumentation. Datainspektionen kan påföra sanktionsavgifter om förordningen överträds och alla personuppgiftsincidenter ska anmälas inom 72 timmar.

Ett sätt att säkerställa att reglerna följs kan vara att ta fram en dataskyddspolicy. Ett annat kan vara att se till att integritetsvänliga lösningar så långt som möjligt byggs in i de datasystem som används på skolorna. Detta innebär ökade krav på såväl leverantören som på kommunens it-avdelning. Vägledningar för hur detta ska göras skulle kunna underlätta arbetet. Det finns ännu inte några sådana, men det är tänkbart att de så småningom kommer att tas fram av Datainspektionen eller av den nya europeiska myndigheten.

Enligt dataskyddsförordningen måste den personuppgiftsansvarige utse ett dataskyddsombud. Detta är en person som är mer kunnig inom området än den personuppgiftsansvarige och som fungerar som kontakt för Datainspektionen. Dataskyddsombudet ersätter personuppgiftsombudet och kan antingen vara upphandlad eller anställd.

Personuppgiftsbiträde

Arbetsuppgifterna för dataskyddsombudet består i att se till att regelverket efterlevs, att ta emot klagomål från de som är registrerade samt att ge information och råd till den personuppgiftsansvarige samt till personuppgiftsbiträdena.

Ett personuppgiftsbiträde är ett företag eller en person som hanterar personuppgifter åt den personuppgiftsansvarige. De dataleverantörer som huvudmannen anlitar för skolornas verksamhet är således personuppgiftsbiträden. Dataskyddsförordningen föreskriver skyldighet att hålla ett register över olika typer av personuppgiftsbehandlingar.

Ett skriftligt tillstånd från den personuppgiftsansvarige är nödvändigt för att personuppgiftsbiträdet ska kunna anlita egna underbiträden. Samma skyldigheter gäller för underbiträdet och för personuppgiftsbiträdet. Hit hör bland annat tystnadsplikt.

Personuppgiftsbiträdet har ett självständigt skadeståndsansvar gentemot de registrerade.

Alla som har fått sina personuppgifter registrerade har rätt till en kostnadsfri maskinläsbar kopia av samtliga uppgifter. I regel går det inte att kräva att offentliga uppgifter ska raderas. Däremot ska felaktiga uppgifter rättas till.

Register över vilka personuppgifter som hanteras

Den personuppgiftsansvarige är skyldig att föra ett register över de personuppgifter som hanteras i huvudmannens och skolornas olika system. Registret ska innehålla den personuppgiftsansvariges namn och adress och en förklaring till varför personuppgifterna behöver behandlas.

I registret ska det finnas en förteckning över vilka som berörs samt vilka typer av uppgifter som det rör sig om. Dessutom krävs uppgifter om mottagare eller kategorier av mottagare samt information om uppgifter ska föras över till tredje land, det vill säga ett land som inte ingår i EU. Registret ska också innehålla en beskrivning som gör det möjligt att kontrollera att det vidtagits tillräckliga åtgärder för att trygga informationssäkerheten och de registrerades personliga integritet.

Förberedelserna kan börja nu

Dataskyddsförordningen ställer betydligt högre krav på ordning och reda än vad som är fallet idag. Därför är det viktigt att skolhuvudmannen sätter igång förberedelserna redan nu. Hos Datainspektionen finns bland annat klar och tydlig information om grunderna i den nya dataskyddsförordningen samt vägledning kring förberedelser för personuppgiftsansvariga och för personuppgiftsbiträden.

En central del av det här arbetet består i att informera personalen och att få igång en diskussion och en ökad medvetenhet kring informationssäkerhet och integritet. Det gäller också att börja utbilda i personuppgiftsbehandling och att skapa en överblick över det digitala ekosystem av tjänster som används. Redan nu är det bra att börja inventeringen och att undersöka när och var personuppgifter hanteras. Om det saknas dokumentation, gäller det att se till att den skapas. Det är också viktigt att göra en risk- och sårbarhetsanalys och att börja informationssäkerhetsklassa informationen.

Dataskydd och bevarandet av den personliga integriteten är centrala delar av skolans mjuka infrastruktur – och en viktig pusselbit i arbetet med skolans digitalisering.

Text: Stefan Pålsson Först publicerad: 2017-06-14