25 maj 2018 träder EU:s nya dataskyddsförordning i kraft i unionens medlemsländer. Den kommer att ställa högre krav på verksamheter som använder datatjänster där personuppgifter hanteras. Vad innebär det för skolan? Vilka förberedelser är möjliga?
Större kontroll, smidigare hantering och högre krav
Allmänna dataskyddsförordningen (General Data Protection Regulation) är avsedd att ge fysiska personer större kontroll över sina egna data. Samma övergripande regelverk ska gälla i alla medlemsländer, men varje land kan komplettera med egna lagar och regler.
Förutom att ge fysiska personer ett bättre skydd, är tanken att underlätta hanteringen av personuppgifter inom unionen. Den nya förordningen kommer att ersätta personuppgiftslagen, den svenska tillämpningen av EU:s dataskyddsdirektiv från 1995, som började gälla 1998. Datainspektionen kommer även i fortsättningen att vara inspekterande myndighet i Sverige. Sannolikt kommer det även att inrättas en ny europeisk myndighet med ett unionsövergripande ansvar.
Den pågående digitaliseringen av skolan innebär att lärare och elever använder allt fler datatjänster där personuppgifter hanteras. Det rör sig om alltifrån appar och bloggtjänster till digitala läromedel och system för omdömen och bedömning. Med tanke på att det här arbetet fortfarande är på ett tidigt stadium, finns det anledning att tro att användningen kommer att öka väsentligt under de kommande åren. Detta kommer att ställa höga krav på skolhuvudmän och skolor framöver.
Tre aktuella utredningar
Under den senaste månaden har det överlämnats tre utredningar till regeringen som kommer att få betydelse för hur det svenska regelverket utformas: Dataskyddsutredningen, utredningen om personuppgifter inom utbildningsområdet samt Integritetskommitténs slutbetänkande.
I Integritetskommitténs slutbetänkande konstateras att användandet av sociala medier, lärplattformar och digitala läromedel innebär risker för den personliga integriteten samtidigt som det skapas nya pedagogiska möjligheter. De uppgifter som samlas in är nödvändiga för att följa elevernas utveckling – men de kan även komma att användas för andra ändamål av tjänsteleverantörerna. Med andra ord är det av stor betydelse att kunskapen om integritetsskydd förbättras inom skolans värld och att riskerna verkligen tas på allvar.
Det mesta pekar på att det inte blir någon heltäckande lag för hur personuppgifter ska hanteras. Istället kommer det sannolikt att skapas uppförandekoder inom olika samhällsområden, som tar upp säkerhet, hur personuppgifter samlas in och hanteras, och så vidare. När det gäller skolan föreslår utredningen om personuppgifter inom utbildningsområdet att regeringen ger ett sådant uppdrag till lämplig myndighet.
Även om detaljerna kring dataskyddsförordningen inte är helt klara än, är det redan väl känt vilka övergripande regler som kommer att gälla. Huvudmän och skolor kan börja förbereda sig såväl tekniskt som organisatoriskt och kunskapsmässigt. I början av året arrangerade SKL ett webbinarium, där man gav en översiktlig beskrivning av det kommande regelverket. Efterhand som det rättsliga läget klarnar, kommer säkert både SKL och andra relevanta aktörer att anordna webbinarier och andra aktiviteter som ger en tydligare och mer detaljerad bild.
Personuppgiftsansvarig, dataskyddspolicy och dataskyddsombud
Dataskyddsförordningen ställer högre krav än de som gäller idag på den personuppgiftsansvariges skyldighet att följa gällande regelverk. För offentliga skolhuvudmän är det utbildningsnämnden eller annan motsvarande nämnd i kommunen som är personuppgiftsansvarig. Det kommer också att ställas högre krav på rapportering och dokumentation. Datainspektionen kan påföra sanktionsavgifter om förordningen överträds och alla personuppgiftsincidenter ska anmälas inom 72 timmar.
Ett sätt att säkerställa att reglerna följs kan vara att ta fram en dataskyddspolicy. Ett annat kan vara att se till att integritetsvänliga lösningar så långt som möjligt byggs in i de datasystem som används på skolorna. Detta innebär ökade krav på såväl leverantören som på kommunens it-avdelning. Vägledningar för hur detta ska göras skulle kunna underlätta arbetet. Det finns ännu inte några sådana, men det är tänkbart att de så småningom kommer att tas fram av Datainspektionen eller av den nya europeiska myndigheten.
Enligt dataskyddsförordningen måste den personuppgiftsansvarige utse ett dataskyddsombud. Detta är en person som är mer kunnig inom området än den personuppgiftsansvarige och som fungerar som kontakt för Datainspektionen. Dataskyddsombudet ersätter personuppgiftsombudet och kan antingen vara upphandlad eller anställd.
Personuppgiftsbiträde
Arbetsuppgifterna för dataskyddsombudet består i att se till att regelverket efterlevs, att ta emot klagomål från de som är registrerade samt att ge information och råd till den personuppgiftsansvarige samt till personuppgiftsbiträdena.
Ett personuppgiftsbiträde är ett företag eller en person som hanterar personuppgifter åt den personuppgiftsansvarige. De dataleverantörer som huvudmannen anlitar för skolornas verksamhet är således personuppgiftsbiträden. Dataskyddsförordningen föreskriver skyldighet att hålla ett register över olika typer av personuppgiftsbehandlingar.
Ett skriftligt tillstånd från den personuppgiftsansvarige är nödvändigt för att personuppgiftsbiträdet ska kunna anlita egna underbiträden. Samma skyldigheter gäller för underbiträdet och för personuppgiftsbiträdet. Hit hör bland annat tystnadsplikt.
Personuppgiftsbiträdet har ett självständigt skadeståndsansvar gentemot de registrerade.
Alla som har fått sina personuppgifter registrerade har rätt till en kostnadsfri maskinläsbar kopia av samtliga uppgifter. I regel går det inte att kräva att offentliga uppgifter ska raderas. Däremot ska felaktiga uppgifter rättas till.
Register över vilka personuppgifter som hanteras
Den personuppgiftsansvarige är skyldig att föra ett register över de personuppgifter som hanteras i huvudmannens och skolornas olika system. Registret ska innehålla den personuppgiftsansvariges namn och adress och en förklaring till varför personuppgifterna behöver behandlas.
I registret ska det finnas en förteckning över vilka som berörs samt vilka typer av uppgifter som det rör sig om. Dessutom krävs uppgifter om mottagare eller kategorier av mottagare samt information om uppgifter ska föras över till tredje land, det vill säga ett land som inte ingår i EU. Registret ska också innehålla en beskrivning som gör det möjligt att kontrollera att det vidtagits tillräckliga åtgärder för att trygga informationssäkerheten och de registrerades personliga integritet.
Förberedelserna kan börja nu
Dataskyddsförordningen ställer betydligt högre krav på ordning och reda än vad som är fallet idag. Därför är det viktigt att skolhuvudmannen sätter igång förberedelserna redan nu. Hos Datainspektionen finns bland annat klar och tydlig information om grunderna i den nya dataskyddsförordningen samt vägledning kring förberedelser för personuppgiftsansvariga och för personuppgiftsbiträden.
En central del av det här arbetet består i att informera personalen och att få igång en diskussion och en ökad medvetenhet kring informationssäkerhet och integritet. Det gäller också att börja utbilda i personuppgiftsbehandling och att skapa en överblick över det digitala ekosystem av tjänster som används. Redan nu är det bra att börja inventeringen och att undersöka när och var personuppgifter hanteras. Om det saknas dokumentation, gäller det att se till att den skapas. Det är också viktigt att göra en risk- och sårbarhetsanalys och att börja informationssäkerhetsklassa informationen.
Dataskydd och bevarandet av den personliga integriteten är centrala delar av skolans mjuka infrastruktur – och en viktig pusselbit i arbetet med skolans digitalisering.
Text: Stefan Pålsson Först publicerad: 2017-06-14
