Hoppa till huvudinnehåll
Telefon: 08-567 062 00 - Fax: 08-567 062 99 - E-post: info@skolledarna.se - Besöksadress: Vasagatan 48, 5 tr - Postadress: Box 3266, 103 65 Stockholm
Länk till Hem
OM FÖRBUNDET PRESS KONTAKT A-Ö AVANCERAD SÖKNING
HEM
SKOLLEDAREN
MEDLEM
FÖRTROENDEVALD
  
HEM > SKOLLEDAREN > Artikelarkiv > Skoljuridik

Viktigt hantera elevuppgifter rätt

Datainspektionen, DI, kritiserar brister i hanteringen av elevuppgifter i skolornas it-system. Skolornas kunskaper om hur elevernas personuppgifter ska hanteras är enligt DI ytterst bristfälliga. Men det går att avhjälpa felen.

Skolorna har halkat efter den tekniska utvecklingen och har så allvarliga brister i sina it-system, anser DI, att de genom sin hantering av personuppgifter bryter mot lagen om att skydda eleverna mot integritetskränkning.
Men de it-ansvariga på skolan kan ganska lätt avhjälpa felen genom att följa en checklista som Datainspektionen gjort och som vi publicerar nedan.
I början av september gjorde DI en enkätundersökning hos tvåhundra skolor och genomförde inspektioner hos femton skolor runt om i Sverige.
Resultatet var nedslående. Samtliga de inspekterade skolorna hanterar elevernas personuppgifter på sätt som bryter mot Person-uppgiftslagen, PuL.
- Resultatet från undersökningen pekar på att det finns stora brister i kunskapen hos både skolorna och deras it-leverantörer kring hur personuppgifter får behandlas, säger Patrik Sundström, som ansvarar för projektet på DI.
DI konstaterar också att inte heller de som sköter driften av datasystem har tillräckliga kunskaper om hur information som registreras om skoleleverna i Sverige ska hanteras och skyddas så att de följer reglerna i PuL.
- Juridiskt ansvarig för detta är den nämnd/styrelse som ansvarar för skolan. Det är dem vi riktar vår tillsyn mot. Vi kritiserar inte enskilda rektorer, säger Patrik Sundström.
Vanliga fel som begås på skolorna är att det saknas kontroll över om och hur uppgifter om gamla elever gallras bort från it-systemen, att känsliga personuppgifter registreras utan samtycke från vare sig elever eller föräldrar och att it-system kan nås via webben utan tillräckligt hög säkerhet.
Ett annat fel som ofta begås är att det saknas regler och instruktioner för vad som får skrivas i fritextfälten.
- Utan riktlinjer som bland annat beskriver hur värderande omdömen om elever ska formuleras är det väldigt lätt hänt att fritextsfält används för att registrera kränkande omdömen och känsliga personuppgifter. Det har vi sett många exempel på under våra inspektioner, berättar Patrik Sundström.
Senast Datainspektionen granskade skolor var hösten 2001. Då använde skolorna it-system i mycket begränsad omfattning för att lagra personuppgifter om elever.

Numera använder många skolor centrala it-system inte bara för vanlig elevadministration, utan även för att hantera uppgifter om bland annat elevernas sjukdom, frånvaro, betyg och utvecklingsplaner.
En avgörande orsak till de brister som DI påpekar är att skolorna inte hänger med i it-utvecklingen.
- Då skolan har infört nya datasystem missar de ofta att tänka på integritetsfrågorna, säger Patrik Sundström.
- De måste få en tydlig plats så fort man behandlar personuppgifter - och personuppgifter är enligt lagen all information som direkt eller indirekt kan hänföras till en människa i livet. Hanteringen är reglerad i lag och den måste följas.
Är det ett generellt problem att skolorna saknar kontroll över sina uppgifter?
- Ja. De vet inte hur länge uppgifterna finns kvar i systemen, hur länge de sparas, var de sparas, man har ofta anlitat en extern leverantör som sköter driften av systemet men vet inte att det kanske är hos leverantören de sparas, eller när de försvinner.
- Ändå får de bara behållas så länge de behövs. När gallras uppgifterna, när försvinner de? Det är den kommunala nämnden eller bolagsstyrelsens ansvar att se till att detta sköts. Det måste finnas ett avtal med leverantören som säger att leverantören endast får hantera uppgifterna som beställaren anger.
- Det är dessutom inte bara det som syns på skärmen som ska hanteras rätt. Leverantörernas servrar kan befinna sig var som helst. Det är där uppgifterna finns rent fysiskt och även där ska de rensas.

text: Bill Erlandsson
Datainspektionens checklista för skolor
Personuppgiftslagen, PuL, innehåller en rad bestämmelser för skolor som använder sig av it-stöd i elevadministrationen och skolhälsovården. Denna checklista sammanfattar några av de viktigaste punkterna.

  1. Fritextfält
    Om ett it-system som behandlar personuppgifter innehåller ett fritextfält måste det finnas tydliga skriftliga instruktioner till användarna om vad som får skrivas i fritextfältet.
    Detta gäller oavsett om elever och vårdnadshavare eller bara lärare kan skriva i fritextfältet. Instruktionerna bör exempelvis ange hur värderande omdömen om eleven ska formuleras och att kränkande uttalanden inte är tillåtna.
  2. "Sjuk" som frånvaroorsak
    Om it-systemet utrymmesmässigt tillåter att det i samband med närvarorapportering registreras att eleven är sjuk måste vårdnadshavarens eller elevens samtycke till registreringen inhämtas.
    Utan samtycke får skolan begränsa sig till att registrera att eleven haft ogiltig frånvaro eller liknande. Det gäller dock inte för journalföring inom skolhälsovården - där får hälsouppgifter registreras utan samtycke.
  3. Inloggning via Internet
    Om skolans it-system är tillgängligt via Internet, och systemet innehåller integritetskänsliga uppgifter, krävs det särskild god it-säkerhet. Skolan måste försäkra sig om att det verkligen är rätt personer som får åtkomst till uppgifterna och att överföringen sker på ett säkert sätt.
    Skolan måste använda sig av stark så kallad autentisering (exempelvis engångslösenord eller e-legitimation) och uppgifterna måste förses med krypteringsskydd vid överföringen.
  4. Avtal med systemleverantörer
    Om skolan anlitar en extern systemleverantör som även sköter driften och lagrar skolans personuppgifter i sina datorer krävs det att skolan ingår ett avtal med leverantören som reglerar hur personuppgifterna får hanteras.
    För kommunala skolor är det lämpligt att ta med även skolornas it-system i den kommunala dokumenthanteringsplanen.
    För att se till att uppgifter raderas när de inte längre behövs bör skolan ta fram skriftliga riktlinjer och rutiner för bevarande och gallring av personuppgifter.
    Det är skolans ansvar att se till att leverantörerna gallrar uppgifterna i rätt tid.
  5. Information om vad skolan registrerar om elever och vårdnadshavare
    Skolorna måste informera elever eller vårdnadshavare om hur deras personuppgifter behandlas i it-systemen. Skolan måste informera om vem som ansvarar för systemen, vilka personuppgifter som samlas in, vad uppgifterna ska användas till samt att den registrerade har rätt att ansöka om information och begära rättelse av felaktiga uppgifter.
    Informationen bör lämnas till eleverna själva om de kan tillgodogöra sig informationen. Om så inte är fallet, till exempel då det är fråga om yngre barn, ska informationen i stället lämnas till vårdnadshavaren.
    Informationen måste inte lämnas skriftligen utan kan i stället lämnas muntligt. Det kan dock vara lämpligt att informera genom ett informationsblad som delas ut till samtliga vårdnadshavare och elever, exempelvis vid läsårets början.
  6. Får alla lärare läsa om alla elever?
    Bara den som behöver personuppgifterna i sitt arbete får ta del av dem. Det innebär att skolan måste införa begränsningar i läs- och skrivmöjligheterna i sina it-system.
    Det är ofta lämpligt att både ha interna skriftliga regler i skolan för vilken anställd som får läsa vad och att införa tekniska begränsningar av läs- och skrivmöjligheterna.
  7. Behörigheter inom skolhälsovården
    Inom skolhälsovården gäller mycket stränga krav på att bara den som deltar i vården av eleven eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården ska kunna ta del av uppgifter om en patient.
    Skolan har ansvaret för att det inte finns möjlighet för obehöriga att ta del av uppgifter i skolhälsovårdens elektroniska journalsystem.

Lars Flodin: - Det är dags för skolpolitikerna att ta sitt ansvar

När Datainspektionen skickade ut sitt pressmeddelande löd rubrik och ingress:
"Stora brister i hur skolor hanterar personuppgifter". Ingenstans i pressmeddelandet nämns att det är skolans huvudmän som är juridiskt ansvariga.

Det är genom att Skolledaren ställer den specifika frågan om ansvaret som DI upplyser om att det är skolans huvudmän som är juridiskt ansvariga, men de vet inte dagspress, radio och tv. Detta är dessutom bara en i raden av alla de "larmrapporter" om skolan som kommer med jämna mellanrum.

Sveriges Skolledarförbunds ordförande Lars Flodin reagerar mot detta.
- Skolans ledning ska hålla reda på en enorm mängd lagar, läroplaner och bestämmelser: Skollagen, läroplanen, kursplanerna, sekretesslagstiftningen, Personuppgiftslagen, Arbetsmiljölagen, Tryckfrihetsförordningen, Barn- och elevskyddslagen, diskrimineringslagstiftningen, Brottsbalken, Regeringsformen, femhundra olika skolförordningar och författningar, ett antal åtgärdsprogram, förordningarna om brandskydd, byggnadslagstiftning, Livsmedelslagen och Trafikförordningen.
- Därutöver är det skolans skyldighet att följa de förändringar lagar, författningar och förordningar som hela tiden sker. Detta är orimligt att kräva av en skola.
- Ett företag som omfattas av så många lagar och förordningar har ett antal jurister anställda. Det kan självklart ingen enskild skola ha. Samtidigt kan skolan inte bortse från de lagar och bestämmelser som gäller, konstaterar Lars Flodin.

Lars Flodin menar att skolans huvudmän, skolpolitiker, kommunala nämnder och friskolors styrelser måste ta sitt fulla ansvar för att stötta rektorerna i detta arbete och ta på sig sitt ansvar.
Rektor är i regel överlastad med arbete och ansvar samt har för dåligt administrativt stöd. I stället för att peka ut enskilda skolor borde myndigheterna tala klartext att det är skolans huvudmän som ska ställas till svars.
- En rektor klarar inte hur mycket press som helst från massmedia, myndigheter och andra aktörer. Särskilt inte då rektor med de förutsättningar som gäller ofta har mycket små möjligheter att klara de brister som finns.
- Det är dags för skolpolitikerna att ta sitt ansvar, att träda fram och stötta sina rektorer!

text: Bill Erlandsson

(1/2009)
Råd från DI
Patrik Sundström, DI, ger följande råd till Skolledarens läsare:
För att kolla upp hur långt skolan hängt med i it-utvecklingen kan rektor ställa följande frågor till sig själv:
  • Har vi anvisningar för fritextfälten?
  • Har vi samtycke från elever eller målsmän för att behandla känsliga personuppgifter?
  • Vet vi när uppgifter gallras i systemen?
  • Har vi ett avtal med våra leverantörer om att PuL ska följas?
  • Hur informerar vi elever och föräldrar hur vi hanterar personuppgifter? När informerar vi? Ger vi ut ett informationsblad när terminen börjar?
  • Måste vi använda oss av frånvaroorsaker?
  • Behöver vi alla de uppgifter vi registrerar? Varför behöver vi dem?
Fotnot
Datainspektionens hemsida under "Ladda ner och beställ" finns informationsmaterial om personuppgiftslagen, regler för behandling av personuppgifter, skyddade uppgifter i folkbokföringen, kameraövervakning inomhus i skolor och checklista för skolor mm.