Dålig säkerhet är brott mot lagen

Säkerheten på kommunens digitala skolverktyg Unikum är så låg att det är ett brott mot personuppgiftslagen. Enligt Datainspektionens jurist är den inloggningslösning som används inte tillräcklig för att skydda elevernas uppgifter från obehöriga.

Uppgifterna som finns i Helsingborgs version av Unikum når elever och föräldrar genom att logga in med ett användarnamn och lösenord. Men säkerheten på en sådan inloggningsmodell är så låg att det bryter mot personuppgiftslagen, PUL, säger Ulrika Harnesk, jurist på Datainspektionen.

– När man väljer system som är tillgängliga via internet krävs en starkare säkerhet, då räcker det inte med användarnamn och lösenord. Då ska det vara någonting bättre som till exempel e-legitimation, säger hon.

Även lärarna loggar in med användarnamn och lösenord. Det betyder att om någon kommer över ett sådant inlogg kan personen se omdömen för alla lärarens elever. En risk som skulle vara betydligt lägre om läraren behövde logga in med en engångskod, bankdosa eller e-legitimation.

– Det är just sådana risker som en starkare säkerhet ska förhindra. De uppgifter som registreras i IUP:er är integritetskänsliga och det ska ingen annan än de närmast berörda kunna ta del av, säger Ulrika Harnesk.

Myndigheten vet inte hur många skolor som bryter mot kraven, då de digitala systemen inte är tillståndspliktiga. Men Ulrika Harnesk säger att det då och då framkommer uppgifter i media om att det ännu inte efterlevs.

– Vi har gått ut med det här redan för ett par år sedan. Vi vet att kommunerna och även friskolor släpar efter och det verkar fortfarande vara ett problem att de inte följer riktlinjerna, säger hon.

Under våren granskar därför Datainspektionen hur personuppgifter och IUP:er hanteras på ett antal skolor.

– Vi kommer att titta på vilka uppgifter som behandlas och hur säkerheten är. Det blir mer och mer vanligt att man har system tillgängliga via internet.

Unikums vd Jonas Ryberg säger att systemet är anpassat för säker inloggning, men att det är upp till varje kommun att bestämma vad man har för modell.

– Vi rekommenderar säker inloggning och det brukar vi ta upp på våra användarträffar, säger han.

Att Helsingborg inte haft en sådan lösning hittills beror på att det såg annorlunda ut när systemet köptes in, menar grundskolechefen Elisabeth Svenningsson. Och hävdar att digitala skolsystem då inte var så vanliga att det fanns en klar syn på vad som gällde.

– Det rättsliga läget var inte som det är nu. Det är klart att vi ska följa lagen och det är det arbetet som pågår nu, säger hon.

När kommunen till hösten drar igång skolportalen, den webbplats där Unikum ska samlas tillsammans med det nya skolsystem som köpts in, ska den få en säker inloggning.

Oavsett om en individuell utvecklingsplan, IUP, är digital eller inte är det en allmän handling efter utvecklingssamtalet. Helsingborg stads chefsjurist, Anna Liedholm, har skickat ett klargörande kring vad som gäller till Skol- och fritidsförvaltningen. Där skriver hon att en elevs IUP inte får innehålla känsliga personuppgifter.

Rådet till lärarna är att de vid utvecklingssamtalet går igenom IUP:n med elev och vårdnadshavare för att upptäcka och rensa bort eventuellt känsliga uppgifter.

Hela Anna Liedholms klargörande finns att läsa här.

Pamela Kocken
pamela.kocken@hd.se 042-489 90 04

Truls Nilsson
truls.nilsson@hd.se 042-489 90 12

Marika Rasmusson
marika.rasmusson@hd.se 042-489 93 73

Tove Hansson