Skolhuvudmännen brottas med osäkerheten kring dataskyddsförordningen

Person skriver på tangentbord

25 maj träder Dataskyddsförordningen i kraft som lag i Sverige samt i resten av EU och EES. Den innebär strängare krav på hanteringen av personuppgifter i datatjänster och även en mer strikt kontroll av att lagen efterföljs. Vilka utmaningar skapar det för skolan, där mängder av gratisappar och andra kostnadsfria digitala tjänster används i undervisningen? Vad kan göras för att hantera osäkerheten och underlätta vardagen?

Ökad kontroll och stärkt integritet

Dataskyddsförordningen ersätter personuppgiftslagen och bygger på samma grundläggande principer. Syftet är att öka fysiska personers kontroll över sina personuppgifter, att stärka den enskildes personliga integritet samt att underlätta hanteringen av personuppgifter inom EU och EES. Personuppgifter får endast överföras till tredje land om det finns en adekvat skyddsnivå eller ges särskilda garantier för att informationen och de registrerades integritet skyddas.

Utbildningsnämnden eller motsvarande nämnd är personuppgiftsansvarig för kommunala skolhuvudmän. På friskolor faller uppdraget på styrelsen eller motsvarande funktion. Den personuppgiftsansvarige avgör vilka personuppgifter som hanteras i olika digitala tjänster, och ska se till att de hanteras på ett sätt som skyddar integriteten. Rör det sig om direkta eller indirekta personuppgifter? Är uppgifterna känsliga eller integritetskänsliga? Vem är mottagare? Blir personuppgifterna överförda till tredje land? På varje skola ansvarar rektor för att lärare och annan personal känner till och följer dataskyddsförordningen och de riktlinjer som den personuppgiftsansvarige tagit fram.

PuB-avtal, dataskyddsombud och uppförandekod

Alla leverantörer av digitala tjänster som hanterar personuppgifter - alltifrån administrativa system till molntjänster och appar - är personuppgiftsbiträden (PuB). Den personuppgiftsansvarige ska därför teckna PuB-avtal med alla sådana digitala tjänster som används i verksamheten. Företagen som driver tjänsterna är skyldiga att hålla ett register över alla personuppgifter som hanteras och är skadeståndsansvariga gentemot de som registreras.

Den personuppgiftsansvarige ska utse ett dataskyddsombud (som antingen kan vara anställd eller konsult) som kan bistå med hjälp och råd. Dataskyddsombudet är också kontaktpunkt för Datainspektionen (DI), som är inspekterande myndighet och kan utfärda sanktionsavgifter om dataskyddsförordningen överträds.

Dataskyddsförordningen uppmuntrar branscher och verksamhetsområden att ta fram en uppförandekod som ger tydliga riktlinjer för hur personuppgifter ska hanteras. En uppförandekod ska godkännas och certifieras av DI för att vara giltig, men det kan ske först när lagen har trätt i kraft. För närvarande finns det inga indikationer om att en nationell uppförandekod för skolområdet är på gång.

Appar och gratistjänster är en djungel

Andreas Hedlund, som är ikt-pedagog på Skolkontoret i Skellefteå kommun, välkomnar de strängare kraven på hanteringen av personuppgifter i de digitala system och tjänster som används i skolan. Men han konstaterar samtidigt att det är onödigt att alla skolhuvudmän ska gå igenom samma process för de mest använda verktygen.

- De administrativa systemen är det inga större problem att hantera, eftersom kommunen redan har avtal med leverantörerna som lätt kan kompletteras. Det är betydligt värre med alla appar och gratistjänster som används i förskolan och skolan, och där det det inte finns något avtal. Här är det verkligen en djungel! Hur ska vi göra för att teckna ett PuB-avtal med dem? Vill de verkligen det, eftersom de kan bli skadeståndsskyldiga om det visar sig att personuppgifterna hanteras felaktigt?

Brist på enkla svar

I Stockholms stad genomför utbildningsförvaltningen en massiv fortbildningsinsats för personalen för att säkerställa att alla får en inblick i vad dataskyddsförordningen innebär. Lena Gällhagen, som är samordnare och projektledare på utbildningsförvaltningen, håller med om att många frågor är svåra att besvara.

- SKL har tagit fram utmärkt material som är väl kopplat till skolans vardag och som visar vad man inte får göra. Men problemet är att det inte alltid är lätt att bedöma om personuppgifterna är integritetskänsliga eller om de förs vidare till tredje land. Jag önskar att det även fanns material som mer tydligt förklarar vad man faktiskt får göra. Det skulle nog skapa en större trygghet bland skolledare och lärare.

Samlat grepp för att hantera osäkerheten

Göteborgs stad tar ett samlat grepp för att se till att alla verksamheter i stadsdelarna ges ett likvärdigt stöd för att räta ut frågetecknen, berättar Ingela Dahlgren, som är projektledare för arbetet med dataskyddsförordningen i för- och grundskolan. Intraservice, som levererar interna tjänster till Göteborgs Stads olika verksamheter, fungerar som ett viktigt och samordnande nav i det arbetet. Man drar också nytta av de interna kanalerna, bland annat intranätet och Hjärntorget, för att försäkra sig om att all personal får tillgång till den information som de behöver.

- Vi anstränger oss verkligen för att hantera detta, och jag tycker att vi jobbar på riktigt bra. Men det hade utan tvekan varit enklare om vi fått hjälp från statens sida med att tolka och förstå vad som faktiskt gäller. Nationella uppförandekoder för skolan vore inte heller någon dum idé. Vi utbyter erfarenheter med Västerås stad och vi har en bra, löpande dialog med SKL, men det känns ändå mer osäkert än vad det borde vara.

SKL satsar på olika former av hjälp och stöd

På SKL gör man allt vad man kan för att underlätta arbetet med dataskyddsförordningen i landets kommuner, säger Johanna Karlén, som är programansvarig för skolans digitalisering. Till exempel har SKL flera gånger anordnat webbinarier för att förklara regelverket och för att svara på frågor. Man tar också fram underlag och avtalsmallar, bland annat för att teckna PuB-avtal.

- Men det är viktigt att komma ihåg att vi inte kan teckna några centrala avtal. Det måste kommunerna och skolorna själva göra. Därför försöker vi hela tiden fånga upp de frågor som uppstår, inte minst genom att följa diskussionerna på Dela Digitalt. Om vi hittar nötter som vi och våra jurister inte själva kan knäcka, frågar vi DI och sedan ser vi till att svaren blir allmänt tillgängliga.  

SKL erbjuder också ett digitalt samarbetsrum för alla kommunala verksamheter, där deltagare från många olika yrkes- och verksamhetsområden hjälper varandra med bedömningar och ger råd kring hanteringen av personuppgifter. Tanken är att det här ska vara ett mer slutet rum, och de kommuner som är intresserade får ansöka om att delta, tillägger Johanna Karlén.

- Ibland finns det förstås tydliga ja- och nej-frågor, men ofta rör det sig om rena bedömningsfrågor. Då är det bra att hjälpas åt och att försöka belysa frågan ur flera olika håll för att få en bättre bild. En vanlig fråga är när det krävs PuB-avtal och hur ett sådant bäst ska utformas.

Dataskyddsombud och preliminär uppförandekod

Dataskyddsombudet har också en viktig roll för att underlätta och ge stöd åt hanteringen av personuppgifter i skolan i respektive kommun. Utbildningsförvaltningen i Stockholms stad har rekryterat ett eget ombud och i Göteborgs stad ansvarar Intraservice för att ge alla förvaltningar och kommunala bolag tillgång till dataskyddsombud. I Skellefteå kommun har Skolkontoret tillgång till ett dataskyddsombud som man delar med utbildningsförvaltningarna i flera mindre grannkommuner. Dessutom fungerar Anette Johansson som kontaktperson och länk till dataskyddsombudet, och tar emot alla frågor kring dataskyddsförordningen som dyker upp på kommunens skolor. Än så länge har det inte ställts särskilt många frågor, konstaterar hon.

- Det beror nog dels på att dataskyddsombudet kör utbildningar om dataskyddsdirektivet i Nätverket för ikt-inspiratörer och de för i sin tur informationen vidare till sina kollegor ute på skolorna. Ett annat skäl är att dataskyddsombudet har tagit fram ett flödesschema med en preliminär uppförandekod, som gör det enklare att bedöma om appen eller tjänsten kan användas utan PuB-avtal, om det krävs ett avtal eller om tjänsten inte kan användas alls.

Flödesschemat innehåller ett antal frågor som kan besvaras med ja eller nej, säger Andreas Hedlund. Frågorna handlar till exempel om det framgår vad syftet är med att lagra personuppgifter, var dessa lagras geografiskt och hur gallring av uppgifter sker.

- Ofta handlar det om många nivåer och det är svårt att göra en solklar bedömning. Men den som följer schemat får en tydlig guidning och det verkar som att det ger ett gott stöd för det fortsatta bedömningsarbetet.

MDM kan underlätta bedömningsarbetet

Utbildningsförvaltningen i Stockholms stad använder sedan slutet av förra året en MDM-tjänst för att administrera samtliga ipads och alla appar som används i skolorna. Tjänsten gör det enkelt att få en överblick av vilka appar som har installerats och vilka skolor som använder dem, berättar Lena Gällhagen.

- Alla 260 administratörer på Stockholms kommunala skolor använder den här tjänsten i sitt arbete. Därför har vi byggt in ett formulär med frågor som baseras på kraven i dataskyddsförordningen. Om appen kräver konto och inloggning, görs en markering. Går det att ladda upp foton i en molntjänst görs också en markering, och så vidare. Utbildningsförvaltningen får en tydligare bild av läget och det blir lite lättare att bedöma om vi behöver teckna PuB-avtal.  

Om en skola redan har registrerat appen, behöver arbetet inte göras om. När alla hjälps åt att gå igenom apparna, blir det mer effektivt och mindre arbete för alla, säger Lena Gällhagen.

- Den stora utmaningen är förstås vår storlek och mängden av unika appar som vi hanterar, plus att det fortfarande inte är helt solklart vad som gäller. Än så länge har vi bara tecknat ett fåtal PuB-avtal, så vi har ett stort gap som måste ses över. Men nu har vi bättre koll på vad vi behöver göra, och det är bara att jobba vidare.

Göteborg stad utnyttjar också MDM-tjänst för att administrera sina ipads och appar, men i nuläget används den inte för att underlätta bedömningen av hur personuppgifter hanteras, säger Ingela Dahlgren.

- Nej, vi låter det vara så länge, eftersom det fortfarande finns många oklarheter kring hur vi ska bedöma. Men när läget väl börjar klarna, kan det säkert bli en smidig och effektiv lösning som underlättar arbetet.

Oro för tillsyn och sanktioner

Många kommuner och skolor bekymrar sig för vilka sanktioner de kommer att drabbas av om de gör fel, men den oron är betydligt överdriven, menar Johanna Karlén.

- Det blir förstås intressant att se de första tillsynsfallen, men jag tror att DI i första hand kommer att peka på vad som behöver åtgärdas för att det inte ska bli några sanktioner. Om kommunerna bara är lyhörda och tar tag i det som behöver göras, hoppas jag att det inte uppstår några större problem.

Anette Johansson tror inte heller att det är någon större risk för omedelbara sanktionsavgifter, men att det förstås blir nödvändigt att göra det som DI pekar på.

- Naturligtvis är det viktigt att tänka sig för och att försöka göra så gott man kan. Men det svåra är att ingen riktigt vet vad som gäller. Det enda vi kan göra är att tolka regelverket och att sprida kunskapen vidare i organisationen, så att alla vet vad de ska göra.

Tidsödande arbete och bristande stöd - men medvetenheten ökar

Andreas Hedlund konstaterar att arbetet är mer besvärligt än det egentligen borde vara, men han tror att det blir bra ändå i slutändan, trots allt.

- En konsekvens blir att vi rensar bort appar och tjänster som inte vill berätta hur de hanterar användarnas personuppgifter. Det kan i sin tur leda till att vi börjar fokusera på de som är öppna med vad de gör och som ger oss de funktioner som vi behöver.

Tyvärr krävs det alltför många timmars arbete och samarbete mellan personer med en rad olika nyckelkompetenser för den som verkligen vill följa regelboken till punkt och pricka, menar Lena Gällhagen.

- Det är förstås utmärkt att barn och ungdomar får ett bättre integritetsskydd, men vi har helt enkelt inte den samlade förmåga som är nödvändig för att vi ska hinna hantera allt i tid på den infrastrukturella nivån. Det är det avgörande problemet, och här skulle vi behöva ett ordentligt stöd.

Ingela Dahlgren instämmer i att det krävs väldigt mycket tid och arbete, men konstaterar samtidigt att medvetenheten om problemen - och hur de kan hanteras - också ökar.

- Jag tror att den ökade medvetenheten ger oss nyckeln till det fortsatta arbetet. Det är ungefär som när lärare och elever ska hantera besvärligt innehåll på nätet. Problemet kan inte lösas med filter; det går inte alltid att svara ja eller nej. Filtret måste helt enkelt sitta i huvudet. Att bedöma integritet och säkerhet är ett ständigt pågående arbete som kräver reflektion och samarbete. Framtiden får utvisa vilken slags hjälp och stöd som vi behöver för att klara det här, både på den nationella och på den lokala nivån.