Undersökningen påbörjades i våras och omfattar enkätsvar från 200 skolor. Dessutom har 15 inspektioner gjorts på plats.

– Resultatet från undersökningen pekar på att det finns stora brister i kunskapen hos både skolorna och deras it-leverantörer kring hur personuppgifter får behandlas, säger Patrik Sundström på Datainspektionen.

– Samtliga skolor vi har inspekterat hanterar elevernas personuppgifter på sätt som bryter mot personuppgiftslagen.

Bland felen finns brist på kontroll över uppgifter om gamla elever, att personuppgifter registereras utan samtycke och att it-systemen kan nås via webbem utan tillräcklig säkerhet. Det är också vanligt att kränkande uppgifter och känsliga personuppgifter registreras i it-systemens fritextfält.

Senast Datainspektionen granskade skolor var hösten 2001. Då lagrades personuppgifter om elever elektroniskt i mycket liten omfattning. Nu använder många skolor it-system både för vanlig elevadministration och för uppgifter om exempelvis elevernas sjukdom, frånvaro, betyg och utvecklingsplaner.

– Eftersom vi sett att det finns stora brister i hur skolor hanterar personuppgifter har vi tagit fram en checklista som tar upp några av de vanligaste misstagen som vi stött på under våra inspektioner, säger Patrik Sundström.

Datainspektionens checklista kan läsas här.