Datainspektionen, tillsynsmyndighet för dataskyddsförordningen, GDPR, inleder en granskning av utbildningsnämnden i Stockholms stad. Detta efter att ha tagit emot anmälningar från nämnden om att det har skett personuppgiftsincidenter som avser obehörig åtkomst av elevuppgifter hos nämnden.
– Vi har fått in två anmälningar från utbildningsnämnden i Stockholms stad som tillsynen omfattar, och det är framför allt behörighetsstyrningen vi vill titta på. Det är viktigt att skolor hanterar uppgifter om barn på ett säkert sätt och att tillgång till uppgifterna enbart ges till personal som har ett faktiskt behov av dem, säger Salomeh Fanaei, en av juristerna på Datainspektionen som leder myndighetens tillsyn av utbildningsnämnden.
Granskningen ska bland annat klargöra vilka personuppgifter som hanteras i de aktuella it-systemen, hur skolpersonalen tilldelas behörighet och om det finns rutiner och instruktioner för hur skolpersonalen får använda sina behörigheter.
– Eftersom det gäller barn som har ett särskilt skydd i dataskyddsförordningen, och eftersom just skolor är ett prioriterat tillsynsområde för Datainspektionen så har vi beslutat att inleda en granskning av utbildningsnämnden i Stockholms stad efter att de själva lämnat in två anmälningar om personuppgiftsincidenter, säger Salomeh Fanaei.
Datainspektionen är tillsynsmyndighet för dataskyddsförordningen, GDPR, och kontrollerar bland annat att skolor har vidtagit tillräckliga tekniska och organisatoriska åtgärder för att skydda personuppgifter.
Peter Åkerberg, tillförordnad IT-chef för enheten för informations och kommunikationsteknik i Stockholms stad säger till Computer Sweden att de bägge anmälda fallen gäller skoladministrativ personal som tilldelats behörighet att komma åt personuppgifter om elever som de inte har någon anledning i sitt arbete att komma åt. Felet ska ha uppstått när Stockholms stad införde ett nytt system för barn- och elevregistret inom skoladministrationen.
– Vi har själva identifierat och anmält de två incidenterna till Datainspektionen, som handlade om att en del skolpersonal har haft en felaktig behörighetsnivå till barn- och elevregistret (BER). Bristerna som orsakade incidenterna är redan åtgärdade, säger Peter Åkerberg.
Barn- och elevregistret är ett verksamhetsinternt administrativt system som enligt Peter Åkerberg inte kan nås av elever eller föräldrar. Barn- och elevregistret fungerar förvisso som en slags modul i den kritiserade skolplattformen som elever och föräldrar använder för rapportering, scheman och liknande, men åtkomsten till barn- och elevregistret är begränsad till behörig personal inom skoladministrationen.
– Det som hänt är att vår personal själva upptäckte att de kunde komma åt information om elever som de inte har något arbetsrelaterad anledning att hantera. Därför valde vi att anmäla. Därefter har vi på systemnivå åtgärdat felet, men det är bra att Datainspektionen utreder vad som har hänt och hur vi bör arbeta med behörigheter.
– Barn- och elevregistret har ingenting att göra med den del av skolplattformen som elever och föräldrar använder; det är ett internt system för skoladministrationen, säger Peter Åkerberg.
Läs också:
Vuxna kan chatta med barn de inte känner på Stockholms skolplattform
Företaget byter namn – förväxlas med Stockholms kritiserade skolplattform
