Granskning av personuppgiftshantering och it-säkerhet i skolans it-system

Transkript

1 Rapportsammandrag Stadsrevisionen 18 oktober 2016 Granskning av personuppgiftshantering och it-säkerhet i skolans it-system Inledning Inom skolan i Göteborgs Stad används olika it-system. I flera av systemen förekommer och hanteras personuppgifter. Behandlingen av personuppgifter regleras i personuppgiftslagen. En personuppgift är, enligt lagen, all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det är väsentligt att personuppgifter behandlas korrekt och inte sprids på ett okontrollerat sätt i skolans it-system, både ur ett juridiskt perspektiv och ur ett integritetsperspektiv. Från och med den 25 maj 2018 börjar EU:s nya förstärkta dataskyddslagstiftning att gälla. Det innebär att rättigheterna för enskilda personer stärks, vilket kommer att ställa ännu högre krav på den som hanterar personuppgifter, bland annat när det gäller att informera om hur enskildas personuppgifter hanteras. Dessutom tillkommer att särskild hänsyn ska tas om det gäller personuppgifter som samlats in under en enskilds barndom. Rapportsammandraget baserar sig på rapporten Granskning av personuppgiftshantering och it-säkerhet i skolans it-system som finns på Syfte och urval Granskningens syfte har varit att bedöma säkerheten avseende personuppgiftshanteringen i de it-system som används i skolverksamheten. Syftet innefattar även att fastställa om personuppgifter hanteras i enlighet med personuppgiftslagens krav. Granskningen omfattar kommunstyrelsen, nämnden för Intraservice, stadsdelsnämnderna Lundby, Örgryte-Härlanda, Västra Göteborg och Västra Hisingen samt utbildningsnämnden. Granskningen har genomförts både på förvaltningscentral nivå och på skolnivå. Sex grundskolor och tre gymnasier har omfattats av granskningen. Centrala begrepp I det här avsnittet förklaras för att underlätta läsningen de viktigaste begreppen som förekommer i texten. Stadsrevisionen 1

2 Begrepp i personuppgiftslagen I personuppgiftslagen är begreppet personuppgiftsansvarig, personuppgiftsombud och personuppgiftsbiträde centrala. Personuppgiftsansvarig är den som samlar in och hanterar personuppgifter i sin verksamhet. I en kommun är nämnderna ansvariga för de personuppgifter som samlas in i den egna verksamheten. Den personuppgiftsansvarige kan överlåta den faktiska hanteringen eller behandlingen av personuppgifter på någon annan, men personuppgiftsansvaret kan aldrig överlåtas. Det är alltid den personuppgiftsansvarige som ytterst ansvarar för att personuppgiftslagen följs. Ett personuppgiftsombud förordnas av den personuppgiftsansvarige och ska i så fall självständigt se till att personuppgifter behandlas på ett korrekt och lagligt sätt. Personuppgiftsombudet är skyldigt att föra en förteckning över de behandlingar av personuppgifter som förekommer inom i det här fallet skolans verksamhetsområde. Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning men som i fallet med en kommun formellt befinner sig utanför den personuppgiftsansvariga nämndens egen förvaltning. Ett personuppgiftsbiträde kan vara ett privat företag, men också en annan nämnd. Själva personuppgiftsansvaret kan aldrig överföras på en tredje part. Ett skriftligt avtal måste alltid upprättas. It-begrepp Med it-system avses i denna text datorer och program som ingår i ett nätverk och som tillhandahåller specifika tjänster. I skolan utgör Hjärntorget, Gymnasielevregister på Data och Google Apps For Education exempel på it-system. En särskild typ av it-tjänster utgörs av så kallade molntjänster. Datormoln, molntjänster eller bara molnet är samlingsbegrepp för it-tjänster som tillhandahålls över internet. I skolorna i Göteborg är Googles tjänst Google Apps For Education ett exempel på en molntjänst. I granskningen avses molntjänster som tillhandahålls av någon annan än den som är personuppgiftsansvarig. Skugg-it är ett annat begrepp som förekommer i granskningen. Det kan i princip avse alla former av icke sanktionerad IT. I granskningen syftar dock skugg-it enbart på molnbaserade it-tjänster som den anställde använder på eget initiativ, det vill säga utan att dessa är kända, accepterade eller stödda av förvaltningen, skolan eller av staden. Skugg-it kan bidra positivt, men medför också risker då det leder till att ansvariga saknar kännedom om den IT som faktiskt används och de personuppgifter som eventuellt hanteras. Dropbox och Nomp är exempel på it-tjänster som kan utgöra skugg-it. Granskningens iakttagelser Ansvaret för att leda och styra stadens grundskolor ligger primärt på stadens tio stadsdelsnämnder. Det är också dessa nämnder som bär ansvaret för de personuppgifter som samlas in i nämndernas grundskolor. Stadens gymnasieskolor ligger under utbildningsnämnden, som på motsvarande sätt ansvarar för personuppgifter som samlas in inom ramen för gymnasieskolans verksamhet. Avsnittet inleds med en 2 Stadsrevisionen

3 beskrivning av viktigare iakttagelser från de granskade stadsdelsnämnderna och utbildningsförvaltningen. Därefter följer ett avsnitt där vi berör skolornas gemensamma it-system, och vi ägnar då särskild uppmärksamhet åt molntjänsten Google Apps for Education. Stadsdelsnämnderna Styrning och ansvar Samtliga stadsdelsförvaltningar uppger att de arbetar med utgångspunkt i Göteborgs Stads styrande dokument avseende personuppgiftshantering och it-säkerhet. I vissa, men inte alla, granskade stadsdelsnämnder finns kompletterande lokala rutinbeskrivningar. Det saknas dock, i samtliga stadsdelar, mer utförliga anvisningar som exempelvis anger vilka uppgifter som får lagras eller inte får lagras i de olika systemen. Vid intervjuer med personal inom skolan framkommer att information som gäller hur personuppgifter ska hanteras i huvudsak kommuniceras muntligt. Granskningen visar att det centralt på stadsdelsförvaltningarna finns en upplevd osäkerhet kring frågan om skolorna följer personuppgiftslagen. Den interna kontrollen uppges i detta avseende vara svag. I de granskade skolorna är kännedomen om stadens riktlinjer för personuppgiftshantering och vad de innebär oftast låg. Inom stadsdelsförvaltningarna och på skolorna finns olika uppfattningar om vem som ansvarar för vad när det gäller personuppgifter i skolverksamheten. I flera fall uppfattas ansvaret ligga på skolans rektor. I något fall var uppfattningen att skolan eller stadsdelsnämnden inte har något ansvar alls för personuppgifter som hanteras i stadens gemensamma it-system. Elever med skyddad identitet Elever med skyddad identitet har pseudonymkonton i de it-system som används i undervisningen. I elevregistret Procapita hanteras elever med skyddad identitet inte alls. De hanteras istället manuellt i pappersformat. Intern styrning och kontroll av it-tjänster Skolorna som ingår i granskningen har, med enstaka undantag, inte systematiskt kartlagt vilka it-tjänster som faktiskt används i verksamheten. På skolorna saknas därför mer kvalificerad kännedom om i vilken omfattning skugg-it förekommer i undervisningen, eller om det förekommer unika lokala system, och om det därmed förekommer att personuppgifter hanteras i andra system än de som är sanktionerade. Frågan ska ses mot bakgrund att det inom skolan finns en strävan att använda digitala verktyg i undervisningen. Det kan därför förekomma att lärare på eget initiativ inhämtar olika it-tjänster som de anser vara relevanta för undervisningen. I vissa avseenden är detta positivt, men det finns samtidigt en risk att de it-tjänster som inhämtas på detta sätt inte motsvarar kraven i personuppgiftslagen. Enligt uppgift kommuniceras det muntligt vilka system som ska användas för hanteringen av personuppgifter. På enstaka skolor finns även skriftliga anvisningar som anger att personuppgifter inte ska behandlas i andra system än de som blivit officiellt beslutade. Stadsrevisionen 3

4 Användarbehörigheter Regelbundna genomgångar av användare är en viktig kontroll för att säkerställa att anställda som har bytt roll eller lämnat sin anställning inte längre har åtkomst till skolans it-system. Granskningen visar att rutinerna för genomgångar kan stärkas i stadsdelsnämnderna Lundby, Västra Hisingen och Örgryte-Härlanda. Utbildningsnämnden Styrning och ansvar Utbildningsförvaltningen uppger att de arbetar med utgångspunkt i stadens styrande dokument inom området. Utbildningsnämnden har inga egna styrande rutinbeskrivningar eller anvisningar för hantering av personuppgifter utöver Göteborgs Stads gemensamma riktlinjer. Det finns dock ett stöddokument Information om behandling av personuppgifter som är riktat till skolorna. Där framkommer att individer har rätt att få information om de personuppgifter som behandlas och att anledningen till att personuppgifter registreras är för att Göteborgs Stad ska kunna följa skollagen. Granskningen visar vidare att kännedomen om personuppgiftsanvaret varierar. På två av tre granskade gymnasieskolor är uppfattningen att personuppgiftsansvaret ligger på utbildningsnämnden, men på den tredje skolan uppges att det ligger på rektorn. På två av skolorna uppges att den som ansvarar för upphandlingen av ett system också ansvarar för personuppgiftshanteringen, vilket medför den felaktiga slutsatsen att personuppgiftsansvaret ligger på den upphandlande nämnden och inte på den nämnd som samlar in personuppgifterna. Elever med skyddad identitet Granskningen visar att elever med skyddad identitet inte ska kunna identifieras eftersom det skapas fiktiva pseudonymkonton. Tillgången till dessa elevers personuppgifter är avgränsad till relativt få personer. Hanteringen av elever med skyddad identitet är densamma för alla gymnasieskolor. Intern styrning och kontroll av it-tjänster Utbildningsnämnden har en förteckning över it-system som används i skolverksamheten och som hanterar personuppgifter. Enligt uppgift från förvaltningen är det kommunicerat till skolor och lärare vilka it-system eller programvaror som ska användas i skolorna. Förvaltningens uppfattning är att det är tydliggjort vilka it-system och it-tjänster som ska användas i verksamheten. Det har dock inte genomförts någon kartläggning i syfte att fastställa vilka system som faktiskt används och om det bland dessa förekommer skugg-it. Enligt uppgift ska en sådan kartläggning ha påbörjats. Användarbehörigheter Regelbundna genomgångar av användare är en viktig kontroll för att säkerställa att anställda som har bytt roll eller lämnat sin anställning inte längre har åtkomst till 4 Stadsrevisionen

5 skolans it-system. Av granskningen framkommer att det saknas enhetliga rutiner för regelbundna genomgångar av användare på två av tre gymnasieskolor. Göteborgs Stads gemensamma it-system i skolan När det gäller gemensamma it-system eller molnlösningar som används inom skolan har det i granskningen inte framkommit något som tyder på allvarliga integritetsbrister eller att personuppgifter har hanterats i strid med personuppgiftslagen. När det gäller följsamheten mot personuppgiftslagen har emellertid en dom i EU-domstolen och ett utlåtande från datainspektionen förändrat förutsättningarna avseende molntjänsten Google Apps for Education. Molntjänsten Google Apps for Education Google Apps for Education (GAFE) är en molntjänst som levereras av Google som är ett företag lokaliserat i USA. Elever och lärare använder GAFE för kommunikation, lagring, redigering och delning av arbetsmaterial. Göteborgs Stad har sedan mars 2014 ett avtal med Google avseende GAFE. Avtalet är baserat på Googles standardavtal, men med vissa justeringar eftersom Göteborgs Stad bedömde att standardavtalet inte vara förenligt med personuppgiftslagens krav. GAFE började införas i skolorna under hösten När granskningen genomfördes var GAFE ännu inte infört på samtliga skolor. Personuppgifter får som huvudprincip inte överföras till ett land utanför EU om det inte fastställts att landet ifråga har ett likvärdigt skydd för personuppgifter som inom EU. I avtalet mellan Göteborgs Stad och Google hänvisas till de så kallade Safe Harbor-principerna, som är en samling regler om personlig integritet och dataskydd vid överföring av personuppgifter till USA. EU hade tidigare fastslagit att Safe Harbor-principerna utgjorde laglig grund för överföring av personuppgifter till USA, men i oktober 2015 ogiltigförklarade EU-domstolen det beslutet. Det fastslogs att Safe-Harbor inte motsvarar EUs krav när det gäller skydd för den personliga integriteten. Det innebar följaktligen att personuppgifter inte längre kunde överföras till USA med stöd av Safe-Harbor-principerna. Sedan juli 2016 gäller ett nytt regelverk Privacy Shield. En viktig del i den nya överenskommelsen mellan EU och USA är att en översyn och utvärdering ska göras efter ett år och att representanter för EU-ländernas dataskyddsmyndigheter ska delta i översynen. Det råder trots beslutet om de nya principerna osäkerhet om det framtida rättsläget. Under granskningen har frågan stämts av med stadsledningskontoret och det finns en medvetenhet gällande detta. Underleverantörer till Google Google använder sig av ett antal underleverantörer till molntjänsten Google Apps for Education. Även dessa hanterar personuppgifter. Göteborgs Stad har fått ta del av en lista som innehåller bolagsnamnen över de underleverantörer Google använder. När det gäller underleverantörer har Datainspektionen kommit med ett beslut rörande Google och Malmö stad. Enligt beslutet ska listan över underleverantörer tydligt ange bolagsnamn, lokalisering, adress och specifikation av det uppdrag de utför. Google ska vidare kunna ge personuppgiftsansvarig detaljerad information om vilken typ av tjänst underleverantörer levererar, vilket typ av bolag det är och garantier för att dataskyddsdirektivet kring personuppgiftshanteringen efterlevs. Den lista Göteborgs Stad har fått från Google motsvarar inte de krav Datainspektionen reser. Stadsrevisionen 5

6 Stadsrevisionens bedömning Baserat på granskningens iakttagelser är det stadsrevisionens bedömning att den interna styrningen och kontrollen bör stärkas. Det gäller både inom berörda stadsdelsnämnder och inom utbildningsnämnden, men kraven bör även skärpas när det gäller den information som staden får från Google i dess egenskap av personuppgiftsbiträde. Stadsdelsnämnderna och utbildningsnämnden Stadsrevisionen bedömer att de granskade stadsdelsnämnderna och utbildningsnämnden behöver stärka den interna styrningen och kontrollen inom följande: De granskade stadsdelsnämnderna och utbildningsnämnden har inte fullt ut etablerat följsamhet gentemot stadens riktlinjer när det gäller hanteringen av personuppgifter. Det innebär också att nämnderna inte i alla avseenden följer personuppgiftslagens krav. Kännedomen om roller och ansvar är i vissa fall bristfällig. Nämnderna måste stärka styrningen inom området och säkerställa att ansvariga på skolorna har full kännedom om personuppgiftslagens innebörd och krav och att det utvecklas bättre rutiner i syfte att säkerställa att lagen efterlevs i skolorna. Stadens gemensamma riktlinjer utgör i sammanhanget ett bra stöd och ett komplement till personuppgiftslagen. Nämnderna behöver säkerställa och dokumentera att samtliga it-system som används i skolan är förenliga med personuppgiftslagens krav. Nämnderna behöver särskilt kartlägga och kontinuerligt gå igenom förekomsten av skugg-it på sina skolor, det vill säga it-lösningar som saknar sanktion. Detta i syfte att säkerställa att personuppgifter inte hanteras i strid med personuppgiftslagen. All hantering av personuppgifter ska enligt gällande regelverk vara dokumenterad. Det behöver tydliggöras inom skolorna vilka analyser, med bäring på efterlevnaden av personuppgiftslagen, som ska genomföras innan man börjar använda en ny systemlösning. Utbildningsnämnden samt nämnderna för Västra Hisingen, Lundby och Örgryte-Härlanda behöver säkerställa att regelbundna genomgångar av användare görs i samtliga system som hanterar personuppgifter. Stadsrevisionen rekommenderar utbildningsnämnden och stadsdelsnämnderna Lundby, Västra Göteborg, Västra Hisingen samt Örgryte-Härlanda att stärka den interna styrningen och kontrollen avseende hanteringen av personuppgifter i skolornas it-system. När det gäller barn med skyddad identitet bedömer vi att stadsdelsnämndernas och utbildningsnämndens rutiner är tillfredsställande. Molntjänsten Google Apps for Education Eftersom EU-domstolen ogiltigförklarat Safe Harbor-principerna och eftersom det nya regelverket Privacy Shield ska utvärderas efter ett år, har Google Apps for Education på längre sikt en oklar rättslig status gentemot svensk lagstiftning. Någon rättslig prövning har i dagsläget inte ägt rum, men stadsrevisionen bedömer att det 6 Stadsrevisionen

7 inte kan uteslutas att en prövning i framtiden kan leda till slutsatsen att nuvarande utformning av Google Apps for Education inte är förenlig med personuppgiftslagen. Sveriges Kommuner och Landstings har gett ut en vägledning till sina medlemmar som bland annat berör konsekvenserna av besluten om Safe Harbor och Privacy Shield. Det betonas att vägledningen kommer att justeras efterhand, och det påpekas också att det är just en vägledning och att kommunerna måste göra en egen juridisk bedömning. Dessutom tillkommer att den nya skärpta lagstiftningen till skydd för personuppgifter träder i kraft Datainspektionen betonar vikten av att alla verksamheter måste se över sin personuppgiftshantering inför att EU:s nya dataskyddsförordning träder i kraft. Stadsrevisionen bedömer att Göteborgs Stad saknar tillräcklig information från Google om de underleverantörer som används i molntjänsten Google Apps for Education. Den lista personuppgiftsbiträdet överlämnat till staden saknar information som ska finnas och motsvarar därför inte lagstiftningens krav. Stadsrevisionen rekommenderar kommunstyrelsen att säkerställa att tillräcklig information över samtliga Googles underleverantörer erhålls och att informationen följs upp och uppdateras regelbundet. 7 Stadsrevisionen

8 Stadsrevisionen Postadress: Box 2141, Göteborg Besöksadress: Stora Badhusgatan 6, Göteborg Kontaktcenter: , kansli: goteborg.se/stadsrevisionen