Beslut Dnr 2007-02-14 1623-2006 Barn- och utbildningsnämnden Nynäshamn kommun 149 81 Nynäshamn Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut Datainspektionen konstaterar att Barn- och utbildningsnämnden behandlar känsliga personuppgifter i det elevadministrativa delsystemet DEXTER utan att vidta tillräckliga säkerhetsåtgärder enligt 31 personuppgiftslagen (PuL). Datainspektionen förelägger Barn- och utbildningsnämnden att vidta tekniska åtgärder för att säkerställa att endast de avsedda mottagarna kan ta del av uppgifterna i DEXTER. Datainspektionen förutsätter att Barn- och utbildningsnämnden dels, - vidtar tekniska åtgärder för att säkerställa att behandlingshistoriken är tillräckligt detaljerad utifrån de synpunkter Datainspektionen lämnar nedan, dels - kompletterar informationen till elever och vårdnadshavare med uppgift om att nämnden är personuppgiftsansvarig för behandlingen av personuppgifter, hur länge personuppgifterna sparas samt rätten att begära registerutdrag och få rättelse. Vidare förutsätter Datainspektionen att nämnden beaktar inspektionens synpunkter när det gäller frågan om vilka personuppgifter som får behandlas i DEXTER och gallring av personuppgifter. Redogörelse för tillsynsärendet Datainspektionen genomförde en inspektion på Vanstaskolan i Ösmo, Nynäshamns kommun, den 7 december 2006. Syftet med inspektionen var att kontrollera skolans rapportering till föräldrar via Internet och webbapplikationen DEXTER. Barn- och utbildningsnämnden i Nynäshamns kommun är personuppgiftsansvarig för behandlingen av personuppgifter på Vanstaskolan. Vid inspektionen och i efterföljande kontakt med Barn- och utbildningsförvaltningen framkom i huvudsak följande. Allmänt om DEXTER Vanstaskolan har cirka 500 elever, varav 300 elever går i årskurs 7-9. EXTENS är barn- och utbildningsförvaltningens verksamhetssystem för skola och Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
2 (7) barnomsorg. I EXTENS finns bl.a. uppgifter om anställd personal, aktuella barn/elever, deras placering, frånvaro och betyg. DEXTER är en webbapplikation som hämtar valda data från EXTENS. Vissa uppgifter uppdateras samtidigt i DEXTERS och EXTENS databaser. DEXTER används av ca 350 personer, såväl elever som skolpersonal. Kopplat till varje elev finns ett konto för vårdnadshavare. Personal och elever blir automastiskt tilldelade ett användarkonto i DEXTER när de registreras i EXTENS. Vid ny tilldelning, ändring eller borttagande av behörighet beställer rektor åtgärden hos systemadministratören som lägger upp användaren och återrapporterar till rektorn. Behörigheten, som kopplas till ett användarkonto, är rollbaserad och styrs så att användaren endast kan ta del av för denne relevanta uppgifter. Föräldrar kan ansöka om ett användarkonto på kommunens webbplats där de får uppge sitt personnummer. En slagning görs därefter mot kommunens folkbokföringsregister för att kontrollera att den sökande är vårdnadshavare för ett barn eller en elev inom barnomsorgen eller skolan innan ett användarkonto skapas. Registreringen hanteras på Vanstaskolan av skolassistenter, som skickar ett brev med användarnamn och lösenord till sökandens folkbokföringsadress. Nynäshamns kommun har för närvarande ett pågående e-tjänstprojekt där man tittar på tjänster som kräver e-id och e-signatur. En teknisk plattform för att logga in i DEXTER med e-id beräknas vara klar den 1 februari 2007. Kommunen ska utreda om och när detta ska användas. Syftet med införandet av DEXTER är att skolan med hjälp av systemet ska kunna uppfylla sin uppgiftsskyldighet till vårdnadshavare om elevers frånvaro från lektioner. Syftet är vidare att skolan ska kunna samverka med vårdnadshavarna i frågor som rör elevernas skolgång och utveckling. Det är mycket viktigt att kommunikationen mellan skolan och vårdnadshavarna sker på ett enkelt och tidsbesparande sätt. Skolpersonalen använder DEXTER för att elektroniskt dokumentera de uppgifter som tidigare antecknades på papper. Den omständigheten att alla uppgifter om eleven finns samlade i DEXTER gör det lättare att följa upp elevens utveckling och vidtagna åtgärder som berör eleven. Vårdnadshavarna har fått muntlig och skriftlig information om bl.a. syftet med att använda DEXTER och vilka som har tillgång till de uppgifter som registreras i systemet. De har inte fått information om hur länge uppgifterna sparas, rätten till registerutdrag och rättelse eller vem som är personuppgiftsansvarig. Uppgifter inför och om utvecklingssamtal Vårdnadshavare och elever kan i DEXTER läsa såväl anteckningar i samband med utvecklingssamtal som anteckningar i samband med registrering av frånvaro och betyg. De kan anmäla frånvaro och lämna ytterligare uppgifter/kommentarer om frånvaron i ett fritextfält. Elever kan lämna uppgifter där de redogör för utvecklingsarbetet inför och efter utvecklingssamtalet. Vårdnadshavare kan skicka svar på utvärderingsfrågor inför utvecklingssamtalet. Uppgifter som har anknytning till
3 (7) utvecklingssamtalet, såsom omdömen och elevens självvärdering, speglas inte till EXTENS. Lärare kan i DEXTER läsa svar från vårdnadshavare och elever i utvärderingsarbetet inför utvecklingssamtalen enbart rörande de elever de är klassföreståndare för. De kan också läsa och ändra egna anteckningar inför utvecklingssamtalen. De kan registrera frånvaro och lämna kommentarer till frånvaron i fritextfältet samt lägga in betyg. Inför utvecklingssamtalet på högstadiet lämnar vårdnadshavaren, klassföreståndaren, eleven och elevens ämneslärare ett utvärderingsunderlag. Eleven får svara på vissa påståenden genom att på en skala ange om det stämmer helt eller stämmer inte. Påståendena är bl.a. om de känner sig trygga på väg till skolan, om de är rädda för någon i skolan och om de trivs med sin lärare. Eleven får också i ett fritextfält anteckna mina starka sidor och sidor jag behöver utveckla. Ämneslärare kan endast ta del av sitt eget utvärderingsunderlag. Vårdnadshavaren, eleven och klassföreståndaren har däremot tillgång till samtliga utvärderingsunderlag. Vid utvecklingssamtalet antecknas vilka som är närvarande och de närvarandes kommentarer vid samtalet i fritextfält i ytterligare ett formulär. Därefter antecknas utvecklingsmål för eleven. Rektor kan ta del av alla dokument rörande elever och utvecklingssamtalet eftersom denne har ansvar för lärarnas arbete. Speciallärare kan få tillgång till och lämna uppgifter i samband med utvecklingssamtalet om klassföreståndaren anser att det finns behov av det. På Barn- och utbildningsnämndens sammanträde i januari år 2007 ska man fatta beslut om när uppgifterna ska gallras. Förslaget är att de ska gallras när de är inaktuella. Uppgifter om frånvaro De alternativa uppgifter om elevernas frånvaro som kan väljas i DEXTER är närvarande, avvikit, ledighet, okänd orsak, sen ankomst och sjuk. Dessutom finns ett fritextfält där ytterligare information kan lämnas i samband med uppgift om frånvaro. Fritextfältet tillkom i systemet efter önskemål från vårdnadshavare och lärare. Lärare och vårdnadshavare har ett gemensamt ansvar för omhändertagandet av elever och det är därför viktigt att fullständig information kan lämnas och dokumenteras i samband med registrering/anmälan om frånvaro. Läraren avgör från fall till fall om en elevs frånvaro från lektioner, som inte beror på att eleven är sjuk eller skolkar, ska noteras i DEXTER. Om en elev t.ex. är frånvarande pga. samtal med kurator skrivs det normalt inte in i DEXTER. Det pågår en diskussion om hur kuratorssamtal och besök hos skolsköterska ska hanteras men det finns ingen skriftlig instruktion om detta. En frånvarolista tas fram ur systemet med jämna mellanrum och skickas per post till vårdnadshavarna. Anledningen till detta är att det inte går att kontrollera om vårdnadshavarna har tagit del av frånvarouppgifterna i DEXTER. Vårdnadshavare och lärare kan välja om fritextfältet ska vara med på listan eller tas bort. Klassföreståndare, elever och vårdnadshavare har tillgång till samma frånvarouppgifter i DEXTER. Endast den personal som har behov av frånvarouppgifterna för sitt arbete har tillgång till dem i DEXTER. Klassföreståndare och vårdnadshavare kan se registrerad frånvaro ett år tillbaka
4 (7) i tiden. Uppgifterna har i dagsläget inte gallrats men ska enligt dokumenthanteringsplanen gallras när de är inaktuella. Rektor har ett behov av att kunna se frånvaron under hela den tid som eleven omfattas av hans ansvar. Det förs inga särskilda loggar i DEXTER då Barn- och utbildningsnämnden inte bedömt det som nödvändigt. För att kunna föra loggar krävs en tilläggsmodul i systemet. Behandlingshistorik finns dock såtillvida att det går att se vilken användare som registrerat vad i systemet, men inte när. Skäl för beslutet Information och samtycke till behandlingen av personuppgifter i DEXTER Av 10 PuL framgår när behandling av personuppgifter är tillåten. Personuppgifter får behandlas bara om den registrerade lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för något av de uppräknade syften som anges i punkterna a-f i denna bestämmelse. Enligt 13 PuL är känsliga personuppgifter bl.a. sådana uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller personuppgifter som rör hälsa eller sexualliv. Huvudregeln är att det är förbjudet att behandla känsliga personuppgifter om inte den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller på ett tydligt sätt offentliggjort uppgifterna. I DEXTER behandlas känsliga personuppgifter, t.ex. uppgifter om elevs frånvaro pga. sjukdom. Datainspektionen rekommenderar därför att skolan inhämtar de registrerades samtycke till behandlingen av personuppgifter i DEXTER. Ett samtycke ska inhämtas från vårdnadshavaren i de fall det är fråga om barn som inte uppnått en sådan mognad att de själva kan tillgodogöra sig information om vad en behandling innebär. Högstadieelever kan inte generellt sett anses ha nått en sådan mognad att de är kapabla att ta ställning i samtyckesfrågan i detta fall, varför vårdnadshavarna måste lämna sitt samtycke till behandlingen. För att samtycket ska vara giltigt krävs också att de registrerade får viss information om hur och varför personuppgifterna hanteras. Den information som ska lämnas i samband med att ett samtycke inhämtas ska enligt 25 PuL innehålla uppgifter om följande. Vem som är personuppgiftsansvarig, ändamålet med behandlingen, vilka uppgifter som behandlas, hur länge uppgifterna sparas, vilka uppgifterna kan komma att lämnas ut till, att den registrerade har rätt att begära information om behandlingen av de personuppgifter som rör honom eller henne (registerutdrag) och att den registrerade har rätt att begära att felaktiga uppgifter ska rättas. Om information enligt ovan lämnas till vårdnadshavarna, kan de vårdnadshavare som ansöker om ett användarkonto i DEXTER och sedan loggar in på DEXTER för att ta del av uppgifterna, anses ha lämnat sitt
5 (7) uttryckliga samtycke till behandlingen. Nämnden bör dock ta fram rutiner för på vilket sätt denna information ska lämnas till vårdnadshavarna. Samtycket omfattar behandlingen av personuppgifter i DEXTER för de ändamål som nämnden har uppgett. Av detta följer att DEXTER inte kan användas för kommunikationen av uppgifter som rör frånvaro och utvecklingssamtalet om vårdnadshavaren inte samtycker till behandlingen. Vilka personuppgifter får behandlas i DEXTER? Det finns inte några skriftliga instruktioner om vad som ska skrivas i fritextfältet där kommentarer kan lämnas i samband med registrering av frånvaroorsak. Av de grundläggande kraven i 9 PuL följer bl.a. att de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålet med behandlingen samt att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Uppgift om skälen till giltig frånvaro, såsom besök hos skolhälsovården eller kurator kan i sig vara integritetskänsliga, även i förhållande till elevens vårdnadshavare. Skälen till elevens frånvaro kan även i vissa fall omfattas av sekretess gentemot vårdnadshavaren. Det sistnämnda är dock en fråga som regleras av bestämmelser i sekretesslagen och inte av bestämmelser i PuL. Nämnden måste aktivt ta ställning till om det är nödvändigt, med hänsyn till ändamålet med behandlingen, att ha ett fritextfält där kommentarer till frånvaron kan lämnas. Om nämnden bedömer att fritextfältet ska vara kvar måste nämnden utfärda skriftliga instruktioner till användarna om vilka uppgifter som är relevanta att lämna i fritextfältet och vilka sekretessregler som gäller. De uppgifter som lämnas i samband med utvecklingssamtalet är uppgifter med anknytning till elevens studier och uppgifter om elevens personliga förhållanden och sociala situation. Eleven ska bl.a. svara på frågor som gäller relationen till lärare och andra elever. Dessa uppgifter kan vara integritetskänsliga. Nämnden bör ta fram skriftliga instruktioner till användarna för att, med hänsyn till bestämmelserna i 9 PuL, se till att de uppgifter som lämnas är nödvändiga, sakliga och relevanta för utvecklingssamtalet. Gallring De personuppgifter som behandlas i DEXTER i samband med frånvaro och i samband med utvecklingssamtal ska gallras när det inte längre är nödvändigt att ha kvar uppgifterna med hänsyn till ändamålet med behandlingen. Nämnden måste ta ställning till om uppgifter som lämnas i fritextfältet vid registrering av frånvaro ska sparas lika länge som frånvaroorsak och tid för frånvaro. Vidare måste nämnden ta ställning till om alla uppgifter som behandlas i samband med utvecklingssamtalet ska sparas efter det att samtalet har hållits och när utvecklingsmålen har fastställts. Eftersom PuL är subsidiär kan det finnas krav på bevarande av dessa uppgifter i annan lagstiftning, såsom arkivlagen.
6 (7) PuLs krav på säkerhet vid behandling av personuppgifter Enligt 31 PuL ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, kostnaden för åtgärderna, särskilda risker med behandlingen och hur pass känsliga uppgifterna är. Vid bedömning av hur pass känsliga uppgifterna är ska särskilt beaktas om personuppgifterna definieras som känsliga i PuL samt om de omfattas av tystnadsplikt eller sekretess enligt sekretesslagen (1980:100) eller annan lagstiftning. Behörighetskontroll och autentisering i DEXTER Datainspektionen har inte några synpunkter på hur användarnas behörighet begränsas eller de rutiner som används för behörighetstilldelning i DEXTER. Däremot är det inte tillräckligt att enbart med användarnamn och lösenord autentisera användarna då de ansluter till DEXTER via Internet. Känsliga personuppgifter enligt PuL eller personuppgifter som kan anses vara särskilt integritetskänsliga, t.ex. för att de omfattas av sekretess eller rör den enskildes personliga förhållanden, får lämnas ut via öppna nät endast till identifierade användare vars identitet är säkerställd med en teknisk funktion som kryptering, engångslösenord eller motsvarande. Behandlingen av personuppgifter i DEXTER uppfyller således inte säkerhetskraven i PuL eftersom känsliga personuppgifter kommuniceras över öppet nät utan att tillräckliga åtgärder har vidtagits för att säkerställa mottagarens identitet. Med hänsyn till att det rör sig om känsliga personuppgifter anser Datainspektionen att det finns skäl att förelägga barnoch utbildningsnämnden att vidta sådana säkerhetsåtgärder. Behandlingshistorik/Loggar i DEXTER Av Datainspektionens allmänna råd Säkerhet för personuppgifter framgår bl.a. följande. För att åtkomsten ska kunna kontrolleras bör det, beroende på känsligheten hos personuppgifterna, finnas en behandlingshistorik som sparas en viss tid. Behandlingshistoriken bör normalt vara så detaljerad att den kan användas för att utreda felaktig eller obehörig användning av personuppgifter. Den bör vidare, beroende på känsligheten hos personuppgifterna, ange t.ex. läsning, ändring, utplåning eller kopiering av personuppgifter. Mot bakgrund av att endast eleven och vårdnadshavaren samt en begränsad del av personalen har behörighet att ta del av elevens personuppgifter i DEXTER föreligger inte några särskilda risker för obehörig åtkomst. Detta förutsätter dock att kraven på autentisering är uppfyllda. Utan loggar är det dock svårt att utreda eventuella dataintrång. Med hänsyn härtill och till uppgifternas känslighet bör loggar föras även om det inte föreligger några särskilda risker. Ur behandlingshistoriken måste man kunna utläsa vem som har gjort vad samt
vid vilken tidpunkt. Den behandlingshistorik som registreras idag är inte tillräckligt detaljerad för att tillgodose kraven i 31 PuL. 7 (7) Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Leif Lindgren, IT-säkerhetsspecialisten Magnus Bergström och datarådet Katja Isberg Amnäs, föredragande. Göran Gräslund Katja Isberg Amnäs Kopia till: 1. Jesper Samuelsson, Vanstaskolan, Box 40, 148 21 ÖSMO 2. IST Sverige AB, Tommi Berkesi, Arabygatan 82, 352 46 VÄXJÖ 3. Skolverket, Alströmergatan 12, 106 20 STOCKHOLM