Ingela Dahlgren, som till vardags är chef för sektor utbildnings IKT-enhet i Centrum, är projektledare för dataskyddsförordningsarbetet inom förskola och grundskola. Hon leder en arbetsgrupp med IKT-ansvariga som ska underlätta för verksamheterna att möta utmaningarna i Dataskyddsförordningen på ett så bra och likvärdigt sätt som möjligt.
Pedagog Göteborg träffade Ingela Dahlgren för att få svar på vilka förändringar som väntar och hur skolan kommer att påverkas av DSF.
- Vad är Dataskyddsförordningen?
– Dataskyddsförordningen (DSF), eller General Data protection regulation (GDPR) som den kallas i EU-sammanhang, reglerar hur vi får hantera personuppgifter. Förordningen ersätter och förstärker den tidigare Personuppgiftslagen, PUL. Den ställer högre krav på företag, organisationer och myndigheter att informera om hur och varför de samlar in och hanterar personuppgifter.
- Vilka är fördelarna med DSF?
– DSF stärker skyddet för fysiska personer vid behandling av personuppgifter, så att den personliga integriteten värnas ännu mer än tidigare. Bland annat har begreppet personuppgifter utvidgats. Egentligen är det all information som kan knytas till en specifik individ, och som innebär att personen kan identifieras. Det kan till exempel vara namn, adress, e-post, personnummer, foton, filmer, ljud, IP-adress, administrativt konto, skostorlek, uppgifter om hälsa, kön, religion med mera.
- Vad blir förbjudet?
– Lagen förtydligar och ställer krav på att man har dokumentation på var och hur man förvarar och hanterar de personuppgifter som förekommer i verksamheten. Den främsta skillnaden är att företag/kommuner inte längre kan äga personuppgifter utan endast låna dem av individen. Individen har också fått en stärkt rätt att “bli glömd”, det vill säga kan begära att personliga uppgifter rensas bort. Vissa myndigheter har ändå rätt att behålla personuppgifter då de enligt lag måste hantera dessa, som till exempel skattemyndigheten.
- Vad händer om en kommun eller företag bryter mot lagen?
– Då kan de dömas till böter, och det kan handla om stora summor (miljonbelopp) för de ansvariga (huvudman inom kommunen).
- Vad innebär det för mig som pedagog?
– Du behöver, precis som tidigare, tänka på dina formuleringar, vad du ska ha uppgifterna till och vad du gör när du använt dem.
– Som pedagog får du dokumentera allting som krävs för att du ska kunna sköta ditt uppdrag. Om klassen till exempel ska på studiebesök och du vill ta med en närvarolista för att bocka av eleverna; ja då får du lov att skapa en sån lista. Men du kanske inte behöver ha personnummer på listan, utan till exempel bara förnamn och initial på efternamn. Efteråt bör du slänga listan och radera filen om det inte är motiverat att spara den.
– Det är viktigt att skolan har en struktur för hanteringen av personuppgifter och ett dokument som beskriver hur handhavandet ska gå till. Det är också viktigt att skolan informerar elever och vårdnadshavare om vilka personuppgifter som samlas in och hur skolan kommer att behandla uppgifterna.
– Dataskyddsförordningen påverkar också hur vi använder webbaserade verktyg i undervisningen, läromedel och appar som till exempel Kahoot, Scratch, Socrative och Google. För alla webbaserade verktyg som kräver personuppgifter för inloggning, till exempel e-postadress, AD-konto eller liknande, skall verksamheten skriva ett Personuppgiftsbiträdesavtal, PuB-avtal, med leverantören. Göteborgs Stad har skrivit ett sådant avtal med bland annat Google. I PuB-avtalet står hur leverantören (personuppgiftsbiträdet) hanterar (behandlar) de personuppgifter som verksamheten (personuppgiftsansvarig) lämnar ut för att få tillgång till de tjänster man köpt.
- Vad händer om jag bryter mot lagen på något sätt?
– Eftersom inget fall har prövats ännu så vet man inte säkert vad som sker. När det gäller nya lagar så prövas de ju alltid i domstol vid nya fall och en praxis uppstår. Men som anställd är du skyldig att följa de lagar och förordningar som finns för din verksamhet.
- Vad innebär det för mig som ledare? Vad händer om jag bryter mot lagen på något sätt? Är jag som ledare ansvarig för vad pedagogerna gör?
– Se svaret ovan. Som chef är du ansvarig för din verksamhet på samma sätt som inför andra lagar men det är skolhuvudmannen (SDF innan den 1 juli och de nya förvaltningarna efter den 1 juli 2018) som döms till böter.
- Hur arbetar staden med dessa frågor?
– Det finns ett stadengemensamt arbete med DSF som involverar alla sektorer. Där är sektor Utbildning en del av en helhet. Sektor Utbildning (förskola, skola) har en grupp som arbetar med dessa frågor centralt.
– Just nu är staden inne i ett skede där grupper i stadsdelarna hjälps åt att sortera och strukturera processer som innehåller personuppgiftsbehandlingar. Exempel på en sån process kan vara handlingar rörande fortlöpande prövning och bedömning, till exempel bedömning av prov och elevarbeten, diagnostiska prov, barn- och elevarbeten, kunskapsmatriser och dokumentationsloggbok.
– Det pågår flera olika arbeten i staden som kopplas ihop med detta arbete, tex arbetet med dokumenthanteringsplan (gallring, arkivering mm). Arbetet är komplext eftersom det är flera olika lagar som behandlar personuppgifter – arkivlagen, skollagen, sekretesslagen med flera. Och dessa lagar är beroende av varandra.
– Vi försöker också på olika sätt sprida information om DSF. Alla chefer inom förskola och skola har erbjudits, eller kommer att erbjudas en föreläsning om DSF och vad som behöver uppmärksammas inom utbildningsområdet.
- Vilka riktlinjer finns för användning av digitala verktyg som kräver elevkonton för inloggning?
– När det gäller digitala läromedel och olika webbresurser finns det idag ingen grupp som ansvarar för att ta fram en strategi för stadens hantering av dessa frågor. Det är varje skola/förskola som själv hanterar de PuB-avtal de behöver för de resurser de införskaffar. Som stöd finns avtalsmallar på stadens intranät.
– Än så länge är det alltså rektor som skriver avtal med leverantören. Antingen använder man de avtalsmallar staden tagit fram eller så godkänner man företagets avtal. Innan man skriver avtal med leverantören är det viktigt att göra en risk- och sårbarhetsanalys.
– Utbildningsförvaltningen har valt att ta fram ett övergripande avtal för alla leverantörer inom gymnasieskolan samt ett underlag för en risk- och sårbarhetsanalys, som övriga förvaltningar har möjlighet att ta del av.
FAKTA
På Intranätet finns information om Dataskyddsförordningen som stöd för anställda i Göteborg. Här hittar du stödjande dokument, checklistor och mallar.
Intraservice kommer att erbjuda digitala utbildningar via Intranätet – den första lektionen kommer kring 1 mars. Dessa utbildningar är allmänt hållna och inte specifika för utbildningsområdet.
Dataskyddsförordningen
Träder i kraft 25 maj 2018.
Innebär bland annat att företag och organisationer/myndigheter:
– Måste informera om hur de behandlar personuppgifter, vilka uppgifter och varför.
– Måste känna till sin data och alla system som hanterar informationen.
– Måste ha ett dataskyddsombud, t ex om företaget/myndigheten hanterar känsliga uppgifter i stor omfattning. Dataskyddsombudet är ansvarig för att lagen följs, utbildar personal samt fungerar som kontaktperson för allmänheten.
Företag, myndigheter eller organisationer som hanterar personuppgifter bör kunna svara på dessa frågor:
- Varför har vi uppgifterna?
- Behöver vi uppgifterna?
- Hur samlas de in?
- Vem har tillgång till dem?
Mycket är oförändrat
Mycket i dataskyddsförordningen liknar de regler som finns i personuppgiftslagen. På samma sätt som idag får man behandla personuppgifter med stöd av samtycke från de registrerade. De registrerade kommer även i fortsättningen att ha rätt att få information om den personuppgiftsbehandling som sker – och den som behandlar personuppgifter måste ha tillräckliga säkerhetsåtgärder för att uppgifterna skyddas på rätt sätt. Om det är fråga om uppgifter om hälsa, etniskt ursprung, politisk uppfattning eller religiös tro ställs särskilda krav.
