Integritet och säkerhet i svenska skolor: Därför måste kommunernas GDPR-hantering utvecklas

Det är inte bara privatpersoner som kämpar för att hänga med i samhällets kontinuerliga digitala utveckling. När allt fler personuppgifter hanteras elektroniskt står också svenska kommuner inför betydande utmaningar gällande tryggandet av sina invånares datasäkerhet och integritet. Det här inkluderar inte minst säkerheten i skolorna, där hanteringen av elevernas personuppgifter enligt dataskyddsförordningen (GDPR, på engelska: General Data Protection Regulation) är avgörande för att säkerställa både dataskydd och integritet. Men trots de höga kraven har det visat sig att många kommuner fortfarande brottas med betydande brister när det kommer till hanteringen av dessa frågor. I den här artikeln analyserar vi hur svenska kommuner idag jobbar med frågor kring integritet och säkerhet, vi identifierar de största utmaningarna som deras hantering för med sig och föreslår möjliga lösningar.

Varför brister säkerheten?

Det korta svaret på den frågan är att många svenska kommuner helt enkelt har en otillräcklig hantering av integritet och säkerhet. Orsaken till det är ofta att arbetet är väldigt tidskrävande medan resurserna är få, konstaterar Ramón Navarro Marttinen, juridisk rådgivare på Edudata.io Sweden. Det här leder till att DPIA (Data Protection Impact Assessment), som borde utföras regelbundet, sällan sker inom utsatt tid och att resultatet i allmänhet är av dålig kvalitet.

"Kommunerna genomför sällan sina konsekvensbedömningar årligen, utan det är ganska vanligt att det kan gå flera år mellan dem. De behöver inte göras varje år, men det finns ett juridiskt krav på att de alltid ska uppdateras när riskerna förändras," säger Ramón. Många kommuner väljer istället att utföra dessa bedömningar med intervaller på 5-7 år, vilket innebär att det är osäkert om säkerhetspolicys och dataskyddsåtgärder är uppdaterade och effektiva.

Case Östersunds kommun: Lärdomar från en bristfällig DPIA

När det kommer till bristfällig hantering av de här frågorna är Östersunds kommun ett lärorikt exempel. Kommunen fick sanktionsavgifter för att de inte hade genomfört sin konsekvensbedömning fullt ut. Det här är de dock långt ifrån ensamma om. Trots att det finns ett tydligt juridiskt ramverk, brister implementeringen ofta på grund av begränsade resurser, men också på grund av bristande förståelse för lagens fulla innebörd. “Många kommuner förlitar sig på att de inte kommer att bli granskade, men det är mest ett tecken på att de inte vet hur de ska hantera situationen effektivt”, säger Ramón. 

I fallet Östersund hade kommunen genomfört en DPIA, men det fanns ändå flera kritiska brister. En central problematik var att Google behandlar tjänstdata som personuppgiftsansvarig, och att det tillhörande "Service Data addendum" inte var tillgängligt för avtal i Sverige. Dessutom regleras överföringar till USA via EU Data Privacy Framework (DPF), vilket Google är certifierat under, men det finns en osäkerhet kring DPF:as långsiktiga giltighet. Vid en framtida rättsprocess kan DPF förlora sin rättsliga grund, vilket innebär ytterligare risker för dataöverföringar till USA.

Östersund hade också beslutat att implementera Client-side encryption (CSE) som en skyddsåtgärd, men det här har visat sig vara en begränsande faktor för funktionaliteten och användningen i Google Workspace for Education (GWE). Med CSE i kraft kan elever inte längre samarbeta i realtid i dokument i Google Docs, vilket motverkar verktygets syfte. Allt detta visar att en DPIA inte bara handlar om att hantera risker, utan också om att balansera användarupplevelse och säkerhetsåtgärder.

Utmaningar: tid och resurser

En av de största utmaningarna som kommunerna står inför är mängden applikationer som måste riskbedömas. Det är en tidskrävande process, särskilt för de personer som inte är bekväma med teknologin, och det kräver ofta mycket arbete inom organisationen. "Det är vanligt att det finns för få människor som arbetar med säkerhets- och integritetsfrågorna, och i vissa fall är det bara en person som sköter allting manuellt," noterar Ramón. “De här problemen är särskilt uttalade i mindre kommuner, som har begränsade resurser men som ändå är beroende av en eller ett fåtal personer för att hantera hela processen.”

En annan utmaning är skillnaderna i hur olika kommuner närmar sig integritet och säkerhet. Större kommuner, som Stockholms kommun, har utvecklat egna plattformar för risk- och konsekvensbedömningar tack vare en större budget. Mindre kommuner, å andra sidan, måste ofta vända sig till enklare lösningar, som manuell sortering och Excel-ark, vilket ökar risken för misstag och ineffektivitet i arbetet.

Ett tredje hinder är att många kommuner är rädda för de potentiella slutsatserna i en konsekvensbedömning (DPIA). Implementering av åtgärder som CSE kan, som tidigare nämnts, leda till att användarupplevelsen försämras, vilket är något kommunerna är ovilliga att acceptera. Dessutom är det ett vanligt missförstånd att en DPIA måste eliminera alla risker, men det här är inte GDPR:s syfte. I själva verket handlar det om att skapa en överblick över potentiella risker och hot för att kunna hantera dessa på bästa möjliga sätt.

“Med rätt vägledning, till exempel genom att samarbeta med Edudata.io, kan kommunerna genomföra konsekvensbedömningar som är både effektiva och anpassade till deras specifika behov. Edudata.io:s GDPR-experter har lång och djupgående erfarenhet av att arbeta med integritetsfrågor inom utbildningssektorn, och vi kan hjälpa kommuner att identifiera och implementera de bästa skyddsåtgärderna, utan att kompromissa med användbarheten”, säger Ramón. 

Möjligheter till förbättring och utveckling

Trots de betydande utmaningarna finns det ändå goda möjligheter för kommunerna att förbättra sin hantering av integritet och säkerhet. För det första behöver de hålla integritet och säkerhet som två separata frågor att behandla, och inte se dem som ett och samma problem. Det här skulle möjliggöra mer fokuserade insatser och effektivare resursanvändning. Genom att investera i utbildning och öka medvetenheten bland beslutsfattare om vikten av regelbunden och korrekt utförd dataskyddshantering, kan kommunerna också förbättra sin efterlevnad av GDPR.

Vidare kan kommuner dra lärdomar av Östersunds misstag genom att allokera tillräckliga resurser och stöd för att utföra nödvändiga konsekvensbedömningar i god tid. “Det är också viktigt att kommunerna ser GDPR som ett förebyggande arbete snarare än en åtgärd som bara behöver hanteras när problem uppstår,” tillägger Ramón. Genom att skapa en kultur av proaktiv dataskyddshantering kan kommunerna minska risken för sanktionsavgifter och stärka förtroendet bland invånare och skolor.

Mot en säkrare framtid

Svenska kommuner står inför betydande utmaningar när det gäller hanteringen av integritet och säkerhet enligt GDPR-kraven, men det finns också stora möjligheter till förbättring. Genom att ta itu med de brister som identifierats och fokusera på att bygga starka, hållbara rutiner för dataskydd, kan kommunerna säkerställa att de inte bara följer lagen, utan också skyddar sina mest sårbara invånare – eleverna. 

Edudata.io är kommunernas främsta partner när det gäller att genomföra högkvalitativa konsekvensbedömningar. Våra bedömningar är utvecklade genom år av samarbete mellan certifierade tekniska experter och specialister på utbildningsintegritet. Med gedigen erfarenhet, efter att ha arbetat med hundratals kunder i hela Norden, vet vi exakt hur DPIA-processen ska genomföras, och vilka kommunernas vanligaste misstag är.

Genom att samarbeta med oss kan kommunerna vara säkra på att de får tillgång till de bästa tillgängliga lösningarna för att hantera risker och skydda elevernas integritet, utan att slösa onödiga resurser. Ta det första steget mot att säkerställa barnens integritet på ett effektivt sätt genom att höra av er till oss – vi sköter resten!