Fråga:
Din fråga: Hej!
Vi skulle vilja lägga våra åtgärdsprogram på kommunens intranät, Office 365 där lärare kan dela dokumenten med varandra. Detta skulle underlätta arbetet i praktiken då t.ex. alla berörda ämneslärare på högstadiet får tillgång till ÅP:t och kan skriva direkt där i. Vi undrar om du kan ge oss svar på om detta är ok? Tack på förhand.
Marit
Svar:
(Svaret uppdaterat 2019-08-21)
Hej Marit,
När man behandlar personuppgifter i skolan måste man tänka på att dessa inte sprids i en vidare grupp än den som behöver uppgifterna. Skolan kan göra uppgifterna tillgängliga på intranätet men måste då se till att inte vem som helst får tillgång till dem. Visserligen är ett ÅP ett offentligt dokument, som inte sekretesskyddas, eftersom det utgör ett beslut i ett elevstödjande ärende. Men det kan ändå innehålla känsliga uppgifter om en elev, så det är inte rimligt att alla lärare har tillgång till innehållet i varje ÅP som upprättas i skolan.
Datainspektionen hade tidigare en checklista för skolan vid personregistrering, Den är inte aktuell efter införandet av GDPR men många av checklistans punkter är aktuella även idag.
I listan skrev man i en av punkterna:
”Får alla lärare läsa om alla elever?
Bara den som behöver personuppgifterna i sitt arbete får ta del av dem. Det innebär att skolan måste införa begränsningar i läs- och skrivmöjligheterna i sina IT-system. Det är ofta lämpligt att både ha interna skriftliga regler i skolan för vilken anställd som får läsa vad och att införa tekniska begränsningar av läs- och skrivmöjligheterna.”
Datainspektionen skriver i ett annat sammanhang följande som svar på en fråga från Stockholms stad:
” Rätt ändamål rätt användare
De ovannämnda grundläggande kraven angående ändamålet med behandlingen, innebär att åtkomst till personuppgifterna inte bör ges till personer som inte behöver dem i sitt arbete. Om sådana personer tar del av uppgifterna, sker det nämligen i annat syfte än det professionella ändamål för vilket uppgifterna samlades in. PuLs grundläggande krav angående ändamålet med behandlingen är av särskild vikt när det gäller integritetskänsliga personuppgifter. Därför är det troligtvis inte förenligt med kraven angående ändamålet med behandlingen, att göra elektroniskt lagrade integritetskänsliga uppgifter om elever tillgängliga för läsning av andra personer än dem som är berörda av uppgifterna. Berörda skulle exempelvis kunna vara eleven, vårdnadshavarna och lärare som skrivit in uppgifterna om den aktuella eleven. Därför bör Staden utforma regler för vem som ska få åtkomst till åtgärdsprogram och underlag för individuella utvecklingsplaner, samt utforma system och rutiner för behörighetskontroll i enlighet med dessa regler.”
Det finns mycket att tänka på då man personregistrerar i skolan. På senare tid har Datainspektionen särskilt granskat skolors utnyttjande av s.k. molntjänster. Om detta och om GDPR i skolan skriver jag en hel del i nya sjunde upplagan av min bok ”Sekretess och anmälningsplikt i förskola och skola”. Den utkom i juni 2019.
Hälsningar från
Staffan