Skapaskolan 2018 | Riktlinjer för dataskydd
12715
page-template-default,page,page-id-12715,page-child,parent-pageid-12668,ajax_fade,page_not_loaded,,select-theme-ver-3.3,wpb-js-composer js-comp-ver-4.12,vc_responsive

Riktlinjer för dataskydd

I skolan hanteras dagligen personuppgifter. Detta för att kunna utföra skolans uppdrag och ge eleverna det stöd de behöver. För att kunna värna elevernas och vårdnadshavarnas rätt till integritet och trygghet ska rektor och varje medarbetare på varje skola medvetet hantera personuppgifter enligt dessa riktlinjer.

Att tänka på:

  • Dataskyddsförordningen är en rättighetslagstiftning som stärker individens rättigheter.
  • Elevernas och vårdnadshavarnas personuppgifter är deras – vi lånar dem bara.
  • Vi ska enbart använda de personuppgifter som vi verkligen behöver för det aktuella syftet.
  • Vi ska i så liten utsträckning som möjligt hantera (samla in, lagra och sprida) känsliga personuppgifter.
  • Vi ska i möjligaste mån eftersträva att vår hantering av personuppgifter vilar på annan rättslig grund än samtycke.
Personuppgiftsansvarig

För Skapaskolan är det The Learning Lab i Stockholm AB som är personuppgiftsansvarig för behandlingen av elevernas och vårdnadshavarnas personuppgifter. Det betyder att The Learning Lab i Stockholm AB har det yttersta ansvaret för den personuppgiftsbehandling som sker för eleverna och deras vårdnadshavare.

Dataskyddsombud

Dataskyddsombud har tillsynsansvaret för hanteringen av elevernas och vårdnadshavarnas personuppgifter. Dataskyddsombudet har också rapporteringsansvar till Datainspektionen vid personuppgiftsincidenter. Ombudet arbetar på uppdrag av styrelsen i The Learning Lab i Stockholm AB och återkopplar direkt till bolagsstyrelsen. Dataskyddsombud är Hanna Ståhl, hanna.stahl@skapaskolan.se.

Personuppgiftsbiträde

Den externa part som behandlar elevernas och/eller vårdnadshavarnas personuppgifter på uppdrag av The Learning Lab i Stockholm AB blir ett så kallat personuppgiftsbiträde. För denna part ska det finnas ett personuppgiftsbiträdesavtal upprättat. I det regleras vad den externa parten får göra med personuppgifterna.

När ett avtal tecknas med en extern part måste det tillsammans med dataskyddsombudet göras en bedömning av partens lämplighet att vara personuppgiftsbiträde. Den som slutligen tecknar tjänsteavtalet är ansvarig för att det också upprättas ett personuppgiftsbiträdesavtal. Dataskyddsombudet ansvarar för att hålla förteckningen över samtliga personuppgiftsbiträden aktuell och fortlöpande göra kontroller av deras lämplighet.

Tredjepartsappar

Med en tredjepartsapp avses en app (applikation) som laddas ner till en dator, surfplatta, Chromebook eller ett annat tekniskt hjälpmedel. Denna app kan hämta eller läsa information från en annan redan installerad app och i vissa fall från en annan mjukvara eller annat systeminnehåll. Vid användning av tredjepartsappar finns det en betydande säkerhetsrisk. Faran ligger i att man förlorar kontrollen och insynen i hur personuppgifter behandlas av en tredje part.

För att trygga elevernas personuppgifter vid användning av tredjepartsappar finns det på grundskolorna behörighetsbegränsningar för vilka appar som kan installeras. De appar som man kan välja mellan är granskade och godkända av den personuppgiftsansvariga. Endast godkända tredjepartsappar får användas som en del i undervisningen.

Medarbetare inom EHT-teamen får aldrig installera en tredjepartsapp som inte är godkänd – det finns en risk att en app installeras som läser materialet från till exempel EHT-medarbetarens Google drive.

Digitala lärtjänster

Med digitala lärtjänster avses de olika webbaserade tjänster som används i undervisningen eller för att mäta elevernas kunskapsutveckling. Ett exempel på en digital lärtjänst är Gleerups. För att trygga elevernas personuppgifter vid användning av dessa lärtjänster granskas och godkänns dessa av den personuppgiftsansvariga.

Personuppgiftsincident

En personuppgiftsincident är en händelse där vi oavsiktligt förlorat, ändrat eller delat med oss av personuppgifter till någon obehörig. Exempel på personuppgiftsincidenter är när:

  • ett mail med integritetskänsliga personuppgifter om en elev har skickats till fel person
  • ett misstänkt intrång skett i Vklass

När en personuppgiftsincident har inträffat ska närmaste chef omgående informeras och incidenten ska anmälas till dataskyddsombudet. Dataskyddsombudet ansvarar för dokumentation och eventuell rapportering till Datainspektionen (inom 72 timmar från att incidenten identifierats). Vid behov informeras vårdnadshavare och elever om vad som skett och vilka åtgärder som vidtagits.

Att tänka på som medarbetare

Du ska till dataskyddsombudet anmäla alla former av personuppgiftsincidenter som du får kännedom om.
Information till elev och/eller vårdnadshavare om en personuppgiftsincident ges av verksamhetschefen efter avstämning med dataskyddsombudet.

Hantering av personuppgifter

Hantering av personuppgifter utgörs av flera olika moment där varje moment juridiskt sett betraktas som en personuppgiftsbehandling. Hanteringen av personuppgifter kan ses som en process som börjar med insamling och avslutas med gallring.

1. Informera

När personuppgifter ska behandlas, exempelvis när vårdnadshavare placerar sitt barn i kö eller när en elev börjar på skolan, måste vårdnadshavarna informeras om hur deras och barnets personuppgifter kommer att behandlas. Informationen ska lämnas innan personuppgifterna samlas in. Av informationen ska det bland annat framgå vem som är personuppgiftsansvarig, vilka personuppgifter som samlas in, den rättsliga grunden för att få hantera personuppgifterna, vad personuppgifterna ska användas till och hur länge de sparas. På skapaskolan.se/dataskydd ges vårdnadshavarna och eleverna möjlighet till att ta del av denna information.

2. Samtycka och registrera

Inför att personuppgifter samlas in måste en bedömning göras om huruvida ett samtycke krävs.

I grundskolan krävs alltid båda vårdnadshavarnas samtycke:

  • för att få publicera en bild eller film på sociala medier, på webbsida eller i tryck där barnet går att identifiera.
  • om någon del av undervisningen sker på sociala medier där eleverna inte redan befinner sig. En förutsättning är att eleven och vårdnadshavaren uppfattar att det är frivilligt att samtycka.

Det är rektors ansvar att skolan har dokumenterade och korrekta samtycken för de situationer där bilder eller filmer används i skolans marknadsföring. Rektor ansvarar också för att inaktuella samtycken gallras bort.

Ett samtycke kan återkallas om vårdnadshavarna är överens om det. Återkallande medför inte att den behandling som redan gjorts (exempelvis bildpubliceringar) blir olagliga. Däremot får skolan inte fortsätta att använda personuppgifterna (exempelvis bilder) efter att samtycket återkallas.

3. Spara

Att spara personuppgifter är detsamma som att lagra dem. Det finns olika alternativ; de kan lagras exempelvis i ett IT-system, i en molntjänst, i e-post, på en filserver, i ett USB-minne eller analogt i en pärm. Platsen för var personuppgifterna sparas måste väljas med omsorg och med insikt om hur skyddsvärda personuppgifterna är. De får inte sparas längre tid än vad som behövs för ändamålet.

Hur ska okänsliga personuppgifter sparas?

Okänsliga personuppgifter är harmlösa ur ett integritetsperspektiv och kan därför sparas digitalt på samtliga de lagringsplatser som Skapaskolan tillhandahåller, till exempel i e-post, Google Drive och IT-system. Egna digitala system, utanför de uppräknade, är inte tillåtna.

Hur ska integritetskänsliga personuppgifter sparas?

Integritetskänsliga personuppgifter är exempelvis personnummer eller beskrivningar av studiesituationen, vilken kan innefatta såväl kunskapsutveckling som förutsättningar för den. Integritetskänsliga personuppgifter ska alltid hanteras med försiktighet och sparas i de system som är avsedda för syftet. Endast om hanteringen är säker kan sådan information exporteras ur systemet och sparas på annan plats.

Uppgifter om kunskapsutvecklingen och extra anpassningar ska sparas i Vklass.

Pedagogiska kartläggningar och utredningar kan sparas i Google Drive så länge dokumentet delas enbart med den som har rätt till det, alternativt lokalt på datorn i ett lösenordsskyddat dokument.

Uppgifter om elevens och familjens sociala situation sparas i Google Drive och dokumentet delas enbart med den som har rätt till det.

Kränkningsanmälningar sparas i Google Drive och dokumentet delas enbart med den som har rätt till det.

Tillbud/olycksfall sparas i Google Drive och dokumentet delas enbart med den som har rätt till det.

Hur ska känsliga personuppgifter sparas?

Känsliga personuppgifter är uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning samt genetiska eller biometriska uppgifter. Känsliga personuppgifter ska alltid hanteras med extra försiktighet och sparas i avsedda IT-system. De ska inte lyftas ut ur avsedda IT-system eller sparas på annan plats om inte hanteringen är säker.

Elevhälsans lagstadgade kompetenser (skolpsykolog, skolläkare, skolsköterska, kurator och specialpedagogisk kompetens) sparar sin dokumentation på papper som sparas i arkivskåp med strikt begränsad tillgång.

EHT-teamens dokumentation sparas i Google Team Drive där dokumentet endast delas med den som har rätt till det. Rektor är ansvarig för behörighetstilldelningen på Google Team Drive.

Personal i skolan kan behöva spara känsliga personuppgifter. Det kan exempelvis vara en lärare som behöver skriva egna minnesanteckningar för att alla elever utifrån sina behov ska få bästa förutsättningar. Denna typ av anteckningar kan sparas i Google Drive och dokumentet delas enbart med den som har rätt till det.

Uppgifter om allergi och specialkost kan sparas i Google Drive så länge dokumentet enbart delas med den som har rätt till det.

4. Dela

Med delning av personuppgifter avses att personuppgifter delas/sprids mellan individer. När person A delar personuppgifter med person B måste det göras med omsorg där det beaktas om det är okänsliga, integritetskänsliga eller känsliga personuppgifter som delas.

Hur ska okänsliga personuppgifter delas?

Okänsliga personuppgifter är harmlösa ur ett integritetsperspektiv och kan delas digitalt på de olika sätt som Skapaskolan har tillgång till.

Hur ska integritetskänsliga personuppgifter delas?

Integritetskänsliga personuppgifter är exempelvis personnummer eller beskrivningar av studiesituationen vilken kan innefatta såväl kunskapsutveckling som förutsättningar för den. Om integritetskänsliga personuppgifter behöver delas utanför avsedda IT-system (t ex Vklass) kan det göras på följande sätt:

  • Via Google Drive, där den som delar har kontroll över vem som får åtkomst och hur länge mottagaren ska ha åtkomst.
  • Med krypterad e-post om filen är lösenordsskyddad och lösenordet skickas på annat sätt.
  • Med ett krypterat och lösenordsskyddat USB-minne.
Hur ska känsliga personuppgifter delas?

Känsliga personuppgifter är uppgifter om ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning samt genetiska eller biometriska uppgifter. Om känsliga personuppgifter behöver delas utanför avsedda IT-system kan det göras på följande sätt:

  • Via Google Drive, där den som delar har kontroll över vem som får åtkomst och hur länge mottagaren ska ha åtkomst.
  • Med krypterad e-post om filen är lösenordsskyddad och lösenordet skickas på annat sätt.
  • Med ett krypterat och lösenordsskyddat USB-minne.
5. Arkivera/gallra

När ändamålet med personuppgifterna inte längre är aktuellt ska personuppgifterna gallras eller arkiveras. Huvudregeln är att personuppgifter om elever och vårdnadshavare ska gallras senast sex månader efter att eleven har slutat. Om särskilda skäl finns kan uppgifter sparas längre än sex månader. Ett exempel kan vara om det pågår en process, till exempel när en anmälan gjorts till Skolinspektionen, eller om en process kan förväntas. Varje rektor måste göra en bedömning av vilket material som behöver sparas under en längre tid och rektor ansvarar också för att uppgifter tas bort när de inte längre behövs.

6. Dataskydd i specifika IT-system
a) Vklass

Vklass är ett digitalt system för personal, elever och vårdnadshavare. Programmet är webbaserat och kan användas när som helst under dygnet med en dator, läsplatta eller mobiltelefon som har internetuppkoppling. På Skapaskolan är Vklass källsystem för personuppgifter och kontoskapande. Det integreras med bland annat G Suite.

Tillträde till systemet har den som behöver det i sin yrkesroll plus elever och vårdnadshavare. Tillträde till de olika delarna i systemet tilldelas utifrån behov och definieras som roller. Rektor har det övergripande ansvaret för hur systemet används på enheten. Det ska finnas tydliga roller som ger access till enbart de delar de anställda behöver i sin yrkesutövning.

Systemets huvudfunktioner är administration, pedagogik och kommunikation.

Följande delar finns att tillgå i programmet
  • register över elever, vårdnadshavare och personal, med ett antal
  • rapportfunktioner
  • närvarorapportering
  • kalenderfunktion
  • schemafunktion
  • dokumentation av elevens kunskapsutveckling
  • verktyg för uppföljning av elevernas kunskapsutveckling
  • analysverktyg för skolledning
  • verktyg för planering, bedömning och betygsättning
  • möjlighet att dela planering, prov, uppgifter och filer med elever
  • kommunikation mellan samtliga parter utifrån den behörighet man har i systemet.
Fritextfält

Fritextfälten får inte användas för att registrera andra uppgifter än vad fälten är till för. När fritextfunktioner används ska personal uttrycka sig professionellt, sakligt i relation till den aktuella frågan, rättvist och i övrigt i överensstämmelse med likabehandlingsplanen, god etik samt gällande lagar och förordningar. Integritetskänsliga eller känsliga uppgifter och kränkande uttalanden får inte förekomma.

Registrering av frånvaro

Vid registrering av frånvaro får uppgifter om sjukdom eller hur eleven mår inte registreras. Enbart anmäld och oanmäld frånvaro får anges.

b) Elevhälsan

Elevhälsans medicinska insats erbjuder hälsobesök, vaccinationer och öppen mottagning som dokumenteras i den medicinska journalen. Elevhälsans medicinska insats tillämpar bestämmelsen om skyldighet att föra medicinsk patientjournal enligt patientdatalagen. Det innefattar dokumentation av personuppgifter och uppgifter om upplevelse av skolsituation och inlärning, trivsel, kamratrelationer, hälsa, sjukdom, utveckling, inlärningssvårigheter, matvanor, fysisk aktivitet samt social situation och vaccinationsstatus.

Skolsköterskan använder ProRenata, vilket är ett elektroniskt dokumentationssystem som stödjer hanteringen av medicinska journaler. Mer information om ProRenata.

Elevhälsans psykologiska insats är enbart förebyggande och hanterar inga personuppgifter. Utredningar och individuella insatser sker via BUP.

Elevhälsans specialpedagogiska kompetens – som företrädesvis är en specialpedagog eller speciallärare – deltar generellt i elevhälsoarbetet, stödjer lärare och undanröjer hinder i lärmiljöerna. Specialpedagogisk kompetens använder elevakt i ett analogt system. Dokument som skapas digitalt delas enbart med de som ärendet berör.

I elevakten dokumenteras:

• utredning om elevs behov av särskilt stöd
• beslut om åtgärdsprogram
• utvärdering av åtgärdsprogram
• beslut att inte utarbeta åtgärdsprogram
• orosanmälan till socialtjänsten
• anmälan till rektor om upplevd kränkande behandling, omfattande frånvaro,
• särskilt stöd, olycksfall och annat
• utredning om upplevd kränkande behandling
• utredning om omfattande frånvaro
• handlingsplan vid kränkande behandling, omfattande frånvaro och socialt samspel
• anteckningar om observationer på klass- och individnivå
• skolpliktsanmälan till elevs hemkommun
• sammanfattade psykologutredningar (efter inhämtat samtycke från vårdnadshavare)

Åtkomst och behörighet

Elev och vårdnadshavare har inte åtkomst till dokumentationssystemet. Dokumentationssystemet tillämpar inte sammanhållen journalföring.

Behörighet att logga in i medicinsk journal har legitimerad sjuksköterska och legitimerad skolläkare. Tvåfaktorsautentisering tillämpas med SITHS-inloggning. Inloggningsuppgifterna är personliga och endast den som ”äger sitt inlogg” får använda det . Inloggningsuppgifterna får med andra ord inte lämnas ut till någon annan. Systematisk uppföljning sker av inloggningar, vilket innebär att den som öppnat en journal kan spåras. Eventuell åtkomst till en journal avgörs av vem användaren är, sekretessområdet, skolan och journaltypen, alltså i detta fall en medicinsk journal. En skolsköterskas eller en skolläkares åtkomst inaktiveras om personen i fråga slutar sin tjänstgöring. Då har skolsköterskan eller skolläkaren inte längre åtkomst till dokumentationssystemet.

Behörighet att logga in i psykologisk journal har enbart legitimerade psykologer som tillhör skolan, personal med systembehörighet och psykologisk verksamhetschef. Psykologisk verksamhetschef kontrollerar att inte otillbörlig användning sker.

Behörighet att logga in i kuratorsakt har kurator på skolan och systemansvariga.

Behörighet att logga in i elevakt har alla enligt skollagen lagstadgade kompetenser i elevhälsan: rektor som ledare av elevhälsan, specialpedagogisk kompetens (företrädesvis specialpedagog och speciallärare), skolsköterska, skolläkare, psykolog och kurator.

Elevhälsans medicinska insats erbjuder hälsobesök, vaccinationer och öppen mottagning som dokumenteras i den medicinska journalen. Elevhälsans medicinska insats tillämpar bestämmelsen om skyldighet att föra medicinsk patientjournal enligt patientdatalagen. Det innefattar dokumentation av personuppgifter och uppgifter om upplevelse av skolsituation och inlärning, trivsel, kamratrelationer, hälsa, sjukdom, utveckling, inlärningssvårigheter, matvanor, fysisk aktivitet samt social situation och vaccinationsstatus.

Elevhälsans psykologiska insats deltar generellt i elevhälsoarbetet och arbetar individuellt med elever på elevhälsans uppdrag. Individuella insatser genomförs och innefattar psykologutredningar (samtal, observationer, tester, frågeformulär) samt åtgärder utifrån de utredningar som genomförts. Elevhälsans psykologiska insats dokumenterar det utredande och åtgärdande arbetet i psykologisk patientjournal. Den psykologiska kompetensen tillämpar bestämmelsen om skyldighet att föra psykologisk patientjournal enligt patientdatalagen. Det innefattar dokumentation av personuppgifter och uppgifter som är relevanta i utredningar om upplevelse av skolsituation, inlärning, testresultat, kamratrelationer, psykisk hälsa, utveckling, inlärningssvårigheter, matvanor, fysisk aktivitet samt social situation och kontakter med andra vårdinstanser, liksom dokumentation av samtliga råd psykologen ger, överenskommelser med elev, pedagog, vårdnadshavare, insatser som psykologen utför och utvärdering av dessa insatser.

Elevhälsans specialpedagogiska kompetens – som företrädesvis är en specialpedagog eller speciallärare – deltar generellt i elevhälsoarbetet, stödjer lärare och undanröjer hinder i lärmiljöerna.