Under 2008 genomförde Datainspektionen en stor undersökning av hur skolor hanterar personuppgifter om elever och föräldrar i sina IT-system. Myndigheten fann att samtliga inspekterade skolor hanterade elevernas personuppgifter på sätt som bryter mot personuppgiftslagen. Datainspektionen har i år följt upp fjolårets kartläggning genom att inspektera ytterligare fyra skolor.

- Årets undersökning visar på fortsatta brister hos skolorna, säger Patrik Sundström som lett inspektionsprojektet. Skolorna har dålig eller ingen koll på hur länge personuppgifter om eleverna sparas.
Ett återkommande problem är att skolorna saknar rutiner för när gamla personuppgifter ska tas bort, i stället lagras alla personuppgifterna "tills vidare". De skolor som anlitar ett externt företag för driften av sina IT-system har ännu sämre koll på hur elevernas och föräldrarnas personuppgifter hanteras.

- Skolorna måste ta fram rutiner och riktlinjer för bevarande och gallring så att inte uppgifter som inte längre behövs sparas för all framtid eller, ännu värre, ligger och skvalpar i något system som ingen har riktig koll på, säger Patrik Sundström.

I år har Tyresö skola, Enskede skola, Norra Real samt Thunmansskolan i Knivsta inspekterats. Samtliga fyra visade upp brister i gallringen av elevernas personuppgifter. Enskede skola och Norra Real har dock på flera andra punkter vidtagit åtgärder som ger ett bra integritetsskydd för eleverna. Bland annat får elever som loggar in med användarnamn och lösenord inte tillgång till integritetskänsliga personuppgifter. Det får bara de som loggar in med e-legitimation eller engångslösen.

I samband med fjolårets inspektioner tog Datainspektionen fram en checklista som sammanfattar några av de viktigaste punkterna som skolor måste tänka på när de behandlar personuppgifter. Checklistan kan hämtas kostnadsfritt via myndighetens webbplats.