Alla på en skola har inte behörighet att ingå avtal med en molntjänstleverantör. Det ska endast skolan huvudman kunna göra. En lärare kan därför inte själv fatta egna beslut om vilka molntjänster som ska användas i undervisningen.
– Det blir allt vanligare att skolor använder sig av molntjänster eller står i begrepp att börja göra det. Men samtidigt är det viktigt att både elever och skolpersonal kan känna sig trygga med tjänsten och veta att deras personuppgifter inte kommer att användas av molntjänstleverantören för leverantörens egna syften och att uppgifterna verkligen raderas från molntjänstleverantörens servrar när de inte längre är nödvändiga att spara, säger Datainspektionens jurist Ingela Alversfors.
DI kräver riskanalys
Datainspektionen godkänner aldrig enskilda molntjänster eller avtal.
Huvudmannen måste alltid göra en självständig prövning om det går att hantera personuppgifter på ett lagligt sätt i den aktuella molntjänsten. Skolans huvudman har huvudansvar och ska genomföra en grundlig riskanalys för att bedöma om det är möjligt att anlita en molntjänstleverantör.
Datainspektionen vill skolledningen:
- Tar fram instruktioner till lärare och elever om vem som är behörig att teckna bindande avtal för huvudmannens räkning.
- Klarar ut vilka personuppgifter som får hanteras i en molntjänst, hur personuppgifter får hanteras i en molntjänst.
- Vad som får publicering när det gäller film och bilder på enskilda,
- Om en skolans molntjänst får användas för privat bruk av lärare och elever.