2015-10-04
Lösenord räcker inte för integritetskänsliga elevuppgifter
– Det är uppgifter som rör elevernas personliga förhållanden, vilket gör uppgifterna extra integritetskänsliga och skyddsvärda. Därför måste skolan använda så kallad stark autentisering, som exempelvis inloggning med e-legitimation, för att elever och föräldrar ska kunna ta del av uppgifterna via internet. Vanliga lösenord är inte tillräckligt säkra, säger Ulrika Harnesk som lett Datainspektionens granskning.
Skolan har överklagat beslutet till förvaltningsrätten som dock avslår överklagandet. "Enligt förvaltningsrättens bedömning får den av Datainspektionen föreslagna säkerhetsnivån med stark autentisering för att kunna komma åt uppgifterna anses lämplig", skriver rätten i sin dom.
– Vårt krav på stark autentisering gäller då uppgifterna från it-systemet nås via internet. Det finns skolor där eleverna kan komma åt uppgifterna via skolans interna nätverk med lösenord, medan föräldrarna använder e-legitimation då de loggar in via internet, förklarar Ulrika Harnesk.
Datainspektionen har i tidigare granskningar av andra skolor riktat samma kritik mot användningen av lösenord.
– Förvaltningsrättens dom tydliggör vad som gäller och har bäring även på andra skolor som gör det möjligt för föräldrar och elever att via internet ta del av skriftliga omdömen och individuella utvecklingsplaner .
Datainspektionen har tagit fram en checklista med råd och rekommendationer för hur skolor bör hantera personuppgifter om sina elever. Checklistan kan hämtas kostnadsfritt på Datainspektionens webbplats.