Incidentrapportering i Stockholm stad: dos and don’ts (mest don’ts)

Det borde inte vara någon hemlighet vid det här laget att jag varit kritisk till hur Stockholms utbildningsförvaltning förvirrat verklighet och fantasi i sin hantering av Öppna Skolplattformen. Sen mitt förra inlägg har jag gjort lite mer research i ärendet och sett att Utbildningsnämnden och stadsdelsnämnderna i staden alla anmält varsin personuppgiftsincident kopplad till Öppna Skolplattformen. Därmed har vi ett ypperligt tillfälle att analysera stadens incidentrapportering och möjligen lära oss något om hur incidenthantering ska gå till och hur detta skiljer sig från Stockholms stads process.

Vad säger lagen?

Ja, eller först kan vi börja med definitionen av en personuppgiftsincident. Från GDPR artikel 4 ”Personuppgiftsincident”:
”en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats

Med andra ord: om personuppgifter man har förstörs, tappas, ändras, sprids eller koms åt av någon som inte ska se dem, då arbetar man med en incident. Ett typiskt exempel är när e-posten blir hackad, då kommer en tredje part åt ens inkorg; klassisk obehörig åtkomst med andra ord.

Om en personuppgiftsansvarig upptäcker en incident ska den här incidenten rapporteras till tillsynsmyndigheten (IMY) inom 72 timmar från upptäckten, förutom om incidenten är av det mildare slaget och troligen inte innebär att enskildas rättigheter och friheter riskeras. Huvudregeln är dock att incidenter ska rapporteras inom tidsfristen.

Vem som gör incidentrapporteringen är egentligen ointressant, men typiskt sett brukar det landa på organisationens dataskyddsombud (om det finns ett). Dataskyddsombudet är ju nämligen inte bara ansvarig för att granska och rapportera om regelefterlevnaden av GDPR i organisationen, utan även för att vara kontaktpunkt med IMY. Att dataskyddsombudet gör incidentrapporteringar leder förhoppningsvis även till att rätt saker rapporteras eftersom dataskyddsombudet inte får ta emot instruktion vid genomförandet av sina arbetsuppgifter.

Vad har hänt?

För att visa vad som har hänt har jag några dokument som jag skulle vilja dela med er. Ni behöver inte läsa dem, det kommer gå att följa mitt resonemang ändå:

Samtliga dokument ovan är offentliga handlingar. I princip inga konstigheter där. Genom dokumenten kan vi läsa att utbildningsdirektören i Stockholm stads utbildningsförvaltning den 31 mars 2021 fattade ett beslut att anmäla en personuppgiftsincident till IMY. Personuppgiftsincidenten beskrivs i handlingarna på följande sätt:

”[No Free Beer HB har] med uppsåt skapat en app som speglar innehållet i skolplattformen på ett sätt som inte är av staden godkänt.”

Dagen efter har utbildningsnämndens dataskyddsombud anmält ärendet till IMY. I anmälan hittar vi utbildningsdirektörens exakta beskrivning av händelseförloppet och beskrivningen av incidenten. Det framgår även att incidenten upptäcktes den 16 februari 2021, samt att utbildningsförvaltningen inte avser vidta några åtgärder för att förhindra att incidenten fortsätter:

”Utbildningsnämnden har beslutat att fortsätta låta startsidan för vårdnadshavare inom skolplattformen vara öppen inom den närmaste tiden, trots att nämnden inte har möjlighet att stoppa överföring av personuppgifter till den aktuella tredjepartsapplikationen i nuläget.”

Stadsdelsnämnderna verkar ha fattat beslut om att anmäla incidenten den 8 april efter information från utbildningsnämnden den 7 april. En vecka efter att de själva fattade beslut att anmäla incidenten valde alltså utbildningsnämnden att kontakta sina huvudmän i ärendet. Utbildningsnämnden agerar enligt sig själva nämligen som personuppgiftsbiträde avseende behandlingar som stadsdelsnämnderna genomför i skolplattformen.

Vissa förvaltningar verkar även ha lyft ärendet till sin stadsdelsnämnds politiska organ, och fått beslutat om att slutligen godkänna ärendet på politisk nivå.

Finn fem fel!

Kommer ni ihåg definitionen av en personuppgiftsincident? Om inte så kommer den här:

”en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats

Och här är stadens beskrivning av incidenten:

”[No Free Beer HB har] med uppsåt skapat en app som speglar innehållet i skolplattformen på ett sätt som inte är av staden godkänt.”

Då är frågan: vad menar staden har hänt när No Free Beer speglar innehållet? Enligt staden rör det sig om ett obehörigt röjande av personuppgifter i skolplattformen. Att No Free Beer agerat utan att få ett godkännande av staden ifrågasätter jag inte, och mig veterligen ingen annan heller. Men har några uppgifter blivit röjda?

För att uppgifterna ska anses röjda genom att No Free Beer speglar innehållet i skolplattformen behöver denna spegling innebära att personer som inte redan hade tillgång till uppgifterna får tillgång till uppgifterna. För att en uppgift ska anses röjd i lagens mening måste nämligen uppgiften först ha varit okänd och otillgänglig. Som jag förstår Öppna Skolplattformen så möjliggör den åtkomst till information för personer som redan har tillgång till sagd information, men paketeringen är annorlunda. Alltså rör det sig inte om ett röjande av information.

Kontentan är att ovan över huvud taget inte utgör en personuppgiftsincident. Därmed kan faktiskt flera av utbildningsnämndens brister i efterlevnaden av regelverket kanske ursäktas. Tre exempel på uppenbara regelbrott är:

  1. att de väntat i månader på att anmäla händelsen,
  2. att de informerat sina kunder (alltså stadsdelsnämnderna) först en vecka efter att själva ha upprättat incidentrapporten, och
  3. att de väljer att inte vidta någon åtgärd för att förhindra att incidenten ska fortsätta.

Alla dessa åtgärder är trots allt bara krav om en incident faktiskt inträffat.

Men om en incident hade inträffat och utbildningsförvaltningen hade agerat på det här sättet, då skulle troligen utbildningsförvaltningens högst bristfälliga agerade efter att incidenten upptäcktes ligga dem tyngre i fatet än det faktum att en incident inträffat.

Indikationer på missförhållanden

Dessa brister vid incidenthanteringen tyder på att det finns allvarliga fel i GDPR-efterlevnaden i Stockholms stad, särskilt hos utbildningsförvaltningen. Att utbildningsdirektören fattat beslutet om att anmäla den här icke-incidenten, ett beslut som sedan verkställdes av utbildningsnämndens dataskyddsombud, är kanske den starkaste indikationen på att något ruttet är begravet.

Dataskyddsombudet i organisationen verkar ju nämligen springa utbildningsdirektörens ärenden. Detta trots att varken utbildningsdirektören eller någon annan i organisationen får ge dataskyddsombudet instruktioner vid utförandet av den senares uppdrag. Om chefen nu instruerat dataskyddsombudet att anmäla en viss sak, kan man undra om inte chefen också ibland instruerar dataskyddsombudet att inte anmäla vissa saker och inte granska andra. Eller har jag fel?

Dataskyddsombudets roll är ju att vara en slags internrevisor av dataskydd och dataskyddsarbetet hos sin uppdragsgivare. I dataskyddsombudets uppdrag ingår bland annat att rapportera till den högsta förvaltningsnivån hos uppdragsgivaren. I en kommunal myndighet är det typiskt sett den politiska nämnden som är högsta nivån. Konstigt nog verkar den enda rapport jag hittat som liknar en rapport från dataskyddsombudet vara från 2013. Sedan GDPR trädde i kraft för tre år sen har jag inte kunnat hitta något dokument upprättat av dataskyddsombudet presenterat för nämnden.

Det utbildningsförvaltningen verkar ha glömt är att dataskydd är en fråga om mänskliga rättigheter, och därmed även en demokratifråga. Enligt lagen måste dessa frågor lyftas till den absolut högsta ledningen hos den personuppgiftsansvarige, vilket av en händelse i en kommun även råkar bestå av demokratiskt valda representanter. GDPR är alltså utformad på så vis att det demokratiska beslutsfattande organet i kommuner även ska få full insyn i just demokratifrågor. Senaste gången det verkar ha hänt i utbildningsnämnden var för åtta år sen. Idag ser det ut som att skoldirektören egenmäktigt beslutar i dataskyddsfrågor, samt direkt lägger sig i GDPR-revisorns arbete; ett arbetssätt som i praktiken kringgår hela den demokratiska processen.

Inte optimalt.

Vad vi lärt oss

Det vi kan ta med oss från det här ärendet är följande:

  1. Kolla på definitionen av en personuppgiftsincident innan ni anmäler ärendet till IMY.
  2. Anmäl incidenten inom 72 timmar från att ni upptäckte ärendet.
  3. Informera alla era kunder som drabbats av incidenten så att de också kan hålla sig till 72-timmars regeln.
  4. Om er organisation har ett dataskyddsombud, låt dem avgöra om incidenten ska anmälas (ni kan alltid rapportera incidenten själva oavsett dataskyddsombudets bedömning).
  5. Om ni upptäcker en incident, se till att vidta åtgärder för att begränsa skadorna av incidenten.
  6. Och slutligen: kom ihåg att dataskydd handlar om mänskliga rättigheter och demokrati!

Det var allt från mig för den här gången.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *