j

skriven av joakim

}

04.27.2021

Öppna Skolplattformen och GDPR

För någon vecka sen läste jag en artikel i Ny Teknik där det visar sig att Öppna Skolplattformen nu blivit polisanmälda för dataintrång av utbildningsnämnden i Stockholms Stad.

För den som inte vet är ”Öppna Skolplattformen” en App som tagits fram av ett gäng föräldrar i Stockholm för att göra informationen som Stockholms stad publicerar i sin egenutvecklade plattform (som förvirrande nog kallas ”skolplattformen”) mer lättillgänglig på mobiler och surfplattor. Jag har varit i kontakt med utvecklarna av Öppna Skolplattformen och fått veta att Utbildningsförvaltningen haft invändningar mot appen ett tag, men att någon förklaring vad problemet med appen är inte kommit fram i dialogen.

Utbildningsnämnden har nu publicerat en utredning i vilken det framgår att det skulle finnas en del problem med GDPR och Öppna Skolplattformen. Eftersom jag har en blogg om GDPR, så tänkte jag att det kan vara värt att utreda frågan och se om det finns något fog i stadens påståenden.

Stadens inställning

Stadens, eller rättare sagt Utbildningsförvaltningens, inställning kan sammanfattas följande:

  1. Utbildningsnämnden och övriga nämnder inom Stockholms stad som förvaltar skolplattformen i Stockholms stad är personuppgiftsansvariga för behandlingen i skolplattformen.
  2. Som personuppgiftsansvarig är nämnderna ansvariga för säkerheten i behandlingen som görs i skolplattformen.
  3. Barn är särskilt skyddsvärda datasubjekt.
  4. Utbildningsnämnden är personuppgiftsbiträde gentemot övriga nämnder i staden.
  5. För överföring av Personuppgifter till tredje part krävs lagstöd.

Av dessa fem punkter punkt är det 1 och 5 som är relevanta: nämligen vem som är personuppgiftsansvarig och huruvida det skett en överföring eller ej.

Vem som är personuppgiftsansvarig

Det är etablerat att nämnderna är personuppgiftsansvariga för den information de lägger upp i skolplattformen, och att Utbildningsnämnden förvaltar den här informationen på uppdrag av övriga nämnder.

I ett uttalande från IMY som Utbildningsförvaltningen citerat i sin utredning framgår följande:

”Det är den personuppgiftsansvariga som har ansvaret att se till att personuppgiftsbehandlingen når upp till säkerhetskraven i dataskyddsförordningen. Således är det även den personuppgiftsansvariga som är skyldig att hantera eventuella personuppgiftsincidenter i den egna verksamheten.”

Slutsatsen som Utbildningsförvaltningen gör är därför att stadens nämnder är personuppgiftsansvariga för personuppgifter som behandlas i appen Öppna Skolplattformen.

Den här slutsatsen är fel av två anledningar.

Först och främst är en personuppgiftsansvarig aldrig ansvarig för personuppgifter, utan alltid för behandlingen av personuppgifter. Dessutom är Öppna Skolplattformen en app framtagen av ett företag. Eventuell personuppgiftsbehandling som görs av företaget måste företaget vara personuppgiftsansvariga för.

Fetsmocken A-Stål är ansvarig för grillandet, men inte för biffen.

I GDPR finns nämligen två alternativ. Antingen är en behandlare personuppgiftsansvarig, eller så agerar behandlaren på uppdrag av personuppgiftsansvarig och är biträde. Någon som behandlar uppgifter på eget bevåg kan aldrig vara något annat än personuppgiftsansvarig för de behandlingarna, och ingen annan kan hållas ansvarig för det en tredje part gör på eget initiativ.

Det betyder inte att stadens nämnder är helt ansvarsfria för publicering av personuppgifter i skolplattformen. Säkerhetsrisker som aktualiseras på grund av brister i utbildningsnämndens utförande är nämnderna självfallet ansvariga för, oavsett om dessa kan ses genom appen Öppna Skolplattformen eller i stadens egna gränssnitt.

Överföring till tredje part

En personuppgiftsöverföring till tredje part?

Öppna Skolplattformen är en app som vem som helst kan ladda ner till sin telefon. Enligt utvecklarna skickas ingen information mellan telefonen och företaget som utvecklat appen. Kort och gott är det ett program som fungerar ungefär som en webbläsare. Enligt utvecklarna själva sker med andra ord ingen som helst överföring till tredje part, förutom kanske överföring till de föräldrar som loggar in i appen och kollar sina barns scheman.

Dessa föräldrar tar därigenom del av allmänna handlingar och personuppgifter som de har fullständiga rättigheter att ta del av. Något problem med att en överföring till tredje part skulle ske kan jag därmed över huvud taget inte se.

Vad som faktiskt händer i Öppna Skolplattformen

Jag tar en av mina favorittecknare Joakim Lindengren till hjälp:

Är det Brita eller A-Stål som är personuppgiftsansvarig?

Fetsmocken A-Stål, eller Utbildningsnämnden, grillar korv från sin balkong, eller la ut skolscheman på nätet. Brita, eller föräldrarna, måste klättra upp i en gran för att kolla på när A-Stål äter, eller logga in med BankID på kommunens hemsida för att få se sina barns scheman.

Utbildningsnämnden verkar här ta fullt ansvar för både grillandet på balkongen och klättrandet i granen, trots att det inte är de som klättrar i granen. Om en förälder istället för att klättra i en gran väljer att använda en stege, eller Öppna Skolplattformen, för att kolla på när Utbildningsnämnden grillar korv från sin balkong. Borde inte det vara okej?

Jo, det är typiskt sett okej. Oavsett är det inte Utbildningsnämndens ansvar när någon klättrar upp i en gran eller stege för att ta del av deras korvfest. Utbildningsnämndens ansvar är enbart att se till att det är rätt personer som tar del av informationen på deras sida, vilket de gör via BankID.

Men eftersom BankID krävs även i Öppna Skolplattformen så är det bara behöriga personer som släpps upp för stegen, precis som de som får klättra upp i granen. Med andra ord: ingen skillnad, förutom vinkeln.

Sammanfattningsvis är det alltså både Brita och A-Stål som är personuppgiftsansvariga. Brita är personuppgiftsansvarig för behandlingen när hon stirrar på A-Stål, och A-Stål är personuppgiftsansvarig för grillandet och för sin exhibitionism. Men det är bara A-Ståls behandling som omfattas av GDPR, eftersom han delar med sig utanför sin personliga sfär. Om Brita klättrade upp för en stege istället hade situationen varit densamma. Den som säljer stegen har egentligen inget med saken att göra, även om stegen heter Öppna Skolplattformen.

Nu är jag visserligen inte brottsmålsadvokat, men om Utbildningsnämnden missförstått GDPR på en sån här grundläggande nivå har jag inte så höga förväntningar på deras polisanmälan.

PS: Det går att köpa en hel del av Joakim Lindengrens litteratur på Adlibris, men just albumet där bilderna ovan finns (Jag Joakim) verkar vara slutsålt. Joakim själv tycker att man ska köpa hans serier på Seriehörnan i Göteborg.

Relaterade blogginlägg

Incidentmall

Incident-tillbudsrapportLadda ner Incidentrapportering är något som finns i massa branscher, men av någon anledning tror folk att det ska gå till på ett särskilt sätt inom dataskydd. Så är det inte....

läs mer

Mall för Konsekvensbedömning

Konsekvensbedomning-mallLadda ner När jag satt och letade efter mallar för konsekvensbedömningar insåg jag att det inte fanns några bra. De flesta är antingen någon form av checkboxövning (vilket...

läs mer
IMY lyssnar inte första gången

IMY lyssnar inte första gången

Inledning Kommer ni ihåg när ni såg Star Wars för första gången? Alltså a New Hope. När Darth Vader kommer in fattar man: "han den där ska man inte leka med, det kan stå en dyrt". Det här...

läs mer