Det var den datorintresserade eleven Kim Crona som nyligen upptäckte hur lätt det var att hitta uppgifterna om lärarna och deras scheman.
– Jag tycker att det verkar farligt att vem som helst kan komma åt lärarnas uppgifter om hur de jobbar och i vilken kommun de arbetar, säger Kim Crona.
Skola 24 uppger själva på sin hemsida att man behöver ett personligt konto och en aktiveringskod för att logga in på skolorna och att varje vårdnadshavare måste ansöka direkt till skolan för att få kontot registrerat.
En enkel sökning visar lärarnas namn och plats
Men med en enkel sökning på Google kan man genom att använda sökord som ”skola 24” och ”schema” få tillgång till så kallade schemavisare för många skolor, alltifrån förskoleklasser till klasser på gymnasienivå.
I schemavisaren går det att söka på enskilda lärares namn, och få fram hur deras schema ser ut samt ofta också till och med i vilket klassrum de befinner sig.
– Det låter allvarligt. Och särskilt allvarligt är det om lärare med skyddad identitet eller som har en hotbild mot sig blir röjda, säger Karin Ernfors som är jurist vid fackförbundet Sveriges lärare.
Både lärare och elever har rätt att förvänta sig att skolorna analyserar risker och hanterar personuppgifter på ett säkert sätt, påpekar Karin Ernfors. För kommunala arbetsgivare gäller hårdare krav. Strider behandlingen mot dataskyddsförordningen kan de som drabbats av en integritetskränkning ha rätt till skadestånd. Men framför allt har de rätt till att situationen rättas till så snart som möjligt, understryker Karin Ernfors.
Det här verkligen inte okej ur ett säkerhetsperspektiv
Elisabet Mossberg, Sveriges lärare
Även Elisabet Mossberg som är arbetsmiljöexpert vid Sveriges lärare höjer ett varningens finger.
– Det här är verkligen inte okej ur ett säkerhetsperspektiv. När det gäller den digitala tekniken inom skolan finns en tendens att tänka mycket utifrån elevers och föräldrars perspektiv, att det ska vara säkert och lättillgängligt, men inte lika mycket på lärarna och annan personal som arbetar inom skolan, säger Elisabet Mossberg.
Enligt ett hundratal stickprov som Arbetsvärlden har gjort förekommer bristerna i kommuner över hela landet, från norr till söder.
Vid en slumpvis vald skola i södra delarna av Sverige går det till exempel att få information om en specifik lärare som har modersmålsundervisning i kurdiska, samt i vilka klassrum en annan lärare vid skolan bedriver undervisning om rasism och homofobi.
– Modersmålsundervisning sker ofta på kvällstid, vilket gör lärarna särskilt utsatta när skolan stängt för dagen och tömts på folk. I dagens polariserade samhälle är det extra viktigt med säkerheten i den digitala arbetsmiljön, säger Elisabet Mossberg.
Finns en aningslöshet kring digital säkerhet
Hon påminner om den rasistiska skolattacken i Trollhättan 2015 då gärningsmannen Anton Lundin Pettersson riktade in sig på personer med ”utländskt utseende” och där en lärare, en elev och en elevassistent mördades.
– Det finns fortfarande en aningslöshet när det gäller den digitala säkerheten. Mycket bygger på traditioner som lever kvar inom skolans värld, och om att vi vill värna vårt öppna samhälle. Men det får inte ske på bekostnad av en trygg och säker arbetsmiljö för skolans medarbetare, säger Elisabet Mossberg.
Fackförbunden som ger alla koll på kollektivavtalen – och de som är lite hemliga
Skola 24:s vice vd Andreas Åstrand uppger till en början att hans bild är att det inte alls är lätt att komma åt uppgifterna, men när Arbetsvärlden konfronterar honom med fakta slår han ifrån sig med ”inga kommentarer” och hänvisar till företagets produktchef, Tommy Mossberg, samt till dataskyddsombudet Jimmy Fransson.
– Olika kunder har olika behov kopplat till schemavisning och produkten erbjuder därför en riklig uppsättning med möjligheter till behörighetsstyrning. Kunden kan därmed själv styra tillgängligheten till schemainformation, säger Tommy Mossberg och tillägger att Skola 24 för en kontinuerlig dialog med kunderna.
Finns verktyg för att skydda informationen
Enligt Skola 24:s dataskyddsombud finns det befintliga lösningar om man vill införa begränsad åtkomst för att skydda information från obehöriga.
– Vår rekommendation är att åtkomst till ett schema bör ligga bakom en inloggning, men om önskemål finns att det ska vara mer öppet så kan vi tillgodose det. Hur och till vilken nivå ett schema ska skyddas går alltså att styra. Det är naturligtvis viktigt för oss att de kommuner som behöver stöd kontaktar oss så att vi kan hjälpa dem. Verktygen finns, säger Jimmy Fransson.
För våra 290 kommuner finns det all anledning att tänka igenom detta ordentligt
Mikael Svensson, SKR
Mikael Svensson som är programansvarig för skolans digitalisering vid Sveriges kommuner och regioner, SKR, påpekar att kommunerna redan från början bör dra upp tydliga riktlinjer.
– Redan innan man gör en upphandling av en skolplattform ska man vara klar över sin digitala strategi. Så för våra 290 kommuner som är medlemmar hos oss finns det all anledning att tänka igenom detta ordentligt inför nästa upphandlingsperiod och se om man behöver justera i avtalet. Jag tycker också att man ska vända sig direkt till leverantören för att diskutera igenom vad man kan göra för att hitta bättre lösningar när det gäller behörigheten.
Bristande säkerhet hos skolplattformar
Det är inte första gången det brister i säkerhet och integritetsfrågor när det gäller skolplattformar.
Och det är inte bara lärare och annan personal inom skolvärlden som har drabbats.
I oktober förra året fick till exempel 47 000 elever på kommunala skolor i Göteborgs stad sina personuppgifter läckta från lärplattformen Vklass.
Enligt grundskoleförvaltningen lades uppgifterna ut till försäljning på en extern hemsida. I Göteborgs stad finns cirka 140 skolor, och merparten av dessa drabbades.
Och den hårt kritiserade Skolplattformen i Stockholms stad har dragits med stora problem. En av de allvarligaste händelserna var då känslig information, om en mamma och hennes barn som lever med skyddad identitet, läckte till pappan som de levde skyddade från.
Källor: Grundskoleförvaltningen i Göteborg med flera
Han fortsätter:
– Sedan är detta en del av en mycket större problematik i och med att det i dag inte finns någon nationell digital lösning gällande ID-handling. Här borde staten kliva fram och ta ett större övergripande ansvar. Ungefär som de har gjort i Danmark och där det finns digitalt medborgar-ID på individnivå. Det skulle förbättra säkerheten och underlätta mycket, säger han.
Personuppgifter ska skyddas
På Integritetskyddsmyndigheten, IMY, kan man inte kommentera det enskilda fallet, men uppger att rent generellt har både den som är ansvarig för personuppgifterna, det vill säga kommunerna som anlitar Skola 24, och det så kallade personuppgiftsbiträdet, det vill säga Skola 24, ett ansvar för hur personuppgifterna hanteras.
”Enligt de grundläggande principerna i dataskyddsförordningen, GDPR, ska personuppgifter skyddas, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs. Dessutom ska den personuppgiftsansvarige kunna visa att den lever upp till dataskyddsförordningen och hur den gör det.”, skriver Per Lövgren som är pressansvarig på Integritetsskyddsmyndigheten i ett mejl till Arbetsvärlden.