”Resultatet av ett mycket dåligt informationssäkerhetsarbete” "Resultatet av ett mycket dåligt informationssäkerhetsarbete.” Det säger Fia Ewald, expert på informationssäkerhet, om att uppgifter om lärare lagts ut öppet på nätet. Foto: Erik Nylander / TT

”Resultatet av ett mycket dåligt informationssäkerhetsarbete”

Arbetsvärlden avslöjade nyligen att lärares namn och scheman i många skolor som använder plattformen Skola 24 ligger oskyddade på nätet. ”Det här är resultatet av ett mycket dåligt informationssäkerhetsarbete”, säger Fia Ewald, expert på informationssäkerhet, som menar att arbetstagarintresset helt negligerats.
Helena Nordenberg
9 feb 2023 | 07:00
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0

Detaljerad information om lärares namn, scheman och klassrum går att få tag på genom en enkel sökning på nätet, något Arbetsvärlden rapporterat om

Detta trots att informationen ska ligga bakom en låst personlig inloggning. Det är lärare vid skolor som använder sig av skolplattformen Skola 24 som berörs. Enligt Skola 24 använder 90 procent av Sveriges skolor deras plattform.

Fackförbundet Sveriges lärare reagerade starkt på det som uppdagades och håller på att utreda frågan. Förbundet ska undersöka om hanteringen av lärarnas uppgifter är förenlig med dataskyddslagstiftningen.   

Scheman är allmänna handlingar som kan begäras ut enligt offentlighetsprincipen, men vid en sådan begäran görs också en sekretessprövning, bland annat vad gäller personuppgifterna i handlingarna.

I fallet med informationen om lärarnas namn – som är personuppgifter som skyddas av dataskyddsförordningen (GDPR) – kan vem som helst komma åt den utan att först begära ut uppgifterna.   

Reagerar med häpnad

Efter att ha tagit del av Arbetsvärldens uppgifter reagerar informationssäkerhetsexperten Fia Ewald med häpnad. 

– Det förvånar mig storligen att de här kommunerna har låtit det ske. Det handlar om en sådan basal säkerhetsfråga. Det är en grundprincip för säkerhet att man inte ska ha tillgång till mer info än nödvändigt. Personuppgifter ska inte spridas på det här sättet, det står tydligt i dataskyddsförordningen, säger hon.

Fia Ewald

Som anställd ska man känna sig trygg och kunna lita på att ens personuppgifter inte sprids, understryker Fia Ewald som arbetat som informationssäkerhetschef inom landstinget och Myndigheten för samhällsskydd och beredskap, MSB.

– Det här är resultatet av ett mycket dåligt informationssäkerhetsarbete, både av företaget Skola 24 och av kommunerna som köpt deras produkt. Jag är förvånad över att det inte bara handlar om någon mindre kommun i Norrlands inland utan även om stora kommuner i Stockholm, Malmö och Örebro. 

På Skola 24:s hemsida har ett inlägg publicerats med anledning av Arbetsvärldens artikel, där det betonas att ”ingen information har röjts till obehöriga”. 

Men i och med att informationen ligger öppen och tillgänglig på nätet så är den att betrakta som röjd och senare plockades också den formuleringen bort från hemsidan. 

Fia Ewald anser att både kommunerna och Skola 24 har ett ansvar för att skydda uppgifterna i fråga.

– Det är ett grundläggande fel att leverera en produkt som tillgängliggör information som inte ska tillgängliggöras. Skola 24 borde också ha upplyst kommunerna om att all denna information kan läggas ut helt okontrollerat, säger hon.  

Vidtar åtgärder

Skola 24:s vd Karin Ahlgren uppger att företaget i förra veckan vidtog åtgärder i form av riktade insatser gentemot kommunerna.

Personuppgifter ska skyddas

Både den som är ansvarig för personuppgifter, det vill säga kommunerna som anlitar Skola 24, och det så kallade personuppgiftsbiträdet, det vill säga Skola 24, har ett ansvar för hur personuppgifterna hanteras. Enligt de grundläggande principerna i dataskyddsförordningen, GDPR, ska personuppgifter skyddas så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs. Dessutom ska den personuppgiftsansvarige kunna visa att den lever upp till dataskyddsförordningen och på vilket sätt. Källa: Integritetsskyddsmyndigheten, IMY.

+ Expandera

– Vi har gått ut med ett nyhetsbrev till alla kommuner som är våra kunder. Nästa steg blir att informera de kommuner som namnger lärarna i sina schemavisare om hur de kan ställa in så att lärarnas namn och scheman inte blir publika, säger Karin Ahlgren. 

På frågan om Skola 24 har tagit ett tillräckligt stort ansvar svarar Karin Ahlgren:

– Vi ser med ödmjukhet på dessa frågor och ser nu över om vi kan göra ytterligare anpassningar för att förtydliga vad olika inställningar innebär.

Helena Nordenberg

/ Kontakta skribenten

9 feb 2023 | 07:00

Relaterad läsning

Kommentera
Kommentera
Hämtar fler artiklar
Få koll på de senaste nyheterna och åsikterna om arbetsmarknaden!
Nyhetsbrev