SAMMANTRÄDESPROTOKOLL
Barn och skolnämndens arbetsutskott
SAMMANTRÄDESPROTOKOLL
2024-02-05
§8 Dnr BSN 2024-15
Utredning avseende e-tjänst som ersätter blanketter för vårdnadshavare Beslut
Barn- och skolnämndens arbetsutskott föreslår:
1. Barn- och skolnämnden tar del av utredningen gällande utvecklandet av en e-tjänst som ersätter blanketter med barn- och elevuppgifter samt samtycken från vårdnadshavare och beslutar att uppdraget ska anses som slutfört.
2. Barn- och skolnämnden uppdrar till barn- och utbildningsförvaltningen att till läsårsstart augusti 2024 utveckla en e-tjänst för insamling och behandling av barn- och elevuppgifter samt samtycken, som ej klassas som känsliga personuppgifter enligt dataskyddsförordningen, från vårdnadshavare i enlighet med dataskyddsförordningen.
3. Barn- och skolnämnden uppdrar till barn- och utbildningsförvaltningen att under 2024 utreda möjligheterna att utveckla en e-tjänst för insamling och behandling av barn- och elevuppgifter, som enligt dataskyddsförordningen klassas som känsliga personuppgifter, i enlighet med dataskyddsförordningen.
Barn- och skolnämnden har i sin Verksamhetsplan 2023-2025 givit barn- och utbildningskontoret i uppdrag att utreda möjligheterna att ersätta blanketter med barn- och elevuppgifter samt samtycken från vårdnadshavare till för- och grundskoleenheterna
Tjänsteutlåtande Utredning avseende e-tjänst som ersätter blanketter Bilaga Utredning - Ersätta blanketter med e-tjänst
Ordföranden frågar om barn- och skolnämndens arbetsutskott kan besluta i enlighet med barn- och utbildningskontorets tjänsteutlåtandes förslag, och finner att barn- och skolnämndens arbetsutskott beslutar i enlighet med förslaget.
Förvaltningsdirektör Avdelningschef för förskolan
Avdelningschef för grundskolan och anpassad grundskola
Avdelningen för verksamhetsstöd
Barn- och utbildningsförvaltningen
Handläggare: Xxxxxx Xxxxxxxxxx Titel: Avdelningschef
E-post: xxxxxx.xxxxxxxxxx@xxxxxxxxx.xx
TJÄNSTEUTLÅTANDE
Datum: 2024-01-22
Diarienummer: BSN 2024-15
Till: Barn- och skolnämndens arbetsutskott
Utredning avseende e-tjänst som ersätter blanketter
1. Barn- och skolnämnden tar del av utredningen gällande utvecklandet av en e-tjänst som ersätter blanketter med barn- och elevuppgifter samt samtycken från vårdnadshavare och beslutar att uppdraget ska anses som slutfört.
2. Barn- och skolnämnden uppdrar till barn- och utbildningsförvaltningen att till läsårsstart augusti 2024 utveckla en e-tjänst för insamling och behandling av barn- och elevuppgifter samt samtycken, som ej klassas som känsliga personuppgifter enligt dataskyddsförordningen, från vårdnadshavare i enlighet med dataskyddsförordningen.
3. Barn- och skolnämnden uppdrar till barn- och utbildningsförvaltningen att under 2024 utreda möjligheterna att utveckla en e-tjänst för insamling och behandling av barn- och elevuppgifter, som enligt dataskyddsförordningen klassas som känsliga personuppgifter, i enlighet med dataskyddsförordningen.
Sammanfattning av tjänsteutlåtandet
Barn- och skolnämnden har i sin Verksamhetsplan 2023-2025 givit barn- och utbildningskontoret i uppdrag att utreda möjligheterna att ersätta blanketter med barn- och elevuppgifter samt samtycken från vårdnadshavare till för- och grundskoleenheterna.
Barn- och skolnämnden har i sin Verksamhetsplan 2023-20251 givit barn- och utbildningskontoret i uppdrag att utreda möjligheterna att utveckla en e-tjänst som ersätter blanketter för insamling av barn- och elevuppgifter samt samtycken från vårdnadshavare till för- och grundskoleenheterna.
Att utveckla en e-tjänst för insamling av barn- och elevuppgifter och samtycken är tekniskt möjligt. Flertalet av de uppgifter som vårdnadshavare lämnar till för- och grundskolorna finns idag i befintliga system som verksamheterna har tillgång till och dessa uppgifter och samtycken behöver egentligen inte samlas in via en e-tjänst eller blankett.
Dataskyddsförordningen skiljer på personuppgifter och känsliga personuppgifter, vilka värderas olika och kräver olika säkerhetsnivåer av avseende lösningar när det gäller inloggningar, behörigheter, behandling och lagring.
1 Verksamhetsplan för Barn- och skolnämnden 2023-2025, s 17
En e-tjänst för insamling av barn- och elevuppgifter som inte är av känslig art bedöms kunna utvecklas under vårterminen 2024 för att vara i bruk till höstterminen 2024.
En e-tjänst för insamling av känsliga personuppgifter behöver utredas ytterligare för att säkerställa lämpliga tekniska lösningar för behörigheter, behandling och lagring i enlighet med dataskyddsförordningen. En sådan utredning skulle kunna genomföras under höstterminen 2024 under förutsättning att utvecklandet av en e-tjänst för icke-känsliga personuppgifter kan genomföras under vårterminen 2024.
Dataskyddsförordningen (GDPR) EU 2016/679 SFS 2018:218
Xxxxxxxx till gällande styrdokument
Verksamhetsplan 2023 målområde 2
Ekonomiska konsekvenser och riskanalys
Ej tillämplig
Förvaltningens analys och slutsatser
Det finns ingen tydlighet eller enhetlighet när det gäller de barn- och elevuppgifter som samlas in av förskole- och grundskoleenheterna och detsamma gäller för de blanketter som används för ändamålet. Det råder även otydlighet för vem på förskole och grundskoleenheten som är ansvarig att behandla insamlade barn- och elevuppgifter och samtycken som vårdnadshavare lämnar till skolan.
Flertalet av de uppgifter som samlas in från vårdnadshavare finns idag i befintliga system som för- och grundskolorna har tillgång till, det gäller bl a kontaktuppgifter till vårdnadshavare och elever. Det innebär att det inte behövs någon blankett eller e-tjänst för att ta in exempelvis kontaktuppgifter till vårdnadshavare och elever. Vårdnadshavarnas, elevernas och barnens folkbokföringsadresser i Edlevo (barn- och elevregistret) uppdateras exempelvis via Skatteverket.
Då det saknas centrala process- och rutinbeskrivningar för insamling, distribution och lagring av de här uppgifterna och samtyckena är det svårt för uppgiftsansvariga och kommunen som huvudman att kontrollera och följa upp att det sker i enlighet med dataskyddsförordningen.
Utvecklandet av en e-tjänst behöver föregås av noggrann utredning av lämpliga tekniska lösningar som uppfyller dataskyddsförordningens krav på digital säkerhetsnivå för att skydda uppgifter och samtycken från otillåten spridning vid lagring och distribuering av de insamlade uppgifterna utifrån deras känslighet. Det innebär att det måste fastställas lämpliga digitala säkerhetslösningar, regelverk och rutiner för behörigheter att hantera insamlade uppgifter, digitala inloggningsmetoder för uppgifts- lämnare och uppgiftshanterare samt distribution och lagring av de insamlade uppgifterna. När det gäller insamling, behandling och lagring av känsliga personuppgifter via e-tjänst krävs en mer genom- gående utredning av den digitala säkerhetsnivån och digitala säkerhetslösningar som förhindrar otillåten spridning till obehöriga genom dataintrång eller att känsliga personuppgifter distribueras till obehörig/felaktig mottagare utifrån dataskyddsförordningen.
Att tekniskt skapa en e-tjänst för att samla in barn- och elevuppgifter och samtycken som sedan distribueras och lagras på för- och grundskoleenheterna finns det ingenting som hindrar. Utmaningen utgörs av andra faktorer som behöver utredas vidare för att kunna säkerställa att mottagande, distribuering och lagring av de insamlade uppgifterna och samtyckena sker i enlighet med dataskydds- förordningen (GDPR) och i enlighet med gällande hanteringsanvisningar för arkivering och gallring.
En del av de uppgifter som samlas in är, enligt dataskyddsförordningen, så kallade känsliga personuppgifter som till exempel modersmål (etniskt ursprung), alternativ kost (religiös eller filosofisk övertygelse), allergier, sjukdomar och specialkost (hälsa). Då känsliga personuppgifter kräver en högre nivå av säkerhet avseende inloggningar, behörigheter, distribution och lagring kräver insamling av dessa uppgifter ytterligare utredning för att kunna samlas in via en e-tjänst och bedöms därför inte
kunna ingå i framtagandet av en e-tjänst för barn- och elevuppgifter och samtycken som inte klassas som känsliga.
En gemensam e-tjänst för det här ändamålet för förskole- respektive grundskoleverksamheten skulle öka likvärdigheten och tydligheten mellan enheterna inom respektive verksamhet och underlätta möjligheten att följa upp och kontrollera att insamling, behandling, distribution och lagring av barn- och elevuppgifterna samt samtycken sker i enlighet med dataskyddsförordningen och gällande hanterings- anvisningar för gallring och arkivering. Det får även antagas att det underlättar för vårdnadshavare att lämna de barn- och elevuppgifter samt samtycken som för- och grundskoleenheterna efterfrågar via en e-tjänst istället för flera olika blanketter per barn/elev.
Ärendet behandlas i barn- och skolnämndens arbetsutskott den 5 februari 2024 och i barn- och skolnämnden den 19 februari 2024.
Xxxxx Xxxxxxxxx Xxxxxx Xxxxxxxxxx
Förvaltningsdirektör Avdelningschef Avdelningen för verksamhetsstöd Barn- och utbildningsförvaltningen Barn- och utbildningsförvaltningen
Bilaga 1 – Utredningsrapport ”Utveckla e-tjänster som ersätter blanketter i för- och grundskolan.
Förvaltningsdirektör Avdelningschef för förskolan
Avdelningschef för grundskolan och anpassad grundskola Avdelningen för verksamhetsstöd
2023-01-18
Utredningsrapport
Utveckla e-tjänster som ersätter blanketter i för- och grundskolan
Ansvarig utredare: Xxxxxx Xxxxxxxxxx
Innehåll
3.2 Utredningens frågeställningar 2
3.3 Besvarande av utredningens frågeställningar 3
3.3.1 Uppgifter som vårdnadshavare idag lämnar till förskole-, grundskole- och fritidsverksamheten 3
3.3.2 Uppgifter som för- och grundskolorna har tillgång till idag i befintliga system .3
3.3.3 Syfte och rättslig grund enligt dataskyddförordningen avseende insamling, behandling och lagring av barn- och elevuppgifter samt samtycken 4
3.3.4 Mottagare samt distribuering och lagring av elevuppgifter och samtycken 4
3.3.7 Informationens giltighetstid 5
3.3.8 Förvaltning och ägandeskap av blanketter och e-tjänst 5
3.3.9 Hantering och insamling av information från vårdnadshavare som inte kan använda e-tjänster 6
Sammanfattning
Att utveckla en e-tjänst för insamling av barn- och elevuppgifter och samtycken är tekniskt möjligt. Flertalet av de uppgifter som vårdnadshavare lämnar till för- och grundskolorna finns idag i befintliga system som verksamheterna har tillgång till och dessa uppgifter och samtycken behöver egentligen inte samlas in via en e-tjänst eller blankett.
Dataskyddsförordningen skiljer på personuppgifter och känsliga personuppgifter, vilka värderas olika och kräver olika säkerhetsnivåer av avseende lösningar när det gäller inloggningar, behörigheter, behandling och lagring.
En e-tjänst för insamling av barn- och elevuppgifter som inte är av känslig art bedöms kunna utvecklas under vårterminen 2024 för att vara i bruk till höstterminen 2024.
En e-tjänst för insamling av känsliga personuppgifter behöver utredas ytterligare för att säkerställa lämpliga tekniska lösningar för behörigheter, behandling och lagring i enlighet med dataskyddsförordningen. En sådan utredning skulle kunna genomföras under höstterminen 2024 under förutsättning att utvecklandet av en e-tjänst för icke-känsliga personuppgifter kan genomföras under vårterminen 2024.
1. Inledning
Utifrån inriktningsmål 2.2 Ta vara på digitaliseringens möjligheter i kontakten med invånare och företag i barn- och skolnämndens verksamhetsplan för 2023 har barn- och utbildningskontoret givits i uppdrag att utreda förutsättningarna för att skapa en e-tjänst för vårdnadshavare.
2. Metod
Utredningsarbetet har utgått från de blanketter som för- och grundskolorna idag tar in från vårdnadshavare, i början av ett läsår och när nya barn och elever tas emot på enheten, för att avgöra vilken information verksamheten efterfrågar av vårdnadshavare. Utifrån detta har kommunens e-tjänstutvecklare konsulterats för att kunna avgöra om det är tekniskt möjligt att utveckla e-tjänster som ersätter för- och grundskolornas blanketter.
Utredningen har även gått igenom den rättsliga regleringen enligt dataskydds- förordningen (GDPR) för insamling, lagring och distribuering av personuppgifter samt jämfört de uppgifter som efterfrågas av för- och grundskolorna med de upp- gifter som verksamheterna har tillgång till, i t.ex. lärplattformen Unikum, elev- registret Edlevo och närvarohanteringssystemen Skola24 och Tempus (förskola och fritids).
3. Utredningens innehåll
3.1 Bakgrund och syfte
Barn- och skolnämnden har gett barn- och utbildningskontoret i uppdrag att utreda möjligheten att ersätta de pappersblanketter som vårdnadshavare idag anmodas att fylla i när ett barn börjar i förskolan, förskoleklass eller grundskolan med e- tjänst.
Syftet med uppdraget är att underlätta kommuniceringen och hanteringen av elevuppgifter från vårdnadshavare till för- och/eller grundskolan.
Syftet med utredningen är att ge barn- och skolnämnden underlag att besluta om e- tjänster som ersätter pappersblanketter ska utvecklas eller ej.
3.2 Utredningens frågeställningar
• Vilka uppgifter efterfrågar för- och grundskolorna från vårdnadshavare?
• Vilka uppgifter har för- och grundskolorna tillgång till i befintliga system?
• Vad är syftet och rättslig grund för insamling av barn- och elevuppgifter och samtycken i förhållande till dataskyddsförordningen (GDPR)?
• Hur ska insamling, distribution och lagring av barn- och elevuppgifter samt samtycken ske för att vara i enlighet med dataskyddsförordningen (GDPR)?
• Hur regleras de aktuella uppgifterna i kommunens hanteringsanvisningar för arkivering och gallring?
3.3 Besvarande av utredningens frågeställningar
3.3.1 Uppgifter som vårdnadshavare idag lämnar till förskole-, grundskole- och fritidsverksamheten
Nedan följer en sammanställning över de uppgifter som förskolorna, grundskolorna och fritids efterfrågar från vårdnadshavarna. Alla enheter efterfrågar dock inte samma uppgifter men gemensamt är att kontaktuppgifter till vårdnadshavare, elever och nära anhörig efterfrågas och samlas in.
Grundskolan
- Kontaktuppgifter vårdnadshavare och elev
- Kontaktuppgifter till nära anhörig.
- Övriga barn i familjen (namn och födelseår)
- Uppgifter om eventuell överkänslighet/allergi samt eventuella allergiska reaktioner och mediciner.
- Uppgifter om eventuell specialkost eller alternativkost
- Uppgifter om annat modersmål än svenska.
- Samtycke att namn och/eller bild på elev publiceras i skolkatalog, i verksamheten, i informationsmaterial, på Unikum/Tempus, på webben, i medier och sociala medier.
- Samtycke till att elevs och vårdnadshavares kontaktuppgifter får lämnas ut till andra vårdnadshavare.
- Elevs simkunnighet
- Samtycke att åka med i personals fordon vid t.ex. utflykter och resor.
- Avtal för utlåning av elevskåp
Fritidshemmet
- Kontaktuppgifter vårdnadshavare och elev
- Kontaktuppgifter till nära anhörig
- Namn på andra personer som får hämta på fritids
- Om elev får gå hem själv
- Lovtider
- Eventuella allergier
Förskolan
- Kontaktuppgifter vårdnadshavare och barn.
- Uppgifter om nära anhörig som kan kontaktas vid behov.
- Uppgifter om eventuella matallergier.
- Samtycke att verksamheten samlar in ovanstående uppgifter.
- Samtycke att till fotografering, filmning eller ljudupptagning av barnet på förskolan att användas för internt bruk.
3.3.2 Uppgifter som för- och grundskolorna har tillgång till idag i befintliga system
Kontaktuppgifter samt adressuppgifter till vårdnadshavare och barn/elever finns i flera av de centrala system, se nedan, som används för- och grundskole- verksamheterna.
Xxxxxx (elevregister)
Unikum (lärplattform)
Skola 24 (närvaro grundskola)
Tempus (närvaro förskola och fritidshem)
Samtycke till att elevs och vårdnadshavares kontaktuppgifter får lämnas ut till andra vårdnadshavare kan ske via Unikum genom att en särskild ruta för detta kryssas i av vårdnadshavare.
Elevuppgifter som endast är relevanta för verksamheten när en elev kommer ny till en skola från en annan huvudman bör kunna inhämtas vid ett inskrivningssamtal istället för en blankett eller e-tjänst.
För fritidshemmet och förskolan kan kontaktuppgifter till nära anhörig, namn på andra personer som får hämta barnet/eleven, om en elev får hem själv (fritids) och lovtider registreras i Tempus.
3.3.3 Syfte och rättslig grund enligt dataskyddförordningen avseende insamling, behandling och lagring av barn- och elevuppgifter samt samtycken
Det ska tydligt framgå i vilket syfte aktuella barn- och elevuppgifter samt om samtycken samlas in, hur de kommer att behandlas och lagras. När det gäller samtycken så ska det finnas en möjlighet och funktion för uppgiftslämnaren att ta tillbaka sitt samtycke. Insamlade uppgifter och samtycken får inte behandlas på annat sätt än det dokumenterade ändamålet.
Insamling, behandling och lagring av känsliga personuppgifter är i grunden för- bjudet enligt dataskyddsförordningen. Dock finns det några undantag som tillåter detta, bl a ett dokumenterat och tydligt samtycke från uppgiftslämnaren eller att uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt.
Med känsliga personuppgifter, som är aktuella med hänseende till de uppgifter som har samlats in av för- och grundskoleverksamheten, avses bl a:
• etniskt ursprung (uppgifter om modersmål)
• religiös eller filosofisk övertygelse (uppgifter om alternativ kost)
• hälsa (allergier, mediciner m m)
Vissa uppgifter, som t.ex. elevs simkunnighet och modersmål, är endast relevant och av intresse att ta in när en elev kommer ny till en skola från annan huvudman.
Uppgiftsinsamlingen ska minimeras, det vill säga att de ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas.
3.3.4 Mottagare samt distribuering och lagring av elevuppgifter och samtycken
Det finns inga gemensamma dokumenterade rutiner för insamling av elevuppgifter och samtycken eller distribution och lagring av informationen inom enheten eller gemensamt inom för- och grundskoleverksamheterna. Vanligast är att blanketter skickas med barnen/eleverna hem och sedan samlas in av antingen ansvarig pedagog/mentor eller förskolans/skolans administratör genom att vårdnadshavarna eller eleverna lämnar in dem till förskolan/skolan.
De personuppgifter som samlas in ska behandlas på ett sätt som säkerställer lämplig teknisk säkerhet för personuppgifterna, vilket innebär skydd mot obehörig eller otillåten behandling, förlust, förstöring eller skada på något sätt.
För att skydda elevuppgifter och samtycken i enlighet med dataskyddsförordningen (GDPR) måste framtagandet av en e-tjänst för att samla in elevuppgifter och sam- tycken från vårdnadshavare föregås av en fortsatt utredning där det fastställas vilka yrkesroller och personer som ska motta och hantera de uppgifter som lämnas in via e-tjänsten.
Vidare krävs det en utredning av den digitala säkerhetsnivån för att skydda upp- gifterna från otillåten spridning vid lagring och distribuering av de insamlade upp- gifterna utifrån deras känslighet. Det innebär att det måste fastställas lämpliga digitala säkerhetslösningar, regelverk och rutiner för behörigheter att hantera insamlade uppgifter, digitala inloggningsmetoder för uppgiftslämnare och upp- giftshanterare samt distribution och lagring av de insamlade uppgifterna.
När det gäller insamling, lagring och distribution av känsliga personuppgifter via e- tjänst krävs en mer genomgående utredning av den digitala säkerhetsnivån och digitala säkerhetslösningar utifrån dataskyddsförordningen. För att säkerställa detta ska det finnas fastställda rutiner och säkerhetslösningar som förhindrar otillåten spridning till obehöriga genom dataintrång eller att känsliga personuppgifter distribueras till obehörig/felaktig mottagare.
3.3.5 Hanteringsanvisningar för arkivering och gallring
Dagens hanteringsanvisningar för arkivering och gallring av insamlade barn- och elevuppgifter samt samtycken i form av blanketter gäller även för insamling av upp- gifter via en e-tjänst.
Uppgifter och samtycken som samlas in från vårdnadshavare via blankett eller e- tjänst ska finnas med i en registerförteckning i enlighet med dataskyddsförordningen. Innan en e-tjänst kan tas i bruk för insamling av barn- och elevuppgifter och samtycken ska det säkerställas att det finns med i registerförteckningen.
3.3.7 Informationens giltighetstid
I dagsläget saknas tydlighet och likvärdighet inom och mellan för- och grundskole- verksamheterna när det gäller blanketternas och de insamlade uppgifternas giltighetstid. Den rådande uppfattningen verkar vara att den gäller tills för- eller grundskolan får eller efterfrågar information eller barnet/eleven slutar i den aktuella förskolan/grundskolans verksamhet.
Samtycken ska enligt dataskyddsförordningen gälla tillsvidare om ingen giltighetstid har angetts vid insamlingen.
3.3.8 Förvaltning och ägandeskap av blanketter och e-tjänst
I och med att det inte finns några dokumenterade rutiner, gemensamma blanketter eller sammanställning över vilka barn- och elevuppgifter samt samtycken som enheterna efterfrågar från vårdnadshavare är det svårt att kontrollera att det sker i
enlighet med dataskyddsförordnigen. Ägarskapet avseende blanketterna och de barn- och elevuppgifter och samtycken som för- och grundskolorna samlar in från vårdnadshavare är inte uttalat men underförstått verkar uppfattningen vara att de blanketter och uppgifter som för- och grundskolorna samlar in ägs av skolenheten, som ansvarar för distribution, lagring och arkivering/gallring. Dock använder vissa enheter blanketter som ursprungligen tagits fram centralt av barn- och utbildnings- kontoret men som inte tydligt uttalat längre är aktiva eller att det är dessa blanketter enheterna förväntas använda, vilket bidrar ytterligare till otydligheten.
3.3.9 Hantering och insamling av information från vårdnadshavare som inte kan använda e-tjänster
Det kommer fortsättningsvis att finnas vårdnadshavare som behöver lämna de uppgifter som för- och grundskolorna efterfrågar via en eller flera blanketter då de inte kan använda e-tjänster av olika anledningar. För att skapa enhetlighet och likvärdighet bör dessa blanketter vara gemensamma för de kommunala förskolorna respektive grundskolorna. Det bör även finnas centrala rutiner för mottagande, lagring och distribution av dessa uppgifter.
4. Analys
Det finns ingen tydlighet eller enhetlighet när det gäller de barn- och elevuppgifter som samlas in av förskole- och grundskoleenheterna och detsamma gäller för de blanketter som används för ändamålet. Detsamma gäller för vem på förskole och grundskoleenheten som är ansvarig att behandla insamlade barn- och elevupp- gifterna och samtycken som vårdnadshavare lämnar till skolan.
Många av de uppgifter som samlas in från vårdnadshavare finns idag i befintliga system som för- och grundskolorna har tillgång till, det gäller bl a kontaktuppgifter till vårdnadshavare och elever. Det är inte klarlagt vilka barn- och elevuppgifter och samtycken förskolorna och grundskolorna anser sig ha behov av att få från vårdnadshavarna.
Då det saknas centrala process- och rutinbeskrivningar för insamling, behandling och lagring av de uppgifter och samtycken som idag samlas in är det svårt för upp- giftsansvariga och kommunen som huvudman att kontrollera och följa upp att det sker i enlighet med dataskyddsförordningen.
Utvecklandet av en e-tjänst behöver föregås av noggrann utredning av lämpliga tekniska lösningar som uppfyller dataskyddsförordningens krav på digital säkerhetsnivå för att skydda uppgifter och samtycken från otillåten spridning vid behandling och lagring av de insamlade uppgifterna utifrån deras känslighet. Det innebär att det måste fastställas lämpliga digitala säkerhetslösningar, regelverk och rutiner för behörigheter att hantera insamlade uppgifter, digitala inloggningsmetoder för uppgiftslämnare och uppgiftshanterare samt distribution och lagring av de insamlade uppgifterna. När det gäller insamling, behandling och lagring av känsliga personuppgifter via e-tjänst krävs en mer genomgående utredning av den digitala säkerhetsnivån och digitala säkerhetslösningar som förhindrar otillåten spridning till obehöriga genom dataintrång eller att känsliga personuppgifter distribueras till obehörig/felaktig mottagare utifrån dataskyddsförordningen.
5. Slutsats
Utredningen visar att flera av de barn- och elevuppgifter som förskolorna och skolorna samlar in från vårdnadshavarna idag finns i befintliga system som för- skolorna och grundskolorna har tillgång till. Det innebär att det inte behövs någon blankett eller e-tjänst för att ta in exempelvis kontaktuppgifter till vårdnadshavare och elever. Vårdnadshavarnas, elevernas och barnens folkbokföringsadresser i Edlevo (barn- och elevregistret) uppdateras exempelvis via Skatteverket.
Avtal för utlåning av elevskåp eller annat skolmaterial är uppgifter som inte relevanta för alla grundskolor och bör inte ingå i en e-tjänst för elevuppgifter och samtycken utan bör behandlas separat.
Att tekniskt skapa en e-tjänst för att samla in barn- och elevuppgifter och sam- tycken som sedan behandlas och lagras på för- och grundskoleenheterna finns det ingenting som hindrar. Utmaningen utgörs av andra faktorer som behöver utredas vidare för att kunna säkerställa att mottagande, behandling och lagring av insamlade uppgifter och samtycken är förenligt med dataskyddsförordningen (GDPR) samt gällande hanteringsanvisningar för arkivering och gallring.
För att skydda barn- och elevuppgifter och samtycken i enlighet med dataskydds- förordningen (GDPR) måste framtagandet av en e-tjänst för insamlingen föregås av en fortsatt utredning där det fastställas vilka yrkesroller och personer som ska motta och behandla de uppgifter som lämnas in via e-tjänsten.
Vidare krävs det ytterligare utredning av den digitala säkerhetsnivån för att skydda uppgifterna från otillåten spridning vid behandling och lagring av de insamlade upp- gifterna utifrån deras känslighet. Det innebär att det måste fastställas lämpliga digitala säkerhetslösningar, regelverk och rutiner för behörigheter att hantera insamlade uppgifter, digitala inloggningsmetoder för uppgiftslämnare och upp- giftshanterare samt distribution och lagring av de insamlade uppgifterna.
En del av de uppgifter som samlas in är, enligt dataskyddsförordningen, så kallade känsliga personuppgifter som till exempel modersmål (etniskt ursprung), alternativ kost (religiös eller filosofisk övertygelse), allergier, sjukdomar och specialkost (hälsa). Då känsliga personuppgifter kräver en högre nivå av säkerhet avseende inloggningar, behörigheter, behandling och lagring kräver insamling av dessa uppgifter ytterligare utredning för att kunna samlas in via en e-tjänst och bedöms därför inte kunna ingå i framtagandet av en e-tjänst för barn- och elevuppgifter som inte klassas som känsliga.
En gemensam e-tjänst för det här ändamålet för förskole- respektive grundskole- verksamheten skulle öka likvärdigheten och tydligheten mellan enheterna inom respektive verksamhet och underlätta möjligheten att följa upp och kontrollera att insamling, behandling och lagring av barn- och elevuppgifterna sker i enlighet med dataskyddsförordningen och gällande hanteringsanvisningar för gallring och arkivering.
Parallellt med att en e-tjänst utvecklas krävs ett framtagande, dokumentation och implementering av processer och rutiner för behörigheter, insamling och be- handling, lagring/arkivering och gallring av aktuella uppgifter och samtycken. Vidare
är det av vikt att fastställa ägarskapet av blankettmall och e-tjänst respektive de uppgifter och samtycken som samlas in, behandlas och lagras.
För att utveckla en e-tjänst finns det behov av en referensgrupp med representanter från för- och grundskolan för att fastställa vilka barn- och elev- uppgifter och samtycken verksamheterna har behov av samt stämma av syfte, ändamål, behandling och lagring av den insamlade informationen för att kunna ta fram process- och rutinbeskrivningar som är förenliga med dataskyddsförordningen samt gällande hanteringsanvisningar för arkivering och gallring.
Då alla vårdnadshavare inte kommer att kunna lämna in uppgifter via en e-tjänst kommer det att krävas en blankett för ändamålet. Med en e-tjänst/central framtagen blankettmall samt tillhörande process- och rutinbeskrivningar för insamling, behandling och lagring av barn- och elevuppgifter samt samtycken så kan ägarskapet avseende dels e-tjänst/blankett och de insamlade uppgifterna tydliggöras. Förvaltning och ägarskap för e-tjänst och blankettmall bör ligga centralt hos barn- och utbildningskontoret medan ägarskap och ansvar för insamlade uppgifter och samtycken bör ligga hos den enhet som samlar in och behandlar uppgifterna.
Bedömningen är att en e-tjänst för insamling av barn- och elevuppgifter som inte är av känslig art kan utvecklas under vårterminen 2024 för att vara i bruk till höstterminen 2024.
En e-tjänst för insamling av känsliga personuppgifter behöver utredas ytterligare för att säkerställa lämpliga tekniska lösningar för behörigheter, behandling och lagring i enlighet med dataskyddsförordningen. En sådan utredning skulle kunna genomföras under höstterminen 2024 under förutsättning att utvecklandet av en e- tjänst för icke-känsliga personuppgifter kan genomföras under vårterminen 2024.