I tisdags kunde Norran avslöja att känsliga elevuppgifter i flera veckor legat öppet på Skellefteå kommuns intranät. De läckta elevuppgifterna upptäcktes av en förälder som själv arbetar inom skolan. Trots att hen slog larm redan under måndagen förra veckan dröjde det tills fredag innan anmälan skrevs. Detta borde ha gjorts inom 72 timmar.
Läckta elevuppgifter – rektor dröjde med anmälan: ”Kände inte till att vi måste göra det”Norran har tagit del av anmälan. I denna finns ett flertal märkligheter. Bland annat uppgiften att samtliga berörda är kontaktade. Till Norran säger rektorn – efter att anmälan lämnats in – att det återstår ”fyra till fem föräldrar.”
I anmälan står också att orsaken till att anmälan är sen beror på att dataskyddsombudet ”inte fick information” om händelsen förrän då.
En anmälan till Datainspektionen ska göras när en incident medfört en risk för de registrerade personernas fri- och rättigheter. Det innebär exempelvis att de förlorar kontrollen över sina uppgifter, att rättigheter inskränks, att de utsätts för diskriminering, identitetsstöld eller bedrägeri. Det kan också innebära att de riskerar skadlig ryktesspridning och brott mot sekretess eller tystnadsplikt.
”Begränsad” allvarlighet
Av anmälan till Datainspektionen framgår att det förutom skola, födelseår och fullständiga namn, fanns ”fullständiga kartläggningar och utredningar” för minst 30 elever i mappen. På frågan hur allvarlig nämnden bedömer incidenten, har anmälaren skrivit ”begränsad”.
Isak Nyberg, dataskyddsombud för för- och grundskolenämnden, berättar hur de resonerade:
– Sannolikheten att någon obehörig beretts tillgång till mappen ser vi som väldigt liten. Medarbetare sitter ju inte där och letar, de utför sitt arbete.
Men det var ändå en lärare som upptäckte mappen – vad säger att inte fler gått in?
– De ska ju ha en anledning att gå in, det har de inte, säger Isak Nyberg.
Urban Holmberg, rektor för Örjanskolan och Auraskolan, förklarar varför han ser händelsen som endast ”begränsat allvarlig”:
– Den personal som haft tillgång till mappen omfattas av en egen sekretess via sitt arbete, säger han.
Enligt Isak Nyberg kommer inte skolan kunna utreda hur många som varit i mapparna då de inte sparar de loggar som skulle krävas för det.
Varför skrev ni att vårdnadshavare var kontaktade?
– Rektorn hade börjat ringa, och skulle kontakta dem som kvarstod genast.
Kunde ni inte ha skrivit det istället, det vore ju mer sanningsenligt?
– Ja, det kunde vi.
Urban Holmberg säger att de absolut inte försökt ”missleda Datainspektionen.” Men berättar också att han fortfarande inte nått alla föräldrar.
– Det finns flera orsaker till att vissa kan vara svåra att nå, de kan exempelvis ha flyttat eller till och med lämnat landet, säger han.
I anmälan står att ”ett trettiotal” elever är berörda. På frågan om exakt antal uteblir svar från kommunen.
Vet ni inte?
– Jo, men jag hade inte den siffran och här handlade om att få in anmälan snabbt, då den redan var försenad, säger Isak Nyberg.
Några föräldrar har ringt Norran med anledning av läckan. En förälder säger att hen blev uppringd att rektorn, men inte förstod allvaret.
– Det var ett mycket kort samtal, och jag fattade det som att en fysiskt mapp legat framme på ett skrivbord. När jag senare insåg att det legat på intranätet blev jag orolig, säger hen.
Påverkar förtroendet
Det har påverkat förälderns förtroende för skolan:
– Barnen ska ju vara skyddade i skolan, hur kan något sådant här ens hända?
Ytterligare en förälder berättar att helgen efter rektorns samtal var ”jobbig”.
– Rektorn viftade som bort det, och först efteråt började jag fundera. Vad stod där egentligen om mitt barn? Och vilka har tittat på det?
Urban Holmberg är ledsen om någon missuppfattat honom.
– Om jag varit otydlig, och om någon förälder har frågor angående sitt barn, så är det bara att de ringer mig, säger han.