Föräldern som såg de läckta uppgifterna skärmdumpade mappen.
I oktober 2019 berättade Norran att uppgifterna låg i en öppen mapp på intranätet. Det var en förälder som uppmärksammade det och sedan kontaktade en lärare om detta.
Personuppgifter om barn anses särskilt skyddsvärda i dataskyddsförordningen, men vem tar ansvar och vem står upp för barnens rättigheter när rutiner brister hos en kommun?
Uppgifterna bestod av kartläggningar och utredningar och innehöll dessutom namn, personnummer och uppgifter om skolform. Föräldrar som Norran pratade med befarade att mapparna innehöll exempelvis åtgärdsplaner och diagnoser på elever.
Lade ut känsliga uppgifter om elever på kommunens intranätLäckta elevuppgifter – rektor dröjde med anmälan: ”Kände inte till att vi måste göra det”Föräldrar var även kritiska till att rektorn dröjde med att kontakta föräldrar och att anmäla incidenten till Datainspektionen. Urban Holmberg, rektor vid skolorna, erkände att han brustit där på grund av okunskap.
Gör bedömning
Datainspektionen meddelade att de inom ett halvår skulle ta beslut om en tillsyn skulle inledas. När Norran kontaktar dem visar det sig att de nu beslutat sig för att inte inleda tillsyn. I alla fall inte nu.
”Notera att Datainspektionen oberoende av detta kan komma att inleda tillsyn”, skriver de i beslutet.
Anmälan till Datainspektionen: Uppger felaktigt att alla vårdnadshavare kontaktats – ”Rektorn skulle ringa dem”Pressekreterare Per Lövgren skriver i ett mejl att Datainspektionen får in i snitt ett hundratal anmälningar om personuppgiftsincidenter per vecka.
”För var och en gör vi en bedömning då vi bland annat tar hänsyn till hur många som berörts av incidenten, vilken typ av uppgifter det handlar om och, inte minst, vilka åtgärder som organisationen vidtagit för att minimera konsekvenserna av det som skett och riskerna för att det ska ske igen. För incidenter som bedöms som särskilt allvarliga kan vi göra en fördjupad bedömning genom att inleda tillsyn. I det här fallet har vi gjort bedömningen att inte inleda tillsyn.”
Det är tragiskt
Norran har pratat med ett par föräldrar, som har barn vars uppgifter legat ute. Den ena är besviken att inget händer med ärendet, men är inte förvånad i och med att kommunen skrivit att de åtgärdat problemet.
Jag har absolut förtroende för rektorn.
– Det är tragiskt att rutinerna inte fungerade i kommunen. Hade rektorn haft kunskaper om rutinerna hade detta aldrig varit en fråga. Jag tycker också att det är synd att vi fortfarande inte fått veta vilken information det är som har legat ute eller vem som lagt ut den. Personuppgifter om barn anses särskilt skyddsvärda i dataskyddsförordningen, men vem tar ansvar och vem står upp för barnens rättigheter när rutiner brister hos en kommun? Att en rektor inte besitter kunskap om sitt ansvar, gör ett mycket grovt övertramp men ändå får sitta kvar det tycker jag är mycket anmärkningsvärt, säger ena föräldern.
– Man känner sig så hjälplös och tappar energi. Reglerna finns där av en anledning och ska skydda barnen, men det tas inte vidare. Jag är besviken både på kommunen och Datainspektionen. Jag önskar de hade tagit det på större allvar, säger den andra föräldern
Föräldern påpekar att skolledningen fortfarande inte har tagit kontakt med hen i ärendet eller informerat om vilka uppgifter som legat ute eller hur länge.
Har förtroende
Skolchef Anders Bergström tycks ambivalent kring beskedet och påpekar att ärendet visserligen avslutats men att myndigheten ändå skriver att de kan inleda tillsyn.
– Den här typen av ärende är nya för oss i och med att lagstiftningen skärpts. Det vi har gjort är att titta över våra rutiner, men vi har fortfarande med människor att göra. Vi vill inte göra fel, men jag kan inte utlova att något liknande aldrig sker i framtiden.
En förälder är kritisk till att rektorn får vara kvar.
Vad är din kommentar till det?
– Datainspektionen har avslutat ärendet. Hade de gjort en annan bedömning hade vi behövt hantera det. Men jag har absolut förtroende för rektorn. Det är lätt att kanalisera kritiken mot rektorn, men vi måste nu se över hur vi utbildar och informerar våra medarbetare.
Rektor Urban Holmberg tycker det är svårt att kommentera myndighetens beslut.
– Jag litar på att de gör sitt jobb.
Föräldrar kallar det för ett ”grovt övertramp” i tjänsten.
Hur ser du på det?
– Jag vill inte kommentera det med annat än att det finns kanaler för att ifrågasätta om det blir fel. Datainspektionen gör sitt jobb ur sitt perspektiv och jag gör mitt ur mitt perspektiv.
Han påpekar att förvaltningen ser över rutinerna, men att den mänskliga faktorn alltid kan spela en spratt.
– Vi gör vad vi kan för att det inte ska ske igen.
Föräldrarna tycker inte att de fått den information de borde men Urban Holmberg anser att han både har meddelat föräldrar om incidenten och även vilket material som legat ute.
– Jag har ringt alla som fanns på listan.