Säker lagring

i Arvika kommuns Google-miljö

I takt med att vi använder digitala verktyg som stöd för fler och fler arbetsuppgifter, inte minst för samarbete i molntjänster, ökar också behovet av informationssäkerhet. Den här sidan tar upp aspekter av informationssäkerhet vid Arvika kommuns skolor.

Grundläggande skydd i Googles moln

All överföring av data mellan å ena sidan lärares och elevers datorer och å andra sidan Googles servrar är krypterad. Det går alltså inte att ljuvlyssna på data som transporteras.

Den information som ligger på Googles servrar, t.ex. ordbehandlingsdokument, presentationer och kalkylark lagras i krypterad form. Det går alltså inte att läsa dokument direkt från en Google server utan att först dekryptera informationen.

Multifaktorsverifiering (MFA) med USB-nyckel ökar säkerheten vid inloggning avsevärt jämfört med inloggning med enbart lösenord. MFA infördes i Google-miljön under perioden 2021 och 2022 för samtlig personal i Arvika kommuns förskolor och skolor.

En grundregel för lagring i Google Drive är att i första hand använda delade enheter och delade dokument för hantering av personuppgifter och att så långt möjligt undvika e-post.

E-post och SMS

Använd delade dokument, i första hand på delade enheter på Google Drive, istället för e-post där det är möjligt.

Att skicka e-post mellan användare med adresser på arvika.com och arvika.se är säkert. Men iaktta de allmänna rekommendationerna för e-post som gäller för kommunens skolor.

Skicka inga personuppgifter i e-postmeddelanden till mottagare utanför arvika.com och arvika.se. Se de allmänna rekommendationerna för e-post för rekommendationer och alternativ.

Undvik SMS i görligaste mån. Om trots allt SMS blir nödvändigt, skicka inga personuppgifter.

Mobila enheter

Undvik om möjligt att använda privata digitala enheter som t.ex. privat mobiltelefon i tjänsten. Om du trots allt väljer att använda en privat enhet var noga med att enheten har skärmlåset påslaget och att du loggar ut från ditt arvika.com-konto efter varje användning.

Bärbar dator du har i tjänsten måste också hanteras på säkert sätt, inte minst för att den är stöldbegärlig. Skärmlås måste vara aktiverat. Datorn måste låsas när du lämnar den, även för en kort stund.

Windows-tangent + L (tänk Windows-Lås)
låser datorn när du lämnar den
Lås datorn även om du bara lämnar den en kort stund

Appar, program och molntjänster

Kommunen är ansvarig för de personuppgifter skolan hanterar och därmed personuppgiftsansvarig. Dataskyddsförordningen kräver att personuppgiftsansvarig har kontroll över vilka externa leverantörer som hanterar personuppgifter för skolans räkning. Sådana externa leverantörer kallas personuppgiftsbiträden. Exempel på Arvika kommuns personuppgiftsbiträden är Google, Inläsningstjänst (ILT) och leverantörer av digitala läromedel som Liber, Gleerups och Studentlitteratur.

Förhållandet mellan personuppgiftsansvarig och personuppgiftsbiträde regleras i ett speciellt Personuppgiftsbiträdesavtal, PUBA. För att ett biträde ska få hantera personuppgifter för en ansvarig krävs att ett PUBA eller motsvarande finns upprättat. Att upprätta ett PUBA med leverantörer av IT-tjänster sköts centralt i kommunen. Det är därför helt avgörande att lärare inte på eget bevåg använder digitala tjänster som hanterar personuppgifter utan att först få detta godkänt från IKT-strateg.

Myndighetsutövning - inget samtycke krävs

Skolan har åtskilliga rättsliga skyldigheter, t.ex. att ge betyg och skriftliga omdömen, att upprätta åtgärdsprogram m.m. Detta ger skolan rätt att, utan att samtycke behövs, behandla de personuppgifter som krävs för att uppfylla de rättsliga skyldigheterna.

Integritetsskyddsmyndigheten har tidigare sagt att de föredrar att man använder förval med färdigformulerade alternativ i skriftliga omdömen. Myndighetens motivering till detta är att alla former av fritext ökar risken för olyckliga formuleringar som kan upplevas som integritetskränkande.

Möjligen kan färdigformulerade alternativ vara tidsbesparande för lärare. Google Classroom tillåter att egna matrisbedömningar skapas och delas mellan kollegor. Kanske kan detta system användas för att både spara tid och minska risken för olyckliga formuleringar.

Gallring

Personuppgifter som inte längre är aktuella för organisationen ska raderas, gallras. Några exempel kan vara klasslistor för klasser som slutat på skolan, betygsunderlag för elever vars betyg sattes för ett par år sedan och underlag för åtgärdsprogram för elever som slutat på skolan.

Kontinuerlig gallring av inaktuella personuppgifter har vi av tradition inte ägnat oss åt organiserat och konsekvent. Men eftersom GDPR är väldigt tydlig i sitt krav är gallring något vi numera är ålagda att göra.

Rovorna rensas och gallras på gården Idhult i Svinhults socken, året är 1920.

Page updated

Report abuse