Föreskrifter om hantering och genomförande av digitala nationella prov
Integritetsskyddsmyndigheten (IMY) har granskat förslaget huvudsakligen utifrån myndighetens uppgift att arbeta för att människors grundläggande fri- och rättigheter skyddas i samband med behandling av personuppgifter.
Mot bakgrund av att Skolverket anger att behandling av känsliga personuppgifter inom ramen för uppdraget att tillhandahålla nationella prov behöver utredas vidare och att Skolverket senare avser att göra en mer fullständig integritetsanalys av förslagen lämnar IMY övergripande synpunkter enligt följande.
Förslaget innebär bl.a. att personuppgifterna som avses behandlas i den digitala provtjänsten kommer att samlas in från huvudmännen och finnas sammanställda centralt hos Skolverket, vilket är nytt i förhållande till idag. Av konsekvensutredningen framgår att det är artikel 6.1 e i dataskyddsförordningen som den tänkta behandlingen avser att stödja sig på (uppgift av allmänt intresse). IMY saknar dock en analys enligt artikel 6.3 i dataskyddsförordningen avseende den nationella rättsliga grunden som är en förutsättning för tillämpning av artikel 6.1 e. Den beskrivning som ges i utredningen om nationell rättslig grund behöver vara mer preciserad. (1) Det innebär bl.a. behov av en kartläggning av befintlig reglering och en redovisning av behov av eventuell ny reglering vad gäller alla aktörers rättsliga grund för de behandlingar av personuppgifter som förslaget aktualiserar, t.ex. överföringen av uppgifter från de olika aktörerna till Skolverket och myndighetens behandling av personuppgifter i den nationella tjänsten. Innebär behandlingen även att det rör känsliga personuppgifter behöver det anges vilket undantag till förbudet i artikel 9.1 i dataskyddsförordningen som respektive aktör kan stödja sig på för sin behandling. (2)
För den fortsatta analysen av rättsligt stöd för behandling av känsliga personuppgifter vill IMY särskilt uppmärksamma Skolverket om att uppgifter om elever tillsammans med skolformen sameskola i vissa fall kan anses vara en uppgift om etnicitet. Det är således inte bara uppgifter om elever i kombination med skolformen specialskola som kan utgöra känsliga personuppgifter.
Vidare ser IMY att det inom ramen för den digitala provtjänsten kommer behandlas ett stort antal integritetskänsliga personuppgifter. Detta ställer höga krav på säkerheten så att personuppgifterna inte utsätts för oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats enligt artikel 32 i dataskyddsförordningen. Den digitala provtjänsten kommer ha flera integrationer med omgivande system för t.ex. framställning av statistik och arkivering men också andra integrationer med de skolor som berörs samt högskolor och universitet som bidrar med provens innehåll. Om det finns ytterligare integrationer framkommer inte i underlaget. Förutom flera integrationer mot andra system så kommer det vara en stor mängd användare i plattformen med olika typer av roller och tillhörande behörigheter. Med detta i beaktande behöver lämpliga tekniska och organisatoriska åtgärder vidtas för att säkerställa ett säkert flöde av personuppgifter mellan system och integrationspunkter samt för att definiera roller och ansvar inom plattformen och integrationerna med plattformen. Dvs. vem är ansvarig för vad t.ex. vid tilldelning, uppföljning och borttagning av behörigheter så det blir korrekt samt att användare endast har tillgång till de personuppgifter som behövs för att utföra sina arbetsuppgifter. Detta aktualiseras också utifrån respektive aktörs roll i form av personuppgiftsansvarig och personuppgiftsbiträde.
Sammanfattningsvis är det viktigt att Skolverket säkerställer att myndigheten har gjort en komplett kartläggning av den personuppgiftsbehandling som föranleds av de föreslagna ändringarna och att det finns rättsligt stöd för all sådan behandling. Sådan kartläggning, liksom bedömningar av förslagens påverkan på den personliga integriteten, är särskilt viktigt när det är fråga om barns personuppgifter, vilka anses vara särskilt skyddsvärda enligt dataskyddsförordningen. För Skolverkets fortsatta arbete finns stöd i en ”Vägledning för integritetsanalys i lagstiftningsarbete” som IMY tagit fram. Denna finns på IMY:s webb, se länk i fotnot (2).
Fotnoter
(1) Jfr skäl 41 till dataskyddsförordningen.
(2) Se steg 3–4 i Vägledning för integritetsanalys i lagstiftningsarbete (pdf, 532 kB), dnr. IMY-2022-10835.
Detta yttrande har beslutats av tillförordnade enhetschefen Linn Sandmark efter föredragning av juristen Anna Hellgren Westerlund. I den slutliga handläggningen har it- och informationssäkerhetspecialisten Mats Juhlén deltagit.
Linn Sandmark, 2023-05-16 (Det här är en elektronisk signatur)