Molntjänster i skolan

Det blir allt vanligare att skolor använder sig av molntjänster. På internet finns ett stort utbud av molntjänster att välja på. Utmärkande för dessa är att de är lättillgängliga, billiga eller gratis och enkla att använda. Informationen på den här sidan vänder sig i första hand till skolhuvudmän, skolledare och lärare. Här finner du bland annat svar på följande frågor.

  • Gäller personuppgiftslagen när molntjänster används i utbildningsverksamhet?
  • Vem är ansvarig för att personuppgifter hanteras på ett lagligt sätt i en molntjänst?
  • Vem är behörig att teckna avtal med en molntjänstleverantör?

Informationen som presenteras här tar sikte på frågor som är särskilt aktuella vid användning av molntjänster i skolverksamhet. För att få en fullständig bild av samtliga krav som ställs vid behandling av personuppgifter i molntjänster måste du också ta del av Datainspektionens allmänna information om molntjänster och personuppgiftslagen.

Läs mer om molntjänster och personuppgiftslagen

Här avses med molntjänster sådana tjänster som levereras i ett standardutförande direkt över internet, som inte kräver särskild programvara för installation, som snabbt kan ökas eller minskas vid behov (skalbara) och som lagrar användarnas information hos molntjänstleverantören.

Integritetsrisker vid användning av en molntjänst

I skolverksamheten är det viktigt att fundera över hur elevernas personliga integritet skyddas när deras personuppgifter behandlas på internet. Barns personuppgifter måste alltid hanteras med försiktighet.

Elever och lärare, vars personuppgifter behandlas i molntjänsten, måste kunna känna sig trygga med att deras personuppgifter inte behandlas av molntjänstleverantören för egna syften och att uppgifterna raderas från molntjänstleverantörens servrar när de inte längre är nödvändiga att spara. Den personuppgiftsansvarige skolhuvudmannen måste kunna garantera elever och lärare att personuppgifter som hanteras i molntjänsten skyddas av tillräckliga säkerhetsåtgärder så att till exempel ingen obehörig får åtkomst till uppgifterna.

Skolans huvudman är ansvarig för hanteringen av personuppgifter i en molntjänst

När personuppgifter hanteras i en molntjänst gäller samma regler i personuppgiftslagen som vid all annan hantering av personuppgifter.

All slags information som kan kopplas till en enskild individ omfattas av begreppet personuppgifter till exempel namn, adress och personnummer. Även information som beskriver någon eller på annat sätt kan härledas till en enskild individ såsom filmer, bilder, pseudonymer och krypterade uppgifter kan vara personuppgifter.

I skolverksamheten är det som regel skolans huvudman som är personuppgiftsansvarig för all hantering av personuppgifter som utförs på skolan. För kommunala skolor innebär det att den ansvariga nämnden är personuppgiftsansvarig. I friskolor ansvarar styrelsen eller motsvarande funktion. Den personuppgiftsansvarige har ett skadeståndssanktionerat ansvar för att all hantering av personuppgifter som utförs på skolan är tillåten enligt personuppgiftslagen. Personuppgiftsansvaret kan aldrig överlåtas eller delegeras. Även när en enskild lärare på eget initiativ väljer att använda en molntjänst, exempelvis som ett pedagogiskt verktyg i undervisningen, är det huvudmannen som ansvarar för att all hantering av personuppgifter i tjänsten är laglig. Av denna anledning är det viktigt att det finns tydliga instruktioner om vem som är behörig att teckna bindande avtal med en molntjänstleverantör.

Teckna biträdesavtal med molntjänstleverantören

Skolans huvudman måste vara medveten om att de personuppgifter som hanteras i en molntjänst kommer att lagras och behandlas av ett personuppgiftsbiträde, nämligen molntjänstleverantören. Det är vanligt att molntjänstleverantören i sin tur anlitar underleverantörer för att lagra och behandla uppgifterna. Underleverantörerna blir också personuppgiftsbiträden till den ansvarige huvudmannen. Huvudmannens personuppgiftsansvar omfattar även molntjänstleverantören, och dennes underleverantörers, hantering av personuppgifter.

Ett personuppgiftsbiträde är ett företag som hanterar personuppgifter för den personuppgiftsansvariges räkning. I molntjänstsammanhang är det molntjänstleverantören och dess underleverantörer som är personuppgiftsbiträden.

Skolans huvudman är enligt lag skyldig att teckna ett personuppgiftsbiträdesavtal som reglerar behandlingen av personuppgifter med leverantören av molntjänster. Det avtalet måste även säkerställa att molntjänstleverantörens underleverantörer blir bundna av samma villkor som gäller för molntjänstleverantören. Om personuppgifter kommer att överföras till länder utanför EU/EES-området måste huvudmannen också kontrollera att det sker på ett lagligt sätt. Till exempel genom att parterna tecknar EU-kommissionens standardavtalsklausuler för överföring av personuppgifter till tredje land. Tidigare ansågs det att om en molntjänstleverantör som är lokaliserad i USA var ansluten till Safe Harbor-principerna utgjorde det en laglig grund för överföring av uppgifter till USA. Men den 6 oktober 2015 ogiltigförklarade EU-domstolen kommissionens beslut att Safe Harbor-principerna säkerställer ett adekvat skydd för överförda personuppgifter. Det innebär att överföringar av personuppgifter till USA som nu sker med stöd av EU-kommissionens beslut om Safe Harbor är olagliga.

"Safe harbor-domen får stora konsekvenser"
Är du personuppgiftsombud på ett bolag eller en annan organisation som överför personuppgifter till USA? Här kommenterar Datainspektionens chefsjurist den så kallade Safe Harbor-domen och berättar mer om vilka konsekvenser den kan få för det bolag du arbetar på.

Att teckna avtal med en molntjänstleverantör innebär ofta i praktiken att kunden godkänner de användarvillkor som leverantören erbjuder. Leverantörens avtal är i regel standardiserade och kunden har liten möjligheten att påverka innehållet i avtalet. Vanligtvis har leverantören ett huvudavtal som kan kompletteras med en eller flera bilagor. Bilagorna kan exempelvis vara personuppgiftsbiträdesavtal, EU-kommissionens standardavtalsklausuler för överföring av personuppgifter till tredje land och en sekretess- och integritetspolicy. För att det ska finnas förutsättningar att uppfylla kraven i personuppgiftslagen behöver ett avtalspaket mellan den ansvarige huvudmannen och molntjänstleverantören som regel innehålla både ett personuppgiftsbiträdesavtal och EU-kommissionens standardavtalsklausuler.

Personuppgiftslagens krav på innehållet i ett biträdesavtal

För att avgöra om de avtalsvillkor som leverantören erbjuder uppfyller alla krav i personuppgiftslagen behöver huvudmannen granska samtliga bindande villkor som rör hanteringen av personuppgifter.

Den ansvarige huvudmannen måste alltid teckna ett personuppgiftsbiträdesavtal med molntjänstleverantören. Avtalet ska bland annat reglera att molntjänstleverantören inte får hantera personuppgifterna som registreras i molntjänsten för egna syften.

Vid avtalsgranskningen måste huvudmannen vara särskilt uppmärksam på eventuella avtalsvillkor som ger molntjänstleverantören rätt att behandla personuppgifterna för egna ändamål. Normalt sett är det inte tillåtet för molntjänstleverantören att behandla personuppgifterna för sina egna syften. Huvudmannen måste också säkerställa att leverantören inte fortsätter att lagra och behandla uppgifter som molntjänstens användare har raderat.

Om känsliga eller integritetskänsliga personuppgifter kommer att hanteras i molntjänsten ställs särskilt höga krav på säkerheten för att skydda uppgifterna ifråga. Normalt sett är det inte lämpligt att hantera sådana uppgifter i den typen av molntjänster det är fråga om här.

Riskanalys och instruktioner

Utöver att teckna ett personuppgiftsbiträdesavtal har skolans huvudman ansvar för att genomföra en grundlig riskanalys för att bedöma om det är möjligt att anlita en molntjänstleverantör för behandling av personuppgifter. Sveriges Kommuner och Landsting har gett ut en Vägledning om molntjänster i skolan med tillhörande riskanalys. Dokumenten kan laddas ned på www.skl.se.

Läs Vägledning om molntjänster i skolan hos SKL

Det är viktigt att huvudmannen tar fram instruktioner till lärare och elever om

  • vem som är behörig att teckna bindande avtal för huvudmannens räkning
  • vilka personuppgifter som får hanteras i en molntjänst
  • hur personuppgifter får hanteras i en molntjänst
  • vad som gäller vid publicering av film och bilder på enskilda
  • om, och i så fall hur, en molntjänst som tillhandahålls via huvudmannen får användas av lärare och elever för privat bruk
  • vilka konsekvenser användning i strid med instruktionerna kan medföra.

Övrigt att tänka på

Det är inte tillräckligt att inhämta samtycke från elever och målsmän för att behandla personuppgifter i en molntjänst om behandlingen i sig inte uppfyller kraven i personuppgiftslagen.

Skolans huvudman måste kunna informera elever och lärare om hur deras personuppgifter behandlas i en molntjänst.

Datainspektionen godkänner aldrig enskilda molntjänster eller avtal. Huvudmannen måste alltid göra en självständig prövning om det går att hantera personuppgifter på ett lagligt sätt i den aktuella molntjänsten.

Personuppgiftslagen

Mer information

Personuppgifter i skolan

En checklista över de viktigaste punkterna som skolor måste tänka på när de behandlar personuppgifter.

Kameraövervakning i skolor

En checklista som ska göra det enklare för skolor att avgöra om kameraövervakningen strider mot personuppgiftslagen.

Dokument

Läs sidan i pdf-format

Informationen på denna sida finns även i pdf-format.