Uppgifter om elevers behov av talövningar eller stöd för läs- och skrivsvårigheter låg tills på fredagen öppet i Hässleholms kommuns skolnätverk. Alla elever med skoldator liksom anställda som inte ska ha tillgång till informationen kunde under åtskilliga år ta del av känsliga personuppgifter som enligt lag ska skyddas.
Upphovsmännen till det aktuella programmet Lexia för elever med behov av särskilt stöd säger att det inte är tänkt att några uppgifter ska läggas på delade diskar så som skett i Hässleholm.
Filerna som Frilagt tagit del av via en film är utlagda på nätverket under åren 2000-2016, men var tillgängliga i delade mappar tills på fredagsförmiddagen. Många av filerna är namngivna med elevens för- och efternamn, en del även med årskurs. Den som öppnar filen kan exempelvis få veta att eleven behöver göra vissa övningar som programmet tillhandahåller.
Skolnätverket används av pedagoger och elever. Det nås alltså inte av all personal inom skolområdet, men Lexia-filerna var tillgängliga under 20 års tid för tusentals personer som inte ska ha att göra med personuppgifter om elever med stödbehov.
Programmet köptes in på cd-rom och säljs inte längre, men barn- och utbildningsförvaltningen i Hässleholms kommun använder det fortfarande. Enligt it-chef John Palmqvist används det dock på annat sätt sedan 2016 och sedan dess ska det inte ha tillkommit några nya delade mappar.
Två personer går igenom materialet
Efter att Frilagt på fredagen skickat honom filmen som visar hur lätt filerna nås och ställt frågor om fadäsen avdelade barn- och utbildningsförvaltningen två personer till att gå igenom det omfattande materialet, ett arbete som fortsätter under kommande vecka. Samtidigt stängde it-avdelningen tillgången till delade mappar på nätverket så att informationen inte längre är tillgänglig.
– Det är en otrolig mängd filer, men många är irrelevanta. Personliga filer är blandade med programfiler och exempelfiler, säger Linda Färdig, kommunikatör på barn- och utbildningsförvaltningen.
Anmälan till Datainspektionen om personuppgiftsincident enligt gdpr måste göras inom 72 timmar efter upptäckt och kommunen gjorde en sådan på fredagen. Det kan också bli aktuellt att anmäla sekretessbrott efter att all data genomsökts.
– Det krävs rätt mycket detektivarbete. Vi behöver analysera materialet för att få grepp om det och prata med personalen som jobbar med programmet. Det är superviktigt att få ett underlag till varför det hänt, säger Linda Färdig.
Hon betonar också att antalet berörda elever måste klarläggas. Hon förklarar att eleverna på grundskolan idag har egen dator. De flesta hade inte det när programmet köptes in på cd-rom. Dock har alla gymnasieelever under många år haft skoldatorer med tillgång till nätverket.
– Vi får nog prata med leverantören också. I mina öron låter det konstigt att göra ett program som sparar filer så här. Om det hade kommit till vår kännedom tidigare hade vi stoppat det, säger Linda Färdig.
It-chefen lägger skulden på skolan
John Palmqvist lägger huvudansvaret på skolpersonalen. Han bedömer inte att det är it-avdelningen som gjort fel.
– Det anser jag inte i detta läget. It-avdelningen har hjälpt till med installationen utifrån önskemål från barn- och utbildningsförvaltningen, säger han.
Han jobbade inte på it-avdelningen när programmet installerades, men säger att kommunens riktlinjer följdes.
– Barn- och utbildningsförvaltningen ville ha tillgång till delade mappar och det är den som använder programmet som döper filerna, säger han.
Vilket ansvar har it-avdelningen?
– Vi stöttar i dialog med verksamheten och sätter rättigheter utifrån tekniska perspektiv. Det är respektive verksamhet som beställer, sedan kan vi säga om det är lämpligt. Men informationssäkerheten är varje förvaltnings ansvar, säger John Palmqvist.
Han berättar att det hänt att it-avdelningen reagerat på beställningar som kommit in. Uppenbarligen har ingen reagerat på riskerna med delade mappar i detta fall.
– Hur de bedömde det då vet jag inte. Men jag tycker att de skulle ha reagerat, säger han.
Nu har barn- och utbildningsförvaltningen fått tillgång till allt material som låg på delade mappar så att det kan gås igenom.
– De får ta det vidare, säger John Palmqvist.
Enligt hans uppfattning är det trots allt ett begränsat antal elever och lärare som haft tillgång till skolnätverket och ingen utanför skolan. Han kan inte bedöma hur många det är och inte heller hur många elever som berörs av att deras personuppgifter kunnat nås av obehöriga.
– Jag gissar att det blir oerhört svårt att komma fram till omfattningen. Det handlar om filer som genereras av programmet när man är inne och jobbar. Sedan beror det på hur man döper sitt arbete, om det är med namn eller annat.
John Palmqvist konstaterar också att flera elever tidigare ofta delade dator.
– Då var det inte ovanligt att programmet sparade uppgifter i en fil så att eleven skulle kunna fortsätta med sin uppgift nästa gång eller spara sitt resultat, säger han.
Han vill inte kommentera om han anser att felet ligger i programmets uppbyggnad, men han tror inte att det finns anledning att ta kontakt med programmets upphovsmän.
– Skivan där programmet låg gick inte att spara på. Om det skulle sparas fick det bli lagrade filer på datorn eller i ett nätverk, säger han.
Nu måste varje läckt uppgift bedömas för sig innan det går att avgöra om sekretessbrott ska polisanmälas.
Kan inte skada den enskilde?
It-avdelningen konsulterade på fredagen också Calle Alm som är kommunens informationssäkerhetsansvarige och dataskyddsombud.
– Min rekommendation var att anmäla och sedan komplettera. Vi får titta på omfattningen, säger han till Frilagt.
Bedömer du att det också kan vara frågan om sekretessbrott?
– Det kan så vara, säger Calle Alm.
I ett mejl till Linda Färdig skriver han dock att han inte tror att incidenten kan skada den enskilde.
– Som jag förstår det har inte informationen varit tillgänglig för personer utanför skolan och omfattningen är av sådan karaktär att det inte kan ”skada” den enskilde. Men för säkerhets skull vill jag även att ni kontrollerar och värderar om det är en personuppgiftsincident med ingen risk för enskild eller om det är risk för den enskilde, skriver han.
”Verkar lite felanvänt”
Programmet Lexia säljs numera enbart i en nätbaserad version. Martti Mårtens, en av upphovsmännen till den ursprungliga versionen på cd-rom, blir förvånad när han hör om integritetsmissen i Hässleholm.
– Det är kommunens angelägenhet att se till att sådant inte blir möjligt, säger han.
Han förklarar att elevens identitet inte behöver användas för att det ska gå att jobba med programmet.
– Det verkar lite felanvänt, säger han.
Programmets första version skapades 1992, innan skolorna var uppkopplade på internet.
– När det konstruerades var det inte tänkt att det skulle ligga på ett nätverk. Eleven skulle komma tillbaka till samma dator och specialläraren skulle ge stöd på plats. Man gjorde en installation per dator, säger Martti Mårtens.
Berit Önell