Tre skoltips inför GDPR

Den 25 maj 2018 börjar som bekant GDPR att gälla i EU. Det innebär inte bara stora utmaningar för företag och organisationer runt om i Sverige, utan det berör i allra högsta grad även skolorna. Där kan till och med arbetet inför i vissa fall vara ännu viktigare att börja tänka på, eftersom de i övrigt har så mycket annat att fokusera på, menar Pernilla Rönn, affärsområdeschef för informationssäkerhet på Combitech.

– Det finns väldigt många aktörer, inte bara skolor, som verkar vänta in till sista sekund med att ta tag i GDPR-frågan. När det gäller skolor kan det bero på att de har så mycket andra utmaningar som de prioriterar, de måste ständigt ha ett fokus på elever och som många vet finns ju även en utbredd lärarbrist.

– Men faktum är att skolor står inför en minst lika stor utmaning som andra. I deras interna system finns mycket känslig information och data om alla elever och unga tas ju extra hänsyn till i den nya förordningen. De har också mycket information som hanteras rent manuellt fortfarande, exempelvis klasslistor.

Pernilla Rönn tror att det kan finnas stora skillnader i beredskap mellan olika skolor, delvis baserat på storlek och region. Mindre skolor med begränsade resurser – och som kanske kommit en kortare bit i digitaliseringsarbetet generellt sett – har mer att arbeta på fram tills maj.

– Större verksamheter med ett genomgående utvecklat digitalt arbete har lättare framöver än exempelvis dem som fortfarande sköter personuppgifter manuellt, de kommer få göra stora förändringsarbeten. Där handlar det mycket om att öka medvetenheten hos lärarna när det gäller säkerhetsfrågor, och det är inte bara en teknikfråga som handlar om var i systemen och processerna som de känsliga uppgifterna finns, utan även om medvetenheten hos dem som hanterar uppgifterna.

Hur bör skolor gå tillväga?

– De måste göra ett analysarbete där de kartlägger och identifierar processerna och sammanhangen som hanterar personuppgifter. Det ska de göra för att se vilka risker det kan medföra den egna verksamheten men också personen som man hanterar. Att göra sin läxa och kartlägga sin informationssäkerhet från början är jätteviktigt. Man behöver inte vara färdig med allt när maj 2018 kommer, men man måste ha gjort analysen och ha planen klar för sig hur man i verksamheten hanterar persondata och uppgifter.

Som tidigare nämnt kan skolor ibland vara sämre förberedda beroende på att de har så många andra fokusfrågor hela tiden. En annan anledning kan, enligt Pernilla Rönn, vara att personlig integritet och säkerhet aldrig varit en naturlig del av arbetet tidigare. Nu tvingas de ha det perspektivet på ett annat sätt än tidigare.

– Många skolor behöver förmodligen några föregångsexempel där de anställda kommit långt och börjat tänka i rätt banor kring hantering, säkerhetsåtgärder, skydd och så vidare. Men dessa utmaningar finns inte bara i Sverige, de ser likadana ut i hela Europa.