Låt inte GDPR bli ett hot i arbetet med läs- och skrivsvårigheter

EU:s dataskyddsförordning (GDPR) innebär ett ökat skydd av elevers integritet.

Beroende på hur uppgifter samlas in vid mätning av läsförmågan kan det samtidigt innebära omfattande merarbete och oro för den enskilde läraren och ytterst bli ett hot mot det viktiga arbetet.

– De uppgifter som samlas in i samband med tester av läs- och skrivsvårigheter är ofta mycket känsliga för den enskilda eleven. I många fall hanteras dessa tester med hjälp av papper eller via e-post. Sammanställningen av resultaten kräver ofta flera steg innan de lagras i en integritetssäker miljö, säger John Boman GDPR-ansvarig på Lexplore, ett forskningsbaserat företag som arbetar med mätning av läsförmågan bland grundskoleelever.

EU:s dataskyddsförordning (GDPR) påverkar varje verksamhet i samhället som hanterar någon form av personuppgifter och gäller som lag från och med den 25 maj. En stor skillnad jämfört med tidigare lagstiftning (PuL) är att hanteringen av personuppgifter även gäller för så kallad ostrukturerad data som t.ex. e-post och elevanteckningar.

Lexplore har ställt samman en lista med råd till kommuner och skolor, som genomför eller planerar att genomföra tester av läs- och skrivsvårigheter, för att underlätta övergången till GDPR.

1. Säkerställ att ansvaret för datasäkerheten ligger centralt.

GDPR innebär att kraven på hantering av personuppgifter skärps. Om testerna genomförs på så sätt att den enskilde läraren eller specialpedagogen behöver behandla resultaten i osäkra system eller med odefinierade rutiner kan det både innebära oro och vara tidskrävande.

2. Skapa ett centralt system dit testmaterial direkt kan laddas upp.

Om testen genomförs i pappersmiljö eller där de först lagras i en lokal dator krävs flera manuella steg innan personuppgifterna lagras integritetssäkert.

3. Säkerställ kryptering och flerfaktorsautentisering.

För att göra hanteringen av personuppgifter så säker som möjligt är det viktigt att alla personuppgifter krypteras och att det krävs så kallad flerfaktorsautentisering för att få tillgång till uppgifterna.

4. Skapa särskilda behörighetsnivåer i det centrala systemet.

För att ytterligare öka säkerheten bör det centrala systemet innehålla olika behörighetsnivåer.

5. Säkerställ personbiträdesavtal med underleverantörer.

Det är viktigt att hanteringen av personuppgifter hos underleverantörer tydligt begränsas i avtal, i enlighet med GDPR.

6. Klargör informationshanteringen enligt GDPR i en särskild policy.

Upprätta slutligen en policy som tydligt beskriver hur information, kopplat till tester som görs med elever, ska hanteras.

– Allt sedan Lexplore grundades har säkerhet varit i fokus. Vårt GDPR-arbete inleddes förra sommaren. Vi har systematiskt gått igenom GDPR-förordningen för att se att systemet motsvarar alla krav och underlättar för användarna, säger John Boman.