Ny granskningsrapport. Hjärntorget, webbportalen för Göteborgs skolor, får kritik av stadsrevisionen i en ny granskning. Säkerheten är god men behöver förstärkas på vissa områden. Dessutom finns kritik mot hur systemet används ute i skolorna och stadsdelarna. Revisorerna ger tolv rekommendationer för att undvika att känslig information hamnar i orätta händer.

– Vi ifrågasätter inte kritiken, säger Karin Wennbo, systemansvarig för utbildningsområdet på stadsledningskontoret.

– Nu gör vi allt vi kan för att komma till rätta med kritiken och ändå ha ett så användarvänligt system som möjligt, fortsätter Karin Wennbo.

En del i det granskande arbetet
Stadsrevisionen konstaterar i rapporten att det förekommer känslig information i Hjärntorget och att det finns risk för att skolor bryter mot offentlighets- och sekretesslagen och mot personuppgiftslagen.

Granskningen har inte gjorts på grund av att känslig information har kommit i fel händer, utan är helt enkelt en del i Stadsrevisionens granskande arbete. Och på ett övergripande plan bedöms säkerheten som god.

– Revisorerna konstaterar att systemet är säkert, med inloggningsrutiner och krypterade data, säger Karin Wennbo.

­ Men när det handlar om de individuella utvecklingsplanerna gör revisorerna bedömningen att man ska logga in med stark autentisering, inte bara användarnamn och lösenord.

Inloggning med engångskoder från i höst
En stark autentisering kräver till exempel e-legitimation eller engångskoder via sms. Fast egentligen ska det inte förekomma känsliga eller sekretessbelagda uppgifter i en individuell utvecklingsplan.

– Så står det i de förordningstexter som styr de individuella utvecklingsplanerna och det har vi utgått från. När nu revisorerna ändå hittat sådana uppgifter får vi rätta oss efter det. Redan till höstterminen kan vi ha ett en lösning med inloggning via engångskoder, säger Karin Wennbo.

Revisorerna sökte i 17.200 individuella utvecklingsplaner och hittade integritetskänslig information i 0,4 procent av dem.

– Jag ser det som ett mycket bra resultat. Sammanlagt rör det sig om 200.000 kommentarer, av vilka många är skrivna av elever och vårdnadshavare, kommenterar Karin Wennbo.

Kritiken gäller även att uppgifter om elevers personliga hälsa finns i Hjärntorget. Här rekommenderar revisorerna att den informationen helt enkelt lyfts bort från Hjärntorget och läggs in i elevhälsans eget system, PMO. Och så är det egentligen tänkt att fungera.

– Vi har två system. Hjärntorget är det pedagogiska it-stödet och PMO-stödet för elevhälsan, säger Karin Wennbo.

Elevhälsouppgifter måste tas bort
Hon påpekar att mycket av elevhälsans uppgifter har skickats in till Hjärntorget som bifogade filer. Då är det enkelt att ta bort de filerna, men detta måste göras ute på varje skola där dokumenten blivit inlagda.

En tredje kritisk punkt gäller personer med skyddad identitet. Här rekommenderas ”samtliga stadsdelsnämnder att ta fram skriftliga rutiner”. Detta arbete påbörjades i våras då stadsledningskontoret skickade ut ”Råd för hantering av skyddade personuppgifter” till förvaltningarna. Det finns också instruktioner för om hur man skapar pseudonymkonton i Hjärntorget för att skolorna ska kunna ta fram rutiner för detta lokalt.

Det är Ernst & Young som på uppdrag av Stadsrevisionen har granskat Hjärntorgets datasäkerhet. De har gjort egna sökningar i systemet, enkäter till skolorna och intervjuer med ansvariga på stadsledningskontoret.

Sammanlagt lägger de fram tolv rekommendationer till kommunstyrelsen och stadsdelsnämnderna för att undvika att känslig information hamnar i orätta händer.