Dataskyddet inom fostrans- och utbildningssektorn är satt under lupp efter det massiva dataintrånget där bland annat känsliga personuppgifter om barn och unga har läckt.
Svenska Yles genomgång av Helsingfors stads databokslut åren 2020-2022 avslöjar nu bristande kunskaper i datasäkerhet vid fostrans- och utbildningssektorn.
Bara 310 av 15 000, eller två procent av de anställda vid sektorn hade 2022 gjort det datasäkerhetstest som alla ska göra. Testet går ut på att se en video om datasäkerhet och svara på frågor om ämnet. Testet heter DigiABC.
Under hälften har gjort testet
Helsingfors databokslut för 2023 är ännu inte offentligt.
Men stadens dataskyddsombud har färsk statistik som visar att situationen under 2023 blev bättre. Då gjorde 38 procent av personalen inom fostrans- och utbildningssektorn datasäkerhetstestet. Det här är drygt 5 600 anställda.
Under hösten 2023 skrev ändå JHL:s huvudförtroendeman för skolpersonalen i Helsingfors i en blogg att ”många har ännu inte genomfört DigiABC och alla ska göra det”.
Statistiken visar att från 2022 till och med slutet av april 2024 har under hälften, eller 44 procent, av personalen vid daghem och skolor gjort datasäkerhetstestet.
”Ett betydande problem att cheferna inte kräver”
Det är cheferna som ska se till att de anställda går utbildningen och prestationen ska dokumenteras. Men cheferna inom fostrans- och utbildningssektorn verkar inte kräva det här.
Stadens dataskyddsombud skriver i 2022 års bokslut: ”Redan under de två senaste åren har ett betydande problem varit att cheferna inte kräver att nyanställda går grundutbildningen i datasäkerhet. Problemet har heller inte försvunnit år 2022”.
Liknande formuleringar finns i databoksluten för åren 2020 och 2021.
”Jag skulle inte stirra på en enskild siffra och skuldbelägga cheferna för det”
Chefen för fostrans- och utbildningssektorn Satu Järvenkallas medger att starten har varit svår när det gäller att få personalen att gå utbildningen i datasäkerhet.
– Vi har vidtagit åtgärder som att ha med datasäkerheten i inskolningen av personalen. Vi är en stor sektor och har personal på över 600 adresser.
– Våra anställda är fast med barn och unga och sitter inte hela tiden på kontoret. Vi har målmedvetet jobbat med det här. Vi har diskuterat det inom ledningen och möjligheterna att utbilda sig har ökat, säger Järvenkallas.
Våra anställda är fast med barn och unga och sitter inte hela tiden på kontoret
Satu Järvenkallas
Hur är det då möjligt att stadens dataskyddsansvariga flera år i rad lyft upp samma problem inom sektorn utan att det har åtgärdats?
– Vi jobbar med det här hela tiden och har kraftigare tagit med det i inskolningen. Vi har förbättrat informationen kring DigiABC med brev till cheferna, anvisningar och uppdateringar i lärarrummet.
Varför kräver inte cheferna att nyanställda utbildas i datasäkerhet?
– Jag skulle inte stirra på en enskild siffra och skuldbelägga cheferna för det. Vi har verkligt kortvariga vikarier och cheferna behöver fundera på när testet kan göras. Det är en etablerad del av introduktionen.
Antalet incidenter ökar för att alla inte gör testet
En följd av att alla inte gör testet är att antalet personuppgiftsincidenter ökar, skriver dataskyddsombud i databokslutet för 2022.
En personuppgiftsincident är en händelse som leder till att personuppgifter förstörs, försvinner, ändras eller olovligen överlåts eller hamnar i händerna på en aktör som saknar rätt att behandla dem.
Basförståelsen av hanteringen av personuppgifter i arbetet är bristfällig
”Det handlar ofta om elementära misstag i tillvägagångssättet som beror på att basförståelsen av hanteringen av personuppgifter i arbetet är bristfällig (översatt från finska)”, skriver dataskyddsombud.
Sektorchefen Satu Järvenkallas ser inte det ökande antalet incidenter som en dålig sak. Istället visar det att personalen är medvetna om sina egna misstag.
– Jag är nöjd med att anställda anmäler och ser att det går åt rätt håll. Kunskaperna har ökat, men vi ska fortsätta ha det här på agendan, säger hon.
”Kan innebära en hög risk för skyddet av personuppgifter”
Stadens dataskyddsombud oroas också över att man i skolor och läroanstalter har tagit i bruk studieprogram och applikationer utan att bedöma inverkan på datasäkerheten. Det här kan innebära en hög risk för skyddet av personuppgifter.
Det finns också problem med datasäkerheten inom andra sektorer vid Helsingfors stad än fostrans- och utbildningssektorn.
Men fostrans- och utbildningssektorn ska skydda barn som inte alltid själva är medvetna om riskerna med hanteringen av personuppgifter. Därför bör man särskilt sträva efter att skydda deras personuppgifter, skriver dataskyddsombudet Tiina Kangas i databokslutet för 2022.
Kangas slutade vid staden hösten 2023 och Helsingfors har nu ett nytt dataskyddsombud, Sofia Kallio.
Server som inte uppdaterats möjliggjorde dataintrång
Sektorn har nyligen utsatts för ett massivt dataintrång som Helsingfors stad informerade mer om i måndags. Dataintrånget kom till stadens kännedom den 30 april.
Dataintrånget möjliggjordes av att en server inte hade uppdaterats fastän den borde. Staden har inte kunnat svara på varför uppdateringen inte gjordes.
Sektorchefen Satu Järvenkallas ser inte en koppling mellan dataintrånget och kunskapsbrister i datasäkerheten bland sektorns personal.
Berör också handlingar med känsliga personuppgifter
Den eller de som gjorde dataintrånget har fått tillgång till alla stadens anställdas användarnamn och e-postadresser samt personbeteckningar och adresser till elever, studerande, vårdnadshavare och personal vid fostrans- och utbildningssektorn.
Dataintrånget berör sammanlagt tiotals miljoner dokument varav största delen är handlingar som inte innehåller sekretessbelagd information. Men bland dokumenten finns också handlingar som innehåller sekretessbelagd information eller känsliga personuppgifter.
Det kan handla om känslig information om barnens situation, läkarutlåtanden om orsaker för att avbryta läroplikten för studerande på andra stadiet samt information om personalens sjukfrånvaro.
Titeln ”dataskyddsansvarig” har ändrats till ”dataskyddsombud” den 16.5 kl.9.38.