Datasäkerhet och dataskydd - anvisning för admin

UnderhållsinstruktionerDataskydd

Uppdaterad: 19.2.2024

Den här instruktionen beskriver kortfattat vad man ur en datasäkerhetssynvinkel ska ta i beaktande då man använder Wilma. Lika viktigt som det är att ge de olika rättigheterna åt rätt personer är det även att utbilda personalen så att de följer processer som är datasäkra.

De personuppgifter som syns i Wilma kommer från läroanstaltens administrationsprogram, dvs. från Primus och dess olika register. Wilma har ingen separat databas.

Anvisningar för vårdnadshavare

Användarnamnet är personligt och ingen annan ska ha tillgång till det. Varje vårdnadshavare för ett barn ska ha ett separat användarnamn.

  • Användarnamnet och lösenordet ska aldrig ges till någon annan person.
  • Lösenordet ska vara tillräckligt svårt. Det ska inte vara möjligt att gissa sig till ett lösenord och det ska inte heller skrivas ner.
  • Användarnamnet och/eller lösenordet får inte sparas i webbläsarens minne på en enhet som används av andra personer, t.ex. av egna barn.
  • Man ska alltid logga ut ur Wilma när man avslutar användningen.
  • Mobilappen är personlig och avsedd att användas av den som äger användarkontot i den mobila enheten. Vi rekommenderar inte att man använder applikationen på en delad mobilenhet eller en i offentligt bruk.
  • På Wilmas startsida syns tidpunkten för föregående inloggning. Det lönar sig att alltid kontrollera detta och genast byta lösenord om man misstänker att någon annan har använt kontot. I fall av missbruk ska man alltid kontakta skolan eller läroanstalten.

Uppgifter som lärare och skolans personal ser

Både för skolans egen administration och för vårdnadshavarnas skull lönar det sig att dokumentera de rättigheter som tilldelas angående Wilma. Du kan använda följande utskrifter och uppgifter i Primus som hjälp:

  • Utskrifter i Primusregistret Användargrupper: Funktioner / Skriv ut / Skriv ut rättigheter. På den här utskriften kan man snabbt och enkelt se vilka grupper som har tillgång till vilka register.
  • Fältet Användargrupp i Wilma i Primus Lärare-register: visar vilka grupper respektive lärare tillhör.
  • Olika kryssfält i Primus Lärare-register, t.ex. Rätt att bearbeta val i Wilma.

Anvisningar för lärare

  • Betona för lärarna att Wilma är ett redskap för skoladministrationen. I Wilma får man inte skriva in sådana uppgifter som inte kan påvisas nödvändiga för ordnandet av elevens undervisning, såsom hälsorelaterade uppgifter.
  • Lärarna får inte avslöja information som de har sett i Wilma för andra personer, inte ens för sina kolleger.
  • Rektorn är ansvarig för de uppgifter som finns i systemet och för vem som får se dem.
  • I Wilmas loggfil sparas uppgifter om vem som har sett eller ändrat uppgifter om en studerande. Om man misstänker att någon har använt Wilma på ett felaktigt sätt kan man reda ut detta med hjälp av loggfilen.
  • Lärarna ska välja lösenord som är tillräckligt svåra. Det ska inte gå att gissa sig till lösenordet och det ska inte skrivas ner på lappar el.dyl. Om lärarna använder YubiKey för inloggning i Wilma ska den tas bort ur usb-porten genast efter inloggningen. Läraren ska alltid själv ha hand om YubiKeyn.

Dokumentens synlighet

I Wilma kan man få fram två olika typer av dokument om studeranden: utskrifter (statiska, förhandsifyllda dokument som kan printas ut) och elektroniska blanketter (ifylls i Wilma, uppgifterna sparas automatiskt i Primus).

  • Kontrollera och dokumentera vilka dokument de olika användargrupperna får se och vilka fält (=uppgifter) som visas på dokumenten. När det gäller elektroniska blanketter kan man använda en utskrift i Primus blanketteditor som hjälp: Funktioner / Skriv ut / Skriv ut blanketten / Alla uppgifter.
  • I princip kan all information som syns i Wilma tolkas som ett dokument och därför är det bra att också kontrollera vad lärarna ser t.ex. på frånvaro- eller bedömningssidan.

Vid misstänkta datasäkerhetsintrång ta först reda på fakta:

  1. vad exakt det handlar om,
  2. vilken studerande,
  3. vilken lärare,
  4. vem har sett,
  5. vad har setts,
  6. när och hur har det här upptäckts?

Innan du ytterligare tar ställning ska du reda ut om informationen överhuvudtaget finns i programmet, vem som registrerat den, och om den fortfarande syns i Wilma. Om det inte är meningen att informationens ska finnas i Wilma eller om den har skrivits in t.ex. för fel person ska du ta bort den.

Om informationen i sig är ok, men du misstänker att visas för fel personer, kan du ta bort infon helt från Wilma under tiden som du reder ut synlighets- och användarvillkoren. Det här gäller framför allt utskrifter och elektroniska blanketter.

  • Fråga den som har skrivit in informationen på vilka grunder den har skrivits in.
  • Kontrollera i Wilmas loggfil vem som har sett informationen. Visma hjälper vid behov till att läsa loggfilen.
  • Red ut saken tillsammans med personen som har skrivit informationen och personen som har sett informationen. Justera vid behov användarrättigheterna.

Lösenord som har röjts

  • Om du misstänker eller vet att en persons Wilma-lösenord har avslöjats ska användarnamnets innehavare och den säkerhetsansvariga personen omedelbart informeras om saken. Lösenordet ska bytas omedelbart och det nya lösenordet ska meddelas användarnamnets innehavare. Efter detta loggar innehavaren ännu in i Wilma och byter lösenordet
  • Kontrollera med hjälp av Wilmas loggfil hur användarnamnet har använts under t.ex. den föregående veckan. Om du misstänker brott, kontakta polisen och även vår kundsupport.

Primus sparas alla uppgifter om vem som har ändrat uppgifterna och på vilket sätt.
Som huvudanvändare kan du granska logguppgifterna i funktionen Ändringar i registret.

Endast personen med underhållsrättigheter har tillgång till Wilmas loggfil. I Wilmas loggfiler ser man vilka läshändelser som har inträffat för en viss person, d.v.s. både vad den personen har läst och i vilka händelser personen själv varit objekt. Även utskrifter sparas i loggfilen. En läshändelse i loggen innebär att någon sett uppgifterna.

OBS! Aktivitetsloggen och sidan Händelsehistorik i Wilma är två olika processer. Aktivitetsloggen är en funktion som i specialfall kan användas av administratörer och huvudanvändare medan händelsehistoriken samlar inloggningarna på Wilma-kontot. Händelsehistoriken finns tillgänglig utan särskilda inställningar i varje Wilma-kontos Kontoinställningar på fliken Händelsehistorik.

Kontakt med polisen vid behov

Inte ens huvudanvändaren i Primus har tillgång till en komplett logg över all aktivitet hos en användare.

Visma kan inte leverera logguppgifter till kunderna, men om kunden eller en annan aktör gör en polisanmälan kan polisen begära ut logguppgifter från Visma.

Den registeransvarige, ofta bildningsväsendet eller läroanstalten, måste se till att skyldigheten att tillhandahålla information om behandlingen av personuppgifter enligt GDPR iakttas. Man ska sträva efter att alla registrerade får en heltäckande och tydlig bild av behandlingen av personuppgifter som helhet.

Vi rekommenderar att man utformar ett dokument för vårdnadshavarna som innehåller information om Wilma-användningen i kommunen. I Wilma kan man få fram många olika uppgifter om studerandena, men det är upp till kommunerna/skolorna själva att avgöra vad som ska synas och för vem.

Närmare i denna anvisning: Hur personuppgifter syns i Wilma

I dokumentet kan man ge information om följande saker:

  • Vilka uppgifter det är möjligt att se om studerande i Wilma
  • Vilka dokument som kan skapas, läsas och ändras i Wilma
  • Hurdana praxis har man kommit överens om att följa?

Det är bra om dokumentet är utformat på ett detaljerat sätt och om det framgår bl.a. vad olika personer (roller) ser, t.ex.

  • rektorn
  • studiehandledaren
  • speciallärarna
  • studerandens klasslärare
  • studerandens övriga lärare
  • de som inte undervisar studeranden
  • skolgångsbiträden
  • kökspersonalen o.s.v.

Dessutom kan man beskriva de utomstående instanser som har Wilma-användarnamn, t.ex.:

  • undervisningsväsendets tekniska stöd
  • förvaltningen
  • arbetsplatshandledare
  • tandvård, hälsovård, skolpsykolog
  • skolkurator
  • eftermiddagsverksamhetens arrangörer o.s.v.

Informationskällorna ska återges kortfattat i registerbeskrivningen, men i vårdnadshavarnas dokument kan man mer utförligt beskriva överföringsprinciperna av studerandeuppgifterna mellan skolorna och myndigheterna, dvs.:

  • vilka uppgifter som fås från Myndigheten för digitalisering och befolkningsdata
  • vilka studerandeuppgifter som överförs automatiskt från en skola till en annan och vilka som överförs endast med vårdnadshavarens godkännande
  • vart, när och varför skolan skickar uppgifter om studeranden (t.ex. KOSKI)
  • vem skolan ger listor till över studerandenas namn eller andra personuppgifter, t.ex. bussbolag, prao-platser, skolfotografen osv.

När man tar i bruk anteckningsfunktionen i skolan eller läroanstalten, ska man välja vad olika användargrupper får göra. I Primusregistret Information om skolan ska man definiera de allmänna rättigheter som gäller alla lärare och alla klasshandledare.

Närmare information om att ta i bruk och administrera lektionsanteckningar finns i delen Lektionsanteckningar och frånvaro.