6.1 N ULÄGET
6.1.2 Antagningssystemet NyA
Den lösning som VHS använder för sökande via NyA-systemet är i korthet följande.
Den sökande skickar sin anmälan tillsammans med alla meriter till en speciell adress (VHS i Stockholm). Om den sökande omfattas av sekretess i folkbokföringen, tilldelas han/hon ett interimspersonnummer och anmälan registreras i NyA. Som för- och efternamn registreras
”Uppgift saknas”. Kopplingen mellan det verkliga personnumret och interimspersonnumret finns hos en handläggare hos VHS. Meriterna skannas inte utan finns endast i pappersform hos
handläggaren. Handläggaren bedömer behörighet och meriter manuellt och besluten och meritvärdena dokumenteras i NyA-systemet på interimspersonnumret. Om bedömningar måste göras även på högskolorna, samarbetar högskolans handläggare med VHS handläggare. Behöver högskolan se insända handlingar kopieras dessa på VHS och skickas till högskolan.
Brev, kontrollbesked och antagningsbesked till den sökande skickas via Skattekontoret. När antagningen är avslutad, skickas en lista över de sökande till respektive högskola. Listan innehåller kopplingen mellan interimspersonnummer och verkliga personuppgifter samt antagningsresultatet. Efter avslutad antagning makuleras alla handlingar.
Högskolan svarar sedan för den fortsatta hanteringen av uppgifterna enligt den praxis man utarbetat. När antagningsresultatet förs in i Ladok, väljer många högskolor att använda den sökandes verkliga personnummer i stället för att fortsätta dokumentationen på
interimspersonumret.
Den lösning som VHS valt innebär att den sökande måste skicka in alla meriter vid varje ansökan. Automatisk överföring av eventuella högskolemeriter från Ladok fungerar inte, eftersom identifikationsbegreppen i de två systemet är olika.
Vad innebär de nya bestämmelserna? Till skillnad från tidigare kan och skall vissa uppgifter om en student omfattas av sekretess i förekommande fall. Rutiner och beslutsordning för
sekretessfrågor måste därför fastställas vid varje högskola respektive vid VHS, oavsett tekniska lösningar i de administrativa systemen. Förändringarna i sekretesslagen medför också att den berörda personalen behöver utbildning om de nya bestämmelserna. Sökande och studenter behöver informeras om vad som gäller.
I följande avsnitt beskrivs hur rutinerna skulle kunna se ut och vilka överväganden som kan bli aktuella i verksamheten. Syftet med beskrivningen är att vara ett underlag i den följande analysen av vilka tekniska lösningar som skulle kunna vara ett stöd i hanteringen. De faktiska rutinerna måste naturligtvis varje myndighet stå för.
6.2.1 Ansökan om sekretess och beslut
Högskolan/VHS behöver inte efterfråga om en sökande/student har ett skyddsbehov eller inte.
Studenten måste istället själv signalera att sekretess önskas. Detta kan ske genom att han/hon ansöker om skydd och visar handlingar som styrker behovet. Högskolan/VHS fattar beslut om att skyddsbehov föreligger och hur länge detta gäller. Här måste lagens begrepp ”men” tolkas av myndigheten. Beslutet innebär att en sekretessprövning ska göras varje gång uppgifter ska lämnas ut om den sökande/studenten ifråga. Den sökande/studenten anses med andra ord vara
skyddsvärd.
Beslut om att en student är skyddsvärd skulle eventuellt också kunna fattas genom att
högskolan/VHS accepterar den sekretessmarkering som finns i folkbokföringen som sitt eget beslut. Detta kan ske genom att studenten aktivt påtalar att han/hon omfattas av sekretess i folkbokföringen och styrker detta. Det skulle också kunna ske indirekt genom att högskolan/VHS hämtar adressuppgifter för sökande/studenter från folkbokföringen och därigenom får kännedom om vilka av dessa (personnummer) som har sekretessmarkering där. En sådan rutin innebär att högskolan/VHS tillämpar samma kriterium för ”men” som skatteverket i dessa fall.
Beslutet meddelas studenten.
Hur kan besluten sedan hanteras vid VHS/högskolan så att sekretessen kan skötas enligt lagens krav?
Varje fråga om utlämnande av uppgifter måste matchas mot gällande beslut om skyddsvärda studenter. Finns det risk för men, ska uppgifterna inte lämnas ut. Är det å andra sidan riskfritt, ska de lämnas ut. Om någon notering av skyddsvärda studenter inte förs in i NyA/Ladok, måste uppgifter om sökande/studenter från systemen kunna ”tvättas” med hjälp av ett separat internt register över skyddsvärda studenter. Detta medför sannolikt att utlämnandet måste centraliseras vid högskolan/VHS, eftersom all personal inte bör ha tillgång till vilka studenter som kan omfattas av sekretess.
Om Ladok och NyA ska kunna användas som hjälpmedel i hanteringen av sekretess, måste besluten dokumenteras i respektive system. Med hjälp av dessa uppgifter kan myndigheten sedan
ut eller inte. Även här är troligen en centralisering av hanteringen nödvändig.
En konsekvens av sekretesslagen kan därför vara att frågor om utlämnade av uppgifter bör centraliseras och hanteras av få medarbetare, oavsett om något systemstöd finns eller inte.
6.2.2 Intern hantering av uppgifter vid högskolan
Tusentals anställda i landet hanterar idag uppgifter om studenter i samband med antagning, registrering och examination. Det gäller lärare, administratörer, Ladok-användare,
studievägledare med flera. Uppgifter tas också fram för uppföljning och andra ändamål.
Införandet av Ladok på webb, LPW, har inneburit att uppgifter i systemet har gjorts tillgängliga för än flera än tidigare, både studenter och personal. En lärare kan göra en uppföljning på sin kurs utan att behöva gå via institutionens expertanvändare. Studenter kan exempelvis ha tillgång till kontaktuppgifter om andra studenter på samma kurs.
Sekretessen gäller inte inom studiedokumentationen vid myndigheten. Då uppgifter hanteras av anställda behöver ingen sekretessprövning göras.
Då uppgifter hanteras i närvaro av andra studenter eller synligt för andra än personal, måste sekretesslagen beaktas. Exempel kan vara när studenter anmäler sig till undervisningsgrupper genom att anteckna namn och personnummer på listor, då närvarolistor med namn cirkuleras vid undervisningstillfällen, då tentamensresultat anslås och liknande situationer. För en skyddsvärd student, kan dessa situationer innebära en risk, eftersom han/hon exponeras för andra studenter, som inte omfattas av sekretesslagens förbud mot att röja uppgifter.
Högskolans öppna lokaler innebär också att allmänheten har tillträde och lätt kan ta del av uppgifter på exempelvis anslagstavlor.
Uppgifter bör alltså inte spridas eller exponeras i onödan eftersom risken då ökar för att de kommer på avvägar.
6.2.3 Utlämnande av uppgifter till enskild
När en fråga kommer från en enskild eller organisation med en begäran om att få ta del av personuppgifter där en eller flera skyddsvärda studenter ingår, måste en prövning göras. Kan uppgiften lämnas ut utan men? Det får avgöras från fall till fall av den som är ansvarig enligt högskolans/VHS beslutsordning.
Ett behov av en förteckning eller liknande över skyddsvärda studenter är nödvändig för att prövningen ska kunna göras. Om de berörda studenterna markeras i NyA/Ladok kan systemen användas som hjälpmedel.
6.2.4 Utlämnande av uppgifter till andra högskolor, VHS och CSN
Högskolorna, VHS och CSN samarbetar och samverkar i ärenden som rör studenter och sökande.
Målet har varit att rationalisera verksamheten. Data om enskilda studenter skickas regelbundet mellan systemen. I korthet sker följande idag.
underlätta handläggningen av ansökningar om examen och tillgodoräknanden. Hämtade uppgifter lagras tillfälligt i den egna databasen.
I samarbetet kring antagningen i NyA skickas studieuppgifter från Ladok till NyA för de studenter som anmält sig. Uppgifterna är underlag för beslut om studenters behörighet och meriter till de sökta utbildningarna. Antagningsresultatet skickas från NyA till respektive högskola och läses in i Ladok.
CSN får studentuppgifter från Ladok-systemet (registreringar och resultat) och från NyA (antagningsuppgifter).
Enligt 14 kap 1 § i sekretesslagen, kan uppgifterna fortsätta att lämnas på samma sätt eftersom detta finns reglerat i den s.k. studiedokumentationsförordningen (SFS 1993:1153). Uppgifterna bör ”flaggas” vid överföringen.
6.3 Volymer
I folkbokföringen omfattas ca en promille av befolkningen av sekretessmarkering eller kvarskrivning. Vid ett universitet med 30 000 studenter skulle det motsvara ett trettiotal. Vid landets alla högskolor med totalt 350 000 aktiva studenter skulle 3 – 400 studenter beröras.
Antal sökande via VHS uppskattas vara 300 000 inför en hösttermin. Några hundra sökande berörs.
7 Olika lösningar
Hanteringen av sekretess inom högskolan är en fråga som omfattar alla verksamhetsgrenar och all personal som hanterar sökande och studenter. Föregående avsnitt har visat att frågor om sekretess inte bara handlar om hinder för utlämnade av uppgifter. Den utbredda hanteringen av uppgifter internt vid högskolan kan också vara en riskfaktor. Det finns ett behov av att ge de skyddsvärda studenterna ett bra skydd mot felaktigt utlämnade av uppgifter, och att säkerställa att hanteringen av personuppgifter vid undervisningen och i andra situationer sker på ett sätt som inte äventyrar skyddet.
De tekniska systemen Ladok och NyA kan inte lösa alla frågor som har med sekretess att göra.
Systemen får ses som delar i ett större sammanhang där varje myndighet måste utforma sina lösningar. Systemen kan däremot understödja arbetet med sekretess genom att anpassas på olika sätt. Det är också möjligt att lösa frågan om sekretess utan systemändringar. De följande
avsnitten beskriver tre olika lösningar, var och en med sina för- och nackdelar.
För en fungerande lösning vid varje högskola behövs
• Lokala rutiner
att en student är skyddsvärd, dokumentera beslutet, hantera sekretessbelagda uppgifter internt på ett betryggande sätt samt göra sekretessprövning vid utlämnande av uppgifter.
• Flaggning av uppgifter till samverkande myndigheter
o Då uppgifter om skyddsvärda studenter skickas från en myndighet till en annan, bör de flaggas (högskola, VHS, CSN).
• Eventuellt tekniskt stöd i Ladok respektive NyA
o Ändringar i Ladok-systemet och NyA som underlättar tillämpningen av sekretesslagen.
7.1 Manuell dokumentation
Denna lösning innebär att berörda sökande/studenter inte dokumenteras alls i NyA och Ladok utan handläggs helt manuellt vid sidan av systemen. Studiedokumentationen sköts exempelvis av en person centralt vid högskolan i samverkan med berörda institutioner. Studieuppgifterna arkiveras centralt. Studenten förses med ett intyg/beslut över hur studiedokumentationen ska gå till. Studieintyg, antagningsbesked och liknande skrivs manuellt. En liknande hantering sker vid VHS.
Inga tekniska ändringar behöver göras i systemen. Relativt få personer hanterar uppgifterna, varför risken för att de ska lämnas ut felaktigt är liten.
För institutionerna blir administrationen av studenterna mer komplicerad. Högskolans
ekonomiska ersättning för helårsstudenter och helårsprestationer uteblir. Lokala system som idag bygger på Ladok måste hitta egna lösningar (studentkonton, studentportal, nycklar och
passerkort, bibliotekskort, lärplattformar m.m.).
För studenterna själva påverkas tillgången till webbtjänster i NyA och Ladok, liksom de interna systemen vid högskolan.
7.2 Sekretessmarkering
Denna lösning bygger på att en sekretessmarkering införs i Ladok och NyA för berörda sökande och studenter, dvs. de som är skyddsvärda. Sekretessmarkeringen innebär en ”flaggning” av studenterna ifråga. Dessutom lagras uppgifter om besluten såsom tidsperiod, beslutsfattare m.m.
Med hjälp av sekretessmarkeringen kan systemen utformas på olika sätt för att stödja tillämpningen av sekretessbestämmelserna.
Alternativ 1 – signal om sekretess
NyA och Ladok förses med en signalfunktion. Den fungerar så att varje gång en användare anger ett personnummer för en student som är skyddsvärd, får denne en varning, ”sekretessprövning
studenter som innehåller en eller flera som är skyddsvärda. Då en utskrift på skärm eller papper görs, skrivs uppgiften ”sekretess” ut. I övrigt innehåller utskrifter/listor alla uppgifter som normalt ska finnas.
Högskolan/VHS har interna regler som styr hur uppgifter med sekretessignal får användas (exempelvis att de inte får lämnas ut externt av vem som helst, anslås på anslagstavlor eller cirkuleras bland studenter).
Lösningen innebär att arbetet med antagning och studiedokumentation kan ske som vanligt utan några hinder. Alla systemanvändare har tillgång till alla uppgifter om alla studenter och kan hantera dem utan restriktioner i enlighet med den behörighet användaren har i systemen. Det förutsätter att användarna är välinformerade om och följer reglerna. En viss risk finns för att uppgifterna sprids på ett felaktigt sätt.
En nackdel är att studenten i någon mån pekas ut varje gång någon användare hanterar data där han/hon ingår. I stället för att vara en bland alla andra studenter, blir den berörde ”den som har sekretess”.
Lösningen innebär att ändringar behövs i samtliga funktioner i Ladok och NyA som hanterar uppgifter om studenter.
Andra interna system vid högskolan som omfattar studenter måste också anpassas till sekretess för att säkerställa att uppgifter inte lämnas ut felaktigt eller kommer i orätta händer. Det gäller inte minst system som hämtar data från Ladok.
En vidareutveckling av detta alternativ skulle vara att införa en möjlighet att ta bort uppgifter om skyddsvärda studenter från listor etc.
Alternativ 2 – tillgång till skyddade uppgifter begränsas
Denna lösning är en vidareutveckling av det förra förslaget. Den innebär att endast vissa behöriga användare får se och hantera uppgifter om skyddsvärda studenter. En behörig användare kan göra det som normalt ligger inom ramen för dennes behörighet, oavsett om det gäller en student med skydd eller inte.
En användare som inte är behörig, kan inte se eller hantera några uppgifter om dessa studenter.
Om en obehörig användare anger ett personnummer för en student som är skyddsvärd, skrivs
”sekretess” ut och inga mer uppgifter visas. Användaren får då vända sig till den som är behörig för att ta del av uppgifterna.
Om den obehörige användaren gör en utsökning av en grupp studenter, där en skyddsvärd student ingår, skrivs inga uppgifter om denne ut. För en kurs där det finns 30 deltagare och en är
skyddsvärd, skrivs endast 29 studenter ut på en lista över registrerade (ev. med tillägget ”samt en med sekretess”). Även här får han/hon vända sig till en behörig användare för att få ta del av uppgifterna.
En nackdel med denna lösning är att olika användare får olika resultat i Ladok, vilket kan leda till förvirring om databasens tillförlitlighet. En behörig användare får ut 30 studenter på sin lista,
av sin kurs undrar varför Olle som går på kursen inte finns med. En tolkning är att något blivit fel med registreringen, varpå läraren uppmanar Olle att registrera sig, vilket han redan gjort. En annan är att han sluter han sig till att Olle omfattas av sekretess, vilket i någon mån innebär att Olle utpekas.
Lösningen innebär dock att antalet användare som får tillgång till uppgifter om skyddsvärda studenter kan begränsas. Risken för felaktig spridning av uppgifterna är därför liten. En nackdel är att högskolans rutiner för registrering, examination och resultatrapportering påverkas. Vanliga användare lägger in och tar fram uppgifter om ”vanliga” studenter. Andra användare har tillgång även till dem som är skyddsvärda. Administrationen kan bli mer tungrodd och tidskrävande.
Lösningen innebär att ändringar behövs i samtliga funktioner i Ladok och NyA som hanterar personuppgifter. Vidare måste behörighetssystemen anpassas. Förslaget är mer resurskrävande än alternativ 1.
Lokala system påverkas på samma sätt som i alternativ 1.
Alternativ 3 – tillgång till skyddade uppgifter styrs av användarens roll och organisatoriska hemvist
Denna lösning är en vidareutveckling av alternativ 2 och innebär att Ladoks/NyAs
behörighetssystem utvecklas så att olika användare har tillgång till olika uppgifter beroende både på deras arbetsuppgifter (roller) och organisatoriska hemvist. Varje användares rättigheter skulle kunna skräddarsys i större utsträckning än vad som är möjligt idag.
Exempelvis skulle en lärare kunna ha tillgång till uppgifter om alla studenter på den kurs han/hon är ansvarig för, inklusive de skyddsvärda. För andra kurser, skulle han/hon endast kunna se studenter utan skyddsbehov. En institutionssekreterare skulle kunna ta fram utdata över alla studenter på institutionens utbildningar men inte över utbildningar som ges av andra institutioner.
Ett helt nytt behörighetssystem skulle behövas i Ladok. Samtliga rutiner som hanterar studenter berörs också, vilket är ett mycket omfattande arbete. Förslaget kräver mer resurser än alternativ 2.
Den lokala administrationen av användare och deras behörighet blir omfattande.
7.3 Alias via interimspersonnummer
Denna lösning innebär att ett alias används om skyddsbehovet bedöms omfatta personuppgifter och namn, dvs. för identiteten. Syftet med alias är att förebygga att uppgifter om sökande och studenter oavsiktligt röjs av VHS och högskolan.
Bakom varje alias finns de verkliga personuppgifterna, men tillgängliga bara för några få behöriga systemanvändare. (Ett alias behövs inte om studenten enbart vill undvika att hans eller hennes adress exponeras. I dessa fall ska inte adressen inte dokumenteras i systemen.)
Alias är det identifikationsbegrepp som används i det dagliga arbetet vid VHS/högskolan. Vid externt utlämnande av uppgifter, används de verkliga uppgifterna.
Han/hon tilldelas ett interimspersonnummer, dvs. samma typ av identifikationsbegrepp som används för utländska studenter eller svenskar födda i utlandet. Födelseår, månad och dag sätts till något annat än det faktiska födelsedatumet. Efternamn och/eller förnamn kan vid behov också modifieras. Den tidsperiod som sekretessen gäller dokumenteras, liksom övriga uppgifter om beslutet.
När beslutet har fattats skulle studenten eventuellt kunna få ett intyg över kopplingen mellan sina verkliga personuppgifter och sitt alias (”Olle med personnummer 810101-0000 dokumenteras i NyA/Ladok som Ove med interimspersonnummer 820202-T000”).
Under studietiden används alltid studentens alias vid inläggning av uppgifter i Ladok. Varje högskola måste skapa en rutin för de situationer där studenten måste legitimera sig, t.ex. vid tentamen. Detta skulle kunna göras med hjälp av intyget ovan, men andra metoder kan också finnas.
Kopplingen mellan alias och de verkliga uppgifterna om personnummer och namn dokumenteras i systemen, men är tillgängliga endast för få systemanvändare, exempelvis Ladok-ansvariga och produktionsansvariga för antagningen. På det sättet kan ett alias alltid kopplas till rätt student.
När sekretessen inte längre gäller ska användningen av alias upphöra och studieuppgifterna visas därefter under studentens verkliga identitet.
I samband med externa förfrågningar, finns dock ett behov av att kunna se om en viss student omfattas av skydd eller inte för att kunna hantera frågor om utlämnande av uppgifter på ett korrekt sätt. Detta kan lösas på så sätt att vid personnummersökning via det verkliga personnumret skickar systemen en signal, t.ex. ”uppgift kan inte lämnas, kontakta
systemansvarig”. Inga fler uppgifter visas. Anger man däremot interimspersonnumret, får man fram uppgifter som vanligt. Studenterna kommer också med i form av sitt alias när t.ex. en studievägledare vill göra en uppföljning över en kurs, eller då en antagningslista ska tas fram. Att de sökande och studenterna skulle kunna lida något men av detta är osannolikt.
När det gäller utlämnade av uppgifter om en enskild student, måste frågeställarens rätt att
överklaga ett nekande beslut beaktas. Bedömning av om uppgifter kan lämnas ut eller inte, måste alltså hanteras av den eller de medarbetare som har tillgång till de verkliga uppgifterna. Det innebär att om en institutionssekreterare får en fråga om uppgifter om ett visst personnummer, och Ladok visar ”uppgift kan inte lämnas, kontakta systemansvarig” för personnumret ifråga, måste frågan slussas vidare till den som är ansvarig och som då avgör om uppgifter kan lämnas ut eller inte.
Varje högskola måste ta ställning till hur man ska hantera begäran om uppgifter om grupper av studenter, så kallade massuttag, exempelvis en lista över alla deltagare i en viss kurs. Eventuella skyddsvärda studenter kommer med i form av sitt alias. Högskolan måste själv bestämma om studenterna ska exkluderas från listan eller inte. Detta får i så fall göras manuellt.
Utbyte av data mellan högskolor/VHS/CSN kan ske utan problem genom att kopplingen mellan alias och verkligt personnummer används och att en flagga skickas med. Vid överföringar till SCB används korrekta personnummer.
Lösningen innebär måttliga systemändringar i Ladok och NyA.
Kringsystem vid högskolan som bygger på Ladok påverkas inte.