Hantering av sekretess i Ladok och NyA
Ingrid Sundberg och Ulf Stenport
2007-05-24
Version: 1.0
Ändringshistorik
Revision Datum Av Kommentar Granskare Godkännare
0.1 2006-11-30 I Su Lagen, olika lösningar, förslag - -
0.2 2006-12-13 Ulf Stenport .En lösning till (komb av 2
tidigare), nytt förslag, nytt kap ang
”tekniska detaljer”
- -
0.3 2007-01-10 Ingrid Sundberg Lagt till sammanfattning. Flyttat avsnitt om utlänningssekretess.
Bearbetat förslagsdelen. Tagit bort teknikspecifikation i bilaga M.m.
0.4 2007-01-31 Ingrid Sundberg Ytterligare bearbetningar.
0.9 2007-03-09 Ingrid Sundberg Bearbetningar
0.91 2007-03-30 Ingrid Sundberg Nya avsnitt 9.2 o 9.3 samt div.
förtydliganden efter önskemål av MOC
0.92 2007-04-30 Ingrid Sundberg Tillägg i slutet av avsnitt 1 o 9.
Förtydliganden i 11.3, 11.9.1 och 11.9.2.
1.0 2007-05-24 Ingrid Sundberg Textjusteringar efter förslag fr GU och Chalmers: avsn 3, 4.2, 7.3, 9.1.7, 11.3, 11.4, 11.5. Byte av
”person” till ”student”, ”korrekta personuppgifter” till ”verkliga personuppgifter” genomgående.
Innehållsförteckning
ÄNDRINGSHISTORIK ... 2
INNEHÅLLSFÖRTECKNING ... 3
1 SAMMANFATTNING... 5
2 UPPDRAGET ... 6
3 ANVÄNDA BEGREPP ... 6
4 SEKRETESSLAGEN... 7
4.1 INLEDNING... 7
4.2 LAGENS INLEDANDE BESTÄMMELSER... 8
4.3 SKYDD FÖR INDIVIDEN... 8
4.4 BEGRÄSNINGAR I SEKRETESSEN GENTEMOT SAMVERKANDE MYNDIGHETER... 9
4.5 REGISTRERING OCH UTLÄMNANDE AV HANDLINGAR... 10
4.6 ÖVRIGA SEKRETESSBESTÄMMELSER OM STUDENTER... 11
5 SEKRETESS I FOLKBOKFÖRINGEN... 11
6 RUTINER FÖR SEKRETESS ... 12
6.1 NULÄGET... 12
6.1.1 Studiedokumentationen ... 12
6.1.2 Antagningssystemet NyA ... 12
6.2 NYA RUTINER... 13
6.2.1 Ansökan om sekretess och beslut... 13
6.2.2 Intern hantering av uppgifter vid högskolan ... 14
6.2.3 Utlämnande av uppgifter till enskild ... 14
6.2.4 Utlämnande av uppgifter till andra högskolor, VHS och CSN... 14
6.3 VOLYMER... 15
7 OLIKA LÖSNINGAR... 15
7.1 MANUELL DOKUMENTATION... 16
7.2 SEKRETESSMARKERING... 16
7.3 ALIAS VIA INTERIMSPERSONNUMMER... 18
8 ÖVERVÄGANDEN ... 20
9 FÖRSLAG: ALIAS ... 20
9.1 FÖRSLAGET UR ETT VERKSAMHETSPERSPEKTIV... 21
9.1.1 Ansökan om och beslut om sekretess... 21
9.1.2 Anmälan till utbildning... 21
9.1.3 Antagningsprocessen i NyA... 22
9.1.4 Sökning efter skyddsvärd student i NyA och Ladok... 22
9.1.5 Registrering på kurs/program m.m. ... 23
9.1.6 Examination ... 23
9.1.8 Uttag av uppgifter - utdata... 23
9.1.9 Ladok på webb ... 24
9.1.10 Ping ... 24
9.1.11 Ladok Open och NyA Open ... 24
9.1.12 Kommunikation med andra system inom den egna högskolan ... 24
9.1.13 CSN... 24
9.1.14 SCB... 25
9.1.15 När skyddsbehovet upphör ... 25
9.1.16 När behov av skydd uppstår under studierna ... 25
9.1.17 Gallring av uppgifter ur Ladok ... 25
9.1.18 Uppgifter till studentkårer ... 25
9.2 SAMORDNING MELLAN MYNDIGHETERNA... 25
9.3 FÖRSLAGET OCH FÖRORDNINGEN OM REDOVISNING AV STUDIER... 26
9.4 ÄNDRINGAR I SYSTEMEN... 26
10 FORTSATT ARBETE ... 26
11 BILAGA 1: NY OCH ÄNDRAD FUNKTIONALITET I NYA OCH LADOK ... 28
11.1 NY FUNKTION FÖR DOKUMENTATION AV SKYDDADE STUDENTER... 28
11.2 ÖVERFÖRINGAR AV UPPGIFTER... 28
11.2.1 Hämtning av akademiska meriter från Ladok ... 28
11.2.2 Hämtning av underlag för anmälan till kurs inom program från Ladok... 29
11.2.3 Hämtning av slutbetyg från BEDA ... 29
11.2.4 Hämtning av adresser från SPAR eller Skatteverket ... 29
11.2.5 Överföring av urvalsresultat till Ladok ... 29
11.2.6 Överföring av person- och antagningsuppgifter till CSN... 30
11.2.7 Överföring av studentuppgifter till SCB ... 30
11.2.8 Ping ... 30
11.3 SÖKNING I LADOK OCH NYA PÅ PERSONNUMMER... 30
11.4 INTYG, KURSBEVIS OCH ANTAGNINGSBESKED UR LADOK... 30
11.5 EXAMENSBEVIS... 31
11.6 LADOK PÅ WEBB... 31
11.7 ANTAGNINGS- OCH KONTROLLBESKED UR NYA ... 31
11.8 INTYG ÖVER ALIAS OCH VERKLIGA PERSONUPPGIFTER... 32
11.9 PERSONNUMMERBYTE OCH GALLRING... 32
11.9.1 Personnummerbyte ... 32
11.9.2 Gallring ... 32
1 Sammanfattning
Den nya sekretesslagen innebär att uppgifter om sökande till och studenter vid högskolan, som tidigare varit offentliga, nu kan omfattas av sekretess. Det medför att rutiner måste finnas inom både antagningsverksamhet och studiedokumentation för att hantera sekretessfrågor.
Ladok-konsortiet och NyA-förvaltningen vid Verket för högskoleservice, VHS, har därför initierat en utredning om hur NyA-systemet och Ladok eventuellt kan anpassas för att stödja tillämpningen av lagen. Denna rapport innehåller en genomgång av bestämmelserna i lagen och förslag till hur systemen ska ändras.
Prövningen av sekretess måste fungera tillfredsställande i samband med ett eventuellt utlämnade av uppgifter externt. Vidare är det viktigt att de uppgifter om studenter som hanteras inom högskolan i exempelvis undervisningen sker på ett betryggande sätt så att uppgifterna inte röjs oavsiktligt.
Den lösning som förordas för Ladok och NyA innebär att sökande och studenter som av högskolan/VHS beslutats ha ett skyddsbehov enligt lagen, tilldelas ett alias. Alias är en intern kod. Som kod används ett så kallat interimspersonummer (se ordlista, avsnitt 3), samt eventuellt ett modifierat för- och efternamn. Alias används internt inom all antagningsverksamhet och studiedokumentation. Bakom alias finns i systemen de verkliga personuppgifterna, men dessa är endast tillgängliga för en liten kategori systemanvändare. De verkliga uppgifterna används då personuppgifter lämnas ut externt, t.ex. till andra myndigheter eller till enskilda.
Lösningen innebär att det alltid är möjligt att identifiera den enskilda studenten, men detta kan bara göras av några få. För övriga systemanvändare och personal är det alltid alias som används.
Det blir därmed osynligt för dessa att individen har ett skyddsbehov. Risken för oavsiktlig spridning av de korrekta uppgifterna blir därför obefintlig.
Individen får ett gott skydd internt vilket är nödvändigt i en så stor verksamhet som antagning och studiedokumentation. Samtidigt påverkas inte de administrativa rutinerna för antagning och studiedokumentation mer än marginellt. Det behövs dock speciella rutiner då studenten ska identifiera sig vid exempelvis examination. Hur dessa ska utformas, måste beslutas av varje högskola. En konsekvens av lösningen blir också att frågor om utlämnade av uppgifter om en viss sökande eller student måste hanteras av den/de vid respektive myndighet som har tillgång till uppgifterna bakom alias.
Utbytet av data mellan högskolor och VHS, samt leverans av uppgifter till CSN kan fortsätta som förut. Vid överföringarna ”flaggas” de berörda sökandena/studenterna.
De ändringar som behöver göras i NyA och Ladok är måttliga. Ny funktionalitet behövs för att dokumentera kopplingen mellan alias och verkliga personuppgifter. Program som hanterar överföringar av personuppgifter mellan samverkande myndigheter måste anpassas, liksom rutiner för uttag av antagningsbesked och intyg till studenter.
användas eller inte.
2 Uppdraget
Denna rapport är tillkommen i samarbete mellan NyA-förvaltningen på VHS och Ladok- konsortiet. Arbetet började med en genomgång av sekretesslagens bestämmelser. Kontakt togs med ett par högskolor för att få kunskap om hur arbetet med sekretess bedrevs lokalt.
Olika tänkbara lösningar togs sedan fram och värderades. Vid ett seminarium med tio deltagare från högskolorna 2007-01-18, diskuterades den lösning som föreslås i rapporten. Bland dessa fanns Ladok-ansvariga, antagningshandläggare samt en jurist. Under arbetets gång har också personer i konsortiets beredningsgrupp, samt vissa områdesanvariga tagit del av förslagen och haft tillfälle att komma med synpunkter. Vidare har en jurist med kännedom om högskolesektorn konsulterats.
Ett behov av gemensamma riktlinjer eller rekommendationer för högskolans arbete med sekretess har kommit fram under arbetet. Kontakt har därför tagits med Expertgruppen för
studieadministration vid Sveriges Universitets och Högskoleförbund, SUHF.
3 Använda begrepp
Nedan förklaras några av de begrepp som används i rapporten.
Interimspersonnummer. Benämning på ett identifikationsbegrepp som används i Ladok och NyA för sökande och studenter som saknar svenskt personnummer. Interimspersonnumret består av födelseår, månad, dag, samt bokstaven T och tre slumpvis framtagna siffror. Exempel: 830721- T268. Generering av interimspersonnummer samordnas nationellt i NyA-systemet.
Personnummerbyte. Benämning i Ladok och NyA på förfarandet att identifikationsbegreppet i databasen ändras för en student. Exempelvis sker detta när en student som tidigare identifierats via ett interimspersonnummer, fått ett svenskt personnummer. Samtliga uppgifter flyttas då från interimspersonnumret till det svenska personnumret. Historiken behålls i form av en pekare till det gamla numret.
Sekretess. Tystnadsplikt, dvs. förbud mot att lämna ut uppgifter enligt sekretesslagen.
Sekretessbelagd. Belagd med sekretessbestämmelser enligt sekretesslagen.
Sekretessprövning. Den prövning som enligt sekretesslagen skall göras före ett eventuellt utlämnade av personuppgifter.
Skyddsbehov. En signal från en student om att han/hon vill omfattas av sekretess.
Skyddsvärd student. En student (eller sökande) som visat på omständigheter i enlighet med sekretessbestämmelsen varvid lärosätet (eller VHS) har beslutat att vidta åtgärder för att skydda
kontaktuppgifter.
Sekretessflagga. En markering som skickas tillsammans med personuppgifter för att visa att personen anses skyddsvärd av den avsändande myndigheten.
Sekretessmarkering. En markering i datasystemen som anger att en student är skyddsvärd.
4 Sekretesslagen
4.1 Inledning
Offentlighet och sekretess regleras av två lagar: tryckfrihetsförordningen och sekretesslagen.
Tryckfrihetsförordningen är en grundlag och stadgar att handlingar som inkommit till eller upprättats vid en myndighet är allmänna. Allmänna handlingar är offentliga såvida de inte omfattas av någon av bestämmelserna i sekretesslagen. Sekretesslagen innehåller en uppräkning av verksamheter och uppgifter som omfattas av sekretess. Grundprincipen är alltså offentlighet om det inte finns en bestämmelse om sekretess som kan tillämpas.
Uppgifter om anmälan till utbildning, deltagande i studier och resultat vid högskolan har tidigare varit offentliga. Vem som helst har haft rätt att ta del av uppgifter om en enskild student, t.ex. i form av ett Ladok-utdrag eller uppgifter om en grupp studenter i form av en förteckning. Någon laglig grund för att skydda uppgifter har inte funnits.
Ett par undantag fanns dock tidigare. Det ena gällde om utlämnandet av uppgifter skulle kunna användas i strid med personuppgiftslagen (denna regel gäller fortfarande). Det andra rörde den s.k. utlänningssekretessen. Även denna regel finns kvar.
Uppgifter om en students personliga förhållanden som kommit fram i kontakt med
studievägledare, kurator, psykolog eller dylikt har också varit sekretessbelagda tidigare, men inga sådana uppgifter lagras i Ladok.
Den 1 oktober 2006 trädde emellertid ändringar av sekretesslagen i kraft. Även andra uppgifter än dem ovan kan nu beläggas med sekretess. Det gäller uppgifter om en students identitet, adress, och andra liknande uppgifter. Syftet är att skydda studenter från förföljelse m.m. Den nya lagen innebär att varje högskola måste ha rutiner och beslutordningar för att handlägga ärenden om sekretess och för att göra en sekretessprövning vid utlämnandet av uppgifter om studenter. Den interna hanteringen av uppgifterna måste ske på ett betryggande sätt så att inte uppgifter röjs oavsiktligt. Detsamma gäller för VHS i antagningsverksamheten.
Nedan finns en genomgång av de bestämmelser i lagen som har bäring på verksamheten med antagning och studiedokumentation och därigenom påverkar de administrativa systemen Ladok och NyA.
1 kap i lagen innehåller övergripande bestämmelser. Bestämmelserna innebär tystnadsplikt och förbud att lämna ut allmänna handlingar i de verksamheter och under de omständigheter som lagen beskriver.
Enligt lagen innebär sekretess för en uppgift vid en myndighet att uppgiften inte får röjas för en annan myndighet i annat fall än vad som anges i sekretesslagen eller någon annan förordning som denna lag hänvisar till. Sekretess gäller också mellan olika verksamhetsgrenar inom en
myndighet om de är att betrakta som självständiga i förhållande till varandra (3 §).
Studiedokumentationen går på tvärs över varje högskola och kan därför sägas vara en och samma verksamhetsgren. Sekretess gäller därför inte inom verksamheten.
NyA är ett IT-system för handläggning av anmälningar till högskolan. VHS är huvudman för systemet. Lärosätena har via avtal med VHS tillgång till systemet. VHS har egen sekretess och har att självständigt pröva ett eventuellt utlämnande avseende uppgifter som VHS genererar i NyA. När uppgifterna sedan inkommer till en högskola, så har även högskolan att självständigt ta beslut i vad mån de uppgifter om kommer till högskolan skall omfattas av sekretess eller inte vid den enskilda högskolan.
4.3 Skydd för individen
Vilket skydd individen har regleras i 7 kap, 1 a § och 9 §.
1 a § innehåller generella bestämmelser för myndigheter:
”Sekretess gäller hos myndighet för uppgift om enskilds bostadsadress eller annan jämförbar uppgift som kan lämna upplysning om var den enskilde bor stadigvarande eller tillfälligt, enskilds telefonnummer, e-postadress eller annan jämförbar uppgift som kan användas för att komma i kontakt med den enskilde och för motsvarande uppgifter om anhöriga till den enskilde om det av särskild anledning kan antas att den enskilde eller någon honom eller henne närstående kan komma att utsättas för våld eller annat allvarligt men om uppgiften röjs.”
9 § innehåller specifika regler för utbildningsväsendet:
Fjärde stycket: ”Sekretess gäller inom utbildningsväsendet i övrigt för uppgift som hänför sig till psykologisk undersökning eller behandling och för uppgift om enskilds personliga förhållanden hos psykolog, kurator eller syofunktionär, om det inte står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom eller henne närstående lider men. …”.
Femte stycket: ”Sekretess gäller på samma område som avses i fjärde stycket i annat fall än som avses där samt hos Verket för högskoleservice i verksamhet som avser biträde vid antagning av studenter för uppgift om enskilds identitet, adress och andra liknande uppgifter om enskilds personliga förhållanden, om det av särskild anledning kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs.”
myndigheter och en annan som gäller högskolor och VHS.
De uppgifter som omfattas av sekretess vid högskolan och VHS är identitet, dvs. personnummer och namn samt adress(er) inklusive telefonnummer och e-postadress. Vidare ingår ”andra liknande uppgifter”. Detta är inte specificerat, men kan tänkas vara sådana uppgifter som kan användas för att spåra en student, exempelvis en kursregistrering. Via schemat skulle en möjlig förövare kunna hitta den undervisningslokal där studenten för tillfället befinner sig.
Hur kan myndigheten känna till att en enskild har ett skyddsbehov? Formuleringen i 9 § ”om det av särskild anledning kan antas att den enskilde lider men” är viktig. Myndigheten måste ha någon anledning att anta att den enskilde kan komma att lida men. Den som berörs måste därför själv påtala sitt behov av sekretess. Myndigheten har ingen skyldighet att aktivt samla in
uppgifter om sekretessbehov från varje individ.
Den s.k. utlänningssekretessen regleras i 14 §. ”Sekretess gäller för uppgifter om utlänning, om det kan antas att röjande av uppgifter skulle medföra att någon utsätts för övergrepp eller annat allvarligt men som föranleds av förhållandet mellan utlänningen och utländsk stat eller
myndighet eller organisation av utlänningar.”
Sekretessen gäller i högst 70 år. Det finns inga hinder för att den kan gälla under en kortare period. Detta är också det normala i folkbokföringen där sekretessmarkeringar omprövas efter ca två år.
Slutsats:
o Uppgifter om sökande och studenter kan sekretessbeläggas om utlämnande innebär risk för men för dem själva eller närstående
o Den det berör måste själv påtala behovet
o Även andra uppgifter än personnummer, namn och adress kan beläggas med sekretess
4.4 Begräsningar i sekretessen gentemot samverkande myndigheter
I kap 14 i lagen, beskrivs bestämmelser om vissa begränsningar i sekretessen. Av 1 § framgår att
”Sekretess hindrar inte heller att uppgift lämnas till annan myndighet, om uppgiftsskyldighet följer av lag eller förordning.”
Den samverkan som sker mellan högskolor och VHS i antagningsarbetet, samt utlämnade av uppgifter från högskolor och VHS till CSN och SCB regleras i Förordning om redovisning av studier m.m. vid universitet och högskolor (SFS 1993:1153).
Slutsats:
o Det finns inga hinder för att de leveranser av data som sker mellan dessa myndigheter idag kan fortsätta.
15 kap handlar om registrering och utlämnande av allmänna handlingar.
3 §. ”Kan det antas att hinder mot utlämnande av uppgift i allmän handling föreligger enligt sekretessbestämmelser i denna lag eller annan författning, får myndighet utmärka detta genom särskild anteckning. Sådan anteckning skall innehålla beteckningen hemligt samt ange tillämpliga bestämmelser, dagen för anteckningen och den myndighet som låtit göra den.”
Det finns inte specificerat när denna anteckning skall göras – då handlingen inkommer/upprättas eller då en prövning om utlämnande görs.
Handlingar ska lämnas ut om inte sekretess hindrar:
4 §. ”Myndighet skall på begäran av enskild lämna ut uppgift ur allmän handling som förvaras hos myndigheten i den mån hinder inte möter på grund av bestämmelser om sekretess eller av hänsyn till arbetets behöriga gång.”
5 §. ”Myndighet skall på begäran av annan myndighet lämna uppgift som den förfogar över i den mån hinder inte möter på grund av bestämmelser om sekretess eller av hänsyn till arbetets
behöriga gång.”
Hur och av vem handlingar ska lämnas ut beskrivs i 6 §. ”Svarar viss befattningshavare vid myndighet enligt arbetsordning eller särskilt beslut för vården av handling, ankommer det på honom att i första hand pröva fråga om handlingens utlämnande till enskild. I tveksamma fall skall han hänskjuta frågan till myndigheten, om det kan ske utan omgång. Vägrar han att lämna ut handling eller lämnar ut handling med förbehåll, som inskränker sökandes rätt att yppa dess innehåll eller annars förfoga över den, skall han, om sökanden begär det, hänskjuta frågan till myndigheten. Sökanden skall underrättas om att han kan begära detta och att beslut av myndigheten krävs för att ett avgörande skall kunna överklagas.”
Myndigheten bestämmer alltså vem som ska hantera utlämnande av handling.
Överklagande sker efter omprövning av myndigheten till kammarrätten för enskilda och till regeringen för myndigheter.
Slutsats:
o Om en handling omfattas av sekretess ska den inte lämnas ut till enskild eller myndighet (jfr avsnitt 4.4)
o Prövningen görs av en handläggare vid myndigheten enligt den delegationsordning som gäller
o Frågeställaren har rätt att få sin begäran prövad av myndigheten och kan överklaga vid nekande beslut
Det finns fler sekretessbestämmelser som är tillämpliga för studenter inom högskolan, men som inte berörs närmare i denna rapport.
I 7 kap finns följande: uppgifter om hälsa och sexualliv samt i hälso- och sjukvård (1 §), uppgifter från psykologisk undersökning eller behandling, samt uppgift om enskilds personliga förhållanden hos psykolog, kurator eller syofunktionär (9 §), uppgifter i arbetsförmedling och yrkesvägledning (10 §), personuppgifter om det kan antas att ett utelämnade skulle medföra att uppgiften behandlas i strid med personuppgiftslagen (16 §), ärende om avskiljande av student från högskoleutbildning (27 §).
Vidare gäller sekretess för uppgifter om lån och reservationer i biblioteksverksamhet (9 kap 22
§).
5 Sekretess i folkbokföringen
Hantering av sekretess finns sedan länge inom folkbokföringen. Skatteverkets rutiner är av intresse för högskolevärlden eftersom folkbokföringen hanteras i ett stort personregister. Man hanterar också många frågor om utlämnande av uppgifter.
Rutinerna inom Skatteverket är följande. En skriftlig ansökan krävs med underlag som styrker behovet av sekretess. En konkret och aktuell hotbild ska finnas. Underlag kan vara polisanmälan, åtal, dom, beslut om besöksförbud eller uppgifter från socialförvaltning, brottsofferjour eller kvinnojour.
Tre olika nivåer av skydd finns. Sekretessmarkering är den lägsta graden och beviljas första gången ett år, och omprövas normalt inom två år. Skyddet innebär att företag eller privatpersoner inte får ta del av uppgifter om dessa personer. Andra myndigheter får dock avisering av alla uppgifter, inklusive de personer som har en sekretessflagga. För dessa levereras bara flaggan.
Inom Skatteverket är antalet handläggare som har behörighet att se uppgifter om
sekretessmarkerade personer begränsat. Det går att skicka post till en sekretessmarkerad person genom att adressera den till Skatteverket som vidarebefordrar försändelserna. Det fanns ca 9 000 personer med sekretessmarkering år 2006. Det motsvarar en promille av befolkningen.
Den andra skyddsnivån är kvarskrivning. Det innebär att en person flyttar utan att en ny folkbokföringsadress registreras. Personen är skriven på sin gamla församling. Den faktiska adressen finns i ett manuellt register, som mycket få personer har åtkomst till. Kommunikation med personen sker på samma sätt som ovan. Drygt 1000 personer är kvarskrivna.
Den tredje nivån är s.k. fingerade personuppgifter vilket innebär att en person, efter beslut av Stockholms tingsrätt, får byta personnummer och namn. Det innebär att en ny identitet skapas, utan att någon koppling till den gamla finns i folkbokföringen. Det finns ett fåtal sådana fall i Sverige. Lagen om fingerade personuppgifter reglerar hur detta får ske (SFS 1993:483).
6.1 Nuläget
6.1.1 Studiedokumentationen
Trots att studiedokumentationen inte omfattats av sekretess tidigare har högskolorna haft olika rutiner för att skydda de berörda studenterna i Ladok-systemet. Vanligast är att ingen adress registrerats för studenter som påtalat att de har en sekretessmarkering i folkbokföringen.
Adressen sparas ibland på papper hos handläggaren.
Vissa högskolor har gått längre för att skydda studenterna. Ibland läggs ett annat namn in i Ladok för studenten ifråga. Även s.k. interimspersonnummer används. Helt manuell dokumentation vid sidan av Ladok förekommer också.
6.1.2 Antagningssystemet NyA
Den lösning som VHS använder för sökande via NyA-systemet är i korthet följande.
Den sökande skickar sin anmälan tillsammans med alla meriter till en speciell adress (VHS i Stockholm). Om den sökande omfattas av sekretess i folkbokföringen, tilldelas han/hon ett interimspersonnummer och anmälan registreras i NyA. Som för- och efternamn registreras
”Uppgift saknas”. Kopplingen mellan det verkliga personnumret och interimspersonnumret finns hos en handläggare hos VHS. Meriterna skannas inte utan finns endast i pappersform hos
handläggaren. Handläggaren bedömer behörighet och meriter manuellt och besluten och meritvärdena dokumenteras i NyA-systemet på interimspersonnumret. Om bedömningar måste göras även på högskolorna, samarbetar högskolans handläggare med VHS handläggare. Behöver högskolan se insända handlingar kopieras dessa på VHS och skickas till högskolan.
Brev, kontrollbesked och antagningsbesked till den sökande skickas via Skattekontoret. När antagningen är avslutad, skickas en lista över de sökande till respektive högskola. Listan innehåller kopplingen mellan interimspersonnummer och verkliga personuppgifter samt antagningsresultatet. Efter avslutad antagning makuleras alla handlingar.
Högskolan svarar sedan för den fortsatta hanteringen av uppgifterna enligt den praxis man utarbetat. När antagningsresultatet förs in i Ladok, väljer många högskolor att använda den sökandes verkliga personnummer i stället för att fortsätta dokumentationen på
interimspersonumret.
Den lösning som VHS valt innebär att den sökande måste skicka in alla meriter vid varje ansökan. Automatisk överföring av eventuella högskolemeriter från Ladok fungerar inte, eftersom identifikationsbegreppen i de två systemet är olika.
Vad innebär de nya bestämmelserna? Till skillnad från tidigare kan och skall vissa uppgifter om en student omfattas av sekretess i förekommande fall. Rutiner och beslutsordning för
sekretessfrågor måste därför fastställas vid varje högskola respektive vid VHS, oavsett tekniska lösningar i de administrativa systemen. Förändringarna i sekretesslagen medför också att den berörda personalen behöver utbildning om de nya bestämmelserna. Sökande och studenter behöver informeras om vad som gäller.
I följande avsnitt beskrivs hur rutinerna skulle kunna se ut och vilka överväganden som kan bli aktuella i verksamheten. Syftet med beskrivningen är att vara ett underlag i den följande analysen av vilka tekniska lösningar som skulle kunna vara ett stöd i hanteringen. De faktiska rutinerna måste naturligtvis varje myndighet stå för.
6.2.1 Ansökan om sekretess och beslut
Högskolan/VHS behöver inte efterfråga om en sökande/student har ett skyddsbehov eller inte.
Studenten måste istället själv signalera att sekretess önskas. Detta kan ske genom att han/hon ansöker om skydd och visar handlingar som styrker behovet. Högskolan/VHS fattar beslut om att skyddsbehov föreligger och hur länge detta gäller. Här måste lagens begrepp ”men” tolkas av myndigheten. Beslutet innebär att en sekretessprövning ska göras varje gång uppgifter ska lämnas ut om den sökande/studenten ifråga. Den sökande/studenten anses med andra ord vara
skyddsvärd.
Beslut om att en student är skyddsvärd skulle eventuellt också kunna fattas genom att
högskolan/VHS accepterar den sekretessmarkering som finns i folkbokföringen som sitt eget beslut. Detta kan ske genom att studenten aktivt påtalar att han/hon omfattas av sekretess i folkbokföringen och styrker detta. Det skulle också kunna ske indirekt genom att högskolan/VHS hämtar adressuppgifter för sökande/studenter från folkbokföringen och därigenom får kännedom om vilka av dessa (personnummer) som har sekretessmarkering där. En sådan rutin innebär att högskolan/VHS tillämpar samma kriterium för ”men” som skatteverket i dessa fall.
Beslutet meddelas studenten.
Hur kan besluten sedan hanteras vid VHS/högskolan så att sekretessen kan skötas enligt lagens krav?
Varje fråga om utlämnande av uppgifter måste matchas mot gällande beslut om skyddsvärda studenter. Finns det risk för men, ska uppgifterna inte lämnas ut. Är det å andra sidan riskfritt, ska de lämnas ut. Om någon notering av skyddsvärda studenter inte förs in i NyA/Ladok, måste uppgifter om sökande/studenter från systemen kunna ”tvättas” med hjälp av ett separat internt register över skyddsvärda studenter. Detta medför sannolikt att utlämnandet måste centraliseras vid högskolan/VHS, eftersom all personal inte bör ha tillgång till vilka studenter som kan omfattas av sekretess.
Om Ladok och NyA ska kunna användas som hjälpmedel i hanteringen av sekretess, måste besluten dokumenteras i respektive system. Med hjälp av dessa uppgifter kan myndigheten sedan
ut eller inte. Även här är troligen en centralisering av hanteringen nödvändig.
En konsekvens av sekretesslagen kan därför vara att frågor om utlämnade av uppgifter bör centraliseras och hanteras av få medarbetare, oavsett om något systemstöd finns eller inte.
6.2.2 Intern hantering av uppgifter vid högskolan
Tusentals anställda i landet hanterar idag uppgifter om studenter i samband med antagning, registrering och examination. Det gäller lärare, administratörer, Ladok-användare,
studievägledare med flera. Uppgifter tas också fram för uppföljning och andra ändamål.
Införandet av Ladok på webb, LPW, har inneburit att uppgifter i systemet har gjorts tillgängliga för än flera än tidigare, både studenter och personal. En lärare kan göra en uppföljning på sin kurs utan att behöva gå via institutionens expertanvändare. Studenter kan exempelvis ha tillgång till kontaktuppgifter om andra studenter på samma kurs.
Sekretessen gäller inte inom studiedokumentationen vid myndigheten. Då uppgifter hanteras av anställda behöver ingen sekretessprövning göras.
Då uppgifter hanteras i närvaro av andra studenter eller synligt för andra än personal, måste sekretesslagen beaktas. Exempel kan vara när studenter anmäler sig till undervisningsgrupper genom att anteckna namn och personnummer på listor, då närvarolistor med namn cirkuleras vid undervisningstillfällen, då tentamensresultat anslås och liknande situationer. För en skyddsvärd student, kan dessa situationer innebära en risk, eftersom han/hon exponeras för andra studenter, som inte omfattas av sekretesslagens förbud mot att röja uppgifter.
Högskolans öppna lokaler innebär också att allmänheten har tillträde och lätt kan ta del av uppgifter på exempelvis anslagstavlor.
Uppgifter bör alltså inte spridas eller exponeras i onödan eftersom risken då ökar för att de kommer på avvägar.
6.2.3 Utlämnande av uppgifter till enskild
När en fråga kommer från en enskild eller organisation med en begäran om att få ta del av personuppgifter där en eller flera skyddsvärda studenter ingår, måste en prövning göras. Kan uppgiften lämnas ut utan men? Det får avgöras från fall till fall av den som är ansvarig enligt högskolans/VHS beslutsordning.
Ett behov av en förteckning eller liknande över skyddsvärda studenter är nödvändig för att prövningen ska kunna göras. Om de berörda studenterna markeras i NyA/Ladok kan systemen användas som hjälpmedel.
6.2.4 Utlämnande av uppgifter till andra högskolor, VHS och CSN
Högskolorna, VHS och CSN samarbetar och samverkar i ärenden som rör studenter och sökande.
Målet har varit att rationalisera verksamheten. Data om enskilda studenter skickas regelbundet mellan systemen. I korthet sker följande idag.
underlätta handläggningen av ansökningar om examen och tillgodoräknanden. Hämtade uppgifter lagras tillfälligt i den egna databasen.
I samarbetet kring antagningen i NyA skickas studieuppgifter från Ladok till NyA för de studenter som anmält sig. Uppgifterna är underlag för beslut om studenters behörighet och meriter till de sökta utbildningarna. Antagningsresultatet skickas från NyA till respektive högskola och läses in i Ladok.
CSN får studentuppgifter från Ladok-systemet (registreringar och resultat) och från NyA (antagningsuppgifter).
Enligt 14 kap 1 § i sekretesslagen, kan uppgifterna fortsätta att lämnas på samma sätt eftersom detta finns reglerat i den s.k. studiedokumentationsförordningen (SFS 1993:1153). Uppgifterna bör ”flaggas” vid överföringen.
6.3 Volymer
I folkbokföringen omfattas ca en promille av befolkningen av sekretessmarkering eller kvarskrivning. Vid ett universitet med 30 000 studenter skulle det motsvara ett trettiotal. Vid landets alla högskolor med totalt 350 000 aktiva studenter skulle 3 – 400 studenter beröras.
Antal sökande via VHS uppskattas vara 300 000 inför en hösttermin. Några hundra sökande berörs.
7 Olika lösningar
Hanteringen av sekretess inom högskolan är en fråga som omfattar alla verksamhetsgrenar och all personal som hanterar sökande och studenter. Föregående avsnitt har visat att frågor om sekretess inte bara handlar om hinder för utlämnade av uppgifter. Den utbredda hanteringen av uppgifter internt vid högskolan kan också vara en riskfaktor. Det finns ett behov av att ge de skyddsvärda studenterna ett bra skydd mot felaktigt utlämnade av uppgifter, och att säkerställa att hanteringen av personuppgifter vid undervisningen och i andra situationer sker på ett sätt som inte äventyrar skyddet.
De tekniska systemen Ladok och NyA kan inte lösa alla frågor som har med sekretess att göra.
Systemen får ses som delar i ett större sammanhang där varje myndighet måste utforma sina lösningar. Systemen kan däremot understödja arbetet med sekretess genom att anpassas på olika sätt. Det är också möjligt att lösa frågan om sekretess utan systemändringar. De följande
avsnitten beskriver tre olika lösningar, var och en med sina för- och nackdelar.
För en fungerande lösning vid varje högskola behövs
• Lokala rutiner
att en student är skyddsvärd, dokumentera beslutet, hantera sekretessbelagda uppgifter internt på ett betryggande sätt samt göra sekretessprövning vid utlämnande av uppgifter.
• Flaggning av uppgifter till samverkande myndigheter
o Då uppgifter om skyddsvärda studenter skickas från en myndighet till en annan, bör de flaggas (högskola, VHS, CSN).
• Eventuellt tekniskt stöd i Ladok respektive NyA
o Ändringar i Ladok-systemet och NyA som underlättar tillämpningen av sekretesslagen.
7.1 Manuell dokumentation
Denna lösning innebär att berörda sökande/studenter inte dokumenteras alls i NyA och Ladok utan handläggs helt manuellt vid sidan av systemen. Studiedokumentationen sköts exempelvis av en person centralt vid högskolan i samverkan med berörda institutioner. Studieuppgifterna arkiveras centralt. Studenten förses med ett intyg/beslut över hur studiedokumentationen ska gå till. Studieintyg, antagningsbesked och liknande skrivs manuellt. En liknande hantering sker vid VHS.
Inga tekniska ändringar behöver göras i systemen. Relativt få personer hanterar uppgifterna, varför risken för att de ska lämnas ut felaktigt är liten.
För institutionerna blir administrationen av studenterna mer komplicerad. Högskolans
ekonomiska ersättning för helårsstudenter och helårsprestationer uteblir. Lokala system som idag bygger på Ladok måste hitta egna lösningar (studentkonton, studentportal, nycklar och
passerkort, bibliotekskort, lärplattformar m.m.).
För studenterna själva påverkas tillgången till webbtjänster i NyA och Ladok, liksom de interna systemen vid högskolan.
7.2 Sekretessmarkering
Denna lösning bygger på att en sekretessmarkering införs i Ladok och NyA för berörda sökande och studenter, dvs. de som är skyddsvärda. Sekretessmarkeringen innebär en ”flaggning” av studenterna ifråga. Dessutom lagras uppgifter om besluten såsom tidsperiod, beslutsfattare m.m.
Med hjälp av sekretessmarkeringen kan systemen utformas på olika sätt för att stödja tillämpningen av sekretessbestämmelserna.
Alternativ 1 – signal om sekretess
NyA och Ladok förses med en signalfunktion. Den fungerar så att varje gång en användare anger ett personnummer för en student som är skyddsvärd, får denne en varning, ”sekretessprövning
studenter som innehåller en eller flera som är skyddsvärda. Då en utskrift på skärm eller papper görs, skrivs uppgiften ”sekretess” ut. I övrigt innehåller utskrifter/listor alla uppgifter som normalt ska finnas.
Högskolan/VHS har interna regler som styr hur uppgifter med sekretessignal får användas (exempelvis att de inte får lämnas ut externt av vem som helst, anslås på anslagstavlor eller cirkuleras bland studenter).
Lösningen innebär att arbetet med antagning och studiedokumentation kan ske som vanligt utan några hinder. Alla systemanvändare har tillgång till alla uppgifter om alla studenter och kan hantera dem utan restriktioner i enlighet med den behörighet användaren har i systemen. Det förutsätter att användarna är välinformerade om och följer reglerna. En viss risk finns för att uppgifterna sprids på ett felaktigt sätt.
En nackdel är att studenten i någon mån pekas ut varje gång någon användare hanterar data där han/hon ingår. I stället för att vara en bland alla andra studenter, blir den berörde ”den som har sekretess”.
Lösningen innebär att ändringar behövs i samtliga funktioner i Ladok och NyA som hanterar uppgifter om studenter.
Andra interna system vid högskolan som omfattar studenter måste också anpassas till sekretess för att säkerställa att uppgifter inte lämnas ut felaktigt eller kommer i orätta händer. Det gäller inte minst system som hämtar data från Ladok.
En vidareutveckling av detta alternativ skulle vara att införa en möjlighet att ta bort uppgifter om skyddsvärda studenter från listor etc.
Alternativ 2 – tillgång till skyddade uppgifter begränsas
Denna lösning är en vidareutveckling av det förra förslaget. Den innebär att endast vissa behöriga användare får se och hantera uppgifter om skyddsvärda studenter. En behörig användare kan göra det som normalt ligger inom ramen för dennes behörighet, oavsett om det gäller en student med skydd eller inte.
En användare som inte är behörig, kan inte se eller hantera några uppgifter om dessa studenter.
Om en obehörig användare anger ett personnummer för en student som är skyddsvärd, skrivs
”sekretess” ut och inga mer uppgifter visas. Användaren får då vända sig till den som är behörig för att ta del av uppgifterna.
Om den obehörige användaren gör en utsökning av en grupp studenter, där en skyddsvärd student ingår, skrivs inga uppgifter om denne ut. För en kurs där det finns 30 deltagare och en är
skyddsvärd, skrivs endast 29 studenter ut på en lista över registrerade (ev. med tillägget ”samt en med sekretess”). Även här får han/hon vända sig till en behörig användare för att få ta del av uppgifterna.
En nackdel med denna lösning är att olika användare får olika resultat i Ladok, vilket kan leda till förvirring om databasens tillförlitlighet. En behörig användare får ut 30 studenter på sin lista,
av sin kurs undrar varför Olle som går på kursen inte finns med. En tolkning är att något blivit fel med registreringen, varpå läraren uppmanar Olle att registrera sig, vilket han redan gjort. En annan är att han sluter han sig till att Olle omfattas av sekretess, vilket i någon mån innebär att Olle utpekas.
Lösningen innebär dock att antalet användare som får tillgång till uppgifter om skyddsvärda studenter kan begränsas. Risken för felaktig spridning av uppgifterna är därför liten. En nackdel är att högskolans rutiner för registrering, examination och resultatrapportering påverkas. Vanliga användare lägger in och tar fram uppgifter om ”vanliga” studenter. Andra användare har tillgång även till dem som är skyddsvärda. Administrationen kan bli mer tungrodd och tidskrävande.
Lösningen innebär att ändringar behövs i samtliga funktioner i Ladok och NyA som hanterar personuppgifter. Vidare måste behörighetssystemen anpassas. Förslaget är mer resurskrävande än alternativ 1.
Lokala system påverkas på samma sätt som i alternativ 1.
Alternativ 3 – tillgång till skyddade uppgifter styrs av användarens roll och organisatoriska hemvist
Denna lösning är en vidareutveckling av alternativ 2 och innebär att Ladoks/NyAs
behörighetssystem utvecklas så att olika användare har tillgång till olika uppgifter beroende både på deras arbetsuppgifter (roller) och organisatoriska hemvist. Varje användares rättigheter skulle kunna skräddarsys i större utsträckning än vad som är möjligt idag.
Exempelvis skulle en lärare kunna ha tillgång till uppgifter om alla studenter på den kurs han/hon är ansvarig för, inklusive de skyddsvärda. För andra kurser, skulle han/hon endast kunna se studenter utan skyddsbehov. En institutionssekreterare skulle kunna ta fram utdata över alla studenter på institutionens utbildningar men inte över utbildningar som ges av andra institutioner.
Ett helt nytt behörighetssystem skulle behövas i Ladok. Samtliga rutiner som hanterar studenter berörs också, vilket är ett mycket omfattande arbete. Förslaget kräver mer resurser än alternativ 2.
Den lokala administrationen av användare och deras behörighet blir omfattande.
7.3 Alias via interimspersonnummer
Denna lösning innebär att ett alias används om skyddsbehovet bedöms omfatta personuppgifter och namn, dvs. för identiteten. Syftet med alias är att förebygga att uppgifter om sökande och studenter oavsiktligt röjs av VHS och högskolan.
Bakom varje alias finns de verkliga personuppgifterna, men tillgängliga bara för några få behöriga systemanvändare. (Ett alias behövs inte om studenten enbart vill undvika att hans eller hennes adress exponeras. I dessa fall ska inte adressen inte dokumenteras i systemen.)
Alias är det identifikationsbegrepp som används i det dagliga arbetet vid VHS/högskolan. Vid externt utlämnande av uppgifter, används de verkliga uppgifterna.
Han/hon tilldelas ett interimspersonnummer, dvs. samma typ av identifikationsbegrepp som används för utländska studenter eller svenskar födda i utlandet. Födelseår, månad och dag sätts till något annat än det faktiska födelsedatumet. Efternamn och/eller förnamn kan vid behov också modifieras. Den tidsperiod som sekretessen gäller dokumenteras, liksom övriga uppgifter om beslutet.
När beslutet har fattats skulle studenten eventuellt kunna få ett intyg över kopplingen mellan sina verkliga personuppgifter och sitt alias (”Olle med personnummer 810101-0000 dokumenteras i NyA/Ladok som Ove med interimspersonnummer 820202-T000”).
Under studietiden används alltid studentens alias vid inläggning av uppgifter i Ladok. Varje högskola måste skapa en rutin för de situationer där studenten måste legitimera sig, t.ex. vid tentamen. Detta skulle kunna göras med hjälp av intyget ovan, men andra metoder kan också finnas.
Kopplingen mellan alias och de verkliga uppgifterna om personnummer och namn dokumenteras i systemen, men är tillgängliga endast för få systemanvändare, exempelvis Ladok-ansvariga och produktionsansvariga för antagningen. På det sättet kan ett alias alltid kopplas till rätt student.
När sekretessen inte längre gäller ska användningen av alias upphöra och studieuppgifterna visas därefter under studentens verkliga identitet.
I samband med externa förfrågningar, finns dock ett behov av att kunna se om en viss student omfattas av skydd eller inte för att kunna hantera frågor om utlämnande av uppgifter på ett korrekt sätt. Detta kan lösas på så sätt att vid personnummersökning via det verkliga personnumret skickar systemen en signal, t.ex. ”uppgift kan inte lämnas, kontakta
systemansvarig”. Inga fler uppgifter visas. Anger man däremot interimspersonnumret, får man fram uppgifter som vanligt. Studenterna kommer också med i form av sitt alias när t.ex. en studievägledare vill göra en uppföljning över en kurs, eller då en antagningslista ska tas fram. Att de sökande och studenterna skulle kunna lida något men av detta är osannolikt.
När det gäller utlämnade av uppgifter om en enskild student, måste frågeställarens rätt att
överklaga ett nekande beslut beaktas. Bedömning av om uppgifter kan lämnas ut eller inte, måste alltså hanteras av den eller de medarbetare som har tillgång till de verkliga uppgifterna. Det innebär att om en institutionssekreterare får en fråga om uppgifter om ett visst personnummer, och Ladok visar ”uppgift kan inte lämnas, kontakta systemansvarig” för personnumret ifråga, måste frågan slussas vidare till den som är ansvarig och som då avgör om uppgifter kan lämnas ut eller inte.
Varje högskola måste ta ställning till hur man ska hantera begäran om uppgifter om grupper av studenter, så kallade massuttag, exempelvis en lista över alla deltagare i en viss kurs. Eventuella skyddsvärda studenter kommer med i form av sitt alias. Högskolan måste själv bestämma om studenterna ska exkluderas från listan eller inte. Detta får i så fall göras manuellt.
Utbyte av data mellan högskolor/VHS/CSN kan ske utan problem genom att kopplingen mellan alias och verkligt personnummer används och att en flagga skickas med. Vid överföringar till SCB används korrekta personnummer.
Lösningen innebär måttliga systemändringar i Ladok och NyA.
Kringsystem vid högskolan som bygger på Ladok påverkas inte.
8 Överväganden
En bra lösning ska dels garantera den sökande ett bra skydd och dels smidiggöra hanteringen av skyddsvärda studenter, såväl för antagning som för studiedokumentation.
En helt manuell hantering är både tungrodd och otidsenlig och avförs därför.
Lösningen med sekretessmarkering är tilltalande och är i linje med Skatteverkets rutiner.
Markeringen används för att signalera att sekretess kan gälla. Detta kan göras antingen genom en enkel varning (sekretessignal), genom att uppgifter om berörda studenter ”mörkas” eller genom att man utvecklar ett behörighetssystem där olika användare har tillgång till olika uppgifter i systemen utifrån den roll och den organisatoriska hemvist man har. En stor nackdel är att systemändringarna blir omfattande. Även de administrativa rutinerna vid institutioner kan påverkas. Lokala system som bygger på Ladok måste skapa egna lösningar för hur
sekretessfrågorna ska hanteras.
Lösningen med alias via interimspersonnummer innebär att studenterna förses med en kod som identifierar dem vid högskolan, men att de verkliga uppgifterna finns tillgängliga för en liten krets personal. En nackdel med alias är att speciella rutiner måste finnas då studenten måste legitimera sig vid t.ex. examination. De systemändringar som behövs är måttliga och gäller främst överföringar av data mellan högskolor och VHS. Lokala system behöver inte anpassas.
9 Förslag: alias
Den lösning som föreslås är att sekretess i NyA och Ladok hanteras med hjälp av alias via interimspersonnummer. Skyddet för studenterna är bra och risken för felaktig spridning av uppgifter minimeras. En annan fördel är att de systemändringar som krävs är måttliga. Det gör det lättare, snabbare och mera riskfritt att realisera denna lösning jämfört med
sekretessmarkering.
En ytterligare fördel är att lokala system inom högskolan som bygger på uppgifter från Ladok inte behöver anpassas till sekretess, under förutsättning att de kan hantera interimspersonnummer.
Vidare kan studenten själv bestämma om detaljerna i det alias han/hon vill använda och på så sätt påverka nivån på skyddet och därmed sin situation. Principen med alias kan också börja användas i studiedokumentationen innan systemstödet är klart. Till en början hålls då ett manuellt register över kopplingen mellan alias och verkliga personuppgifter. Dessa läggs in i Ladok när
systemändringarna är klara.
Överföringar av data mellan en viss högskola och VHS, samt till CSN fortsätter som förut.
Korrekta personnummer skickas tillsammans med en ”flagga”. Genom flaggan görs den
sina rutiner.
För SCB: s register gäller redan sekretess. Uppgifter om enskilda sökande och studenter kan alltså skickas på vanligt sätt med verkliga personnummer.
Då uppgifter ska skickas mellan högskolor med hjälp av Ping, används dock alltid
interimspersonnummer. Kopplingen mellan alias och korrekta personnummer skickas inte, med tanke på att många användare kan ha tillgång till Ping.
Lösningen är inte tvingande för en enskild högskola. Ladok fungerar som tidigare även om man beslutat att inte dokumentera skyddsvärda studenter under ett alias.
9.1 Förslaget ur ett verksamhetsperspektiv
Nedan följer en närmare beskrivning av vad förslaget innebär för verksamhetsprocessen, från det att en anmälan kommer in tills dess att examen utfärdas. Det är ett ”normalflöde” som beskrivs, lokala avvikelser kan naturligtvis förekomma.
9.1.1 Ansökan om och beslut om sekretess
De sökande och studenter som behöver ett skydd, ansöker om detta till VHS eller respektive högskola. Sökande anmäler normalt behovet i samband med sin anmälan till utbildning.
Formerna för ”ansökan” måste utformas av varje myndighet.
Beslutet fattas i enlighet med myndighetens riktlinjer. Om skyddsbehovet är stort, tilldelas personen ett alias i form av ett interimspersonnummer (eventuellt med annat födelseår, annan födelsemånad och annan födelsedag är den riktiga). Om ett stort behov finns, tilldelas studenten även ett modifierat efternamn och/eller förnamn. Vad som behövs beror på hur vanliga namnen är och vilka andra skäl som kan finnas. Om studenten vill använda sitt riktiga namn, kan det dock ge ett sämre skydd. Tilldelningen av alias görs alltid i samråd med studenten. En student måste också ha möjlighet att avböja användningen av alias.
Om högskolan finner det lämpligt, kan den sökande eller studenten få ett intyg över kopplingen mellan verkliga uppgifter och alias. Intyget kan användas i de sammanhang där legitimering krävs, t.ex. vid registrering och examination.
Uppgifterna om alias dokumenteras i NyA och Ladok. Interimspersonnumret genereras alltid i NyA.
9.1.2 Anmälan till utbildning
Anmälan till utbildning via NyA. En sökande, som vill omfattas av skydd, skickar sin anmälan tillsammans med alla handlingar till en speciell adress (VHS i Stockholm). När ett positivt beslut fattats, registreras anmälan i NyA under studentens alias.
Skulle den sökande skicka sin anmälan på vanligt sätt (dvs. till Strömsund), och därmed få sin anmälan kopplad till sitt verkliga personnummer, så kommer detta så småningom att fångas upp
ansvarig på VHS, för eventuellt beslut om skydd.
Anmälan till utbildning utanför NyA. För sökande som anmäler sig till och antas direkt vid högskolan gäller följande. Även dessa signalerar sitt skyddsbehov i samband med sin ansökan.
Efter beslut att studenten är skyddsvärd, etableras studenten både i Ladok och i NyA (av Ladok- ansvariga och/eller lokal produktionsansvarig). NyA används alltid för att generera
interimspersonnumret. Kopplingen mellan alias och korrekta uppgifter finns i båda systemen.
9.1.3 Antagningsprocessen i NyA
En anmälan hanteras av många personer. Den genomgår postöppning och skanning, meriter registreras och utreds, bedömningar görs av behörighet och meriter till olika utbildningar. Alla användare har tillgång till samtliga uppgifter om en sökande. Det går också att ta fram listor över sökande.
I och med att skyddsvärda studenter har interimspersonnummer behövs dock ingen särskild hänsyn tas till dessa under själva antagningsprocessen – inga handläggare vet ju vilka de egentligen är.
Alla dokument som en sökande skickar skannas. För skyddsvärda studenter krävs dock en särskild hantering, enligt följande:
Den person, som på VHS är ansvarig för hanteringen av skyddsvärda studenter, går igenom den sökandes samtliga inskickade dokument, och stryker över allt sådant som kan avslöja vem det egentligen rör sig om; personnummer, namn, adress och eventuellt annat som kan röja identiteten och markerar till vilket interimspersonnummer handlingarna hör. När detta är gjort skickas dessa handlingar till skanning på vanligt sätt.
Uppgifter om sökande som redan är studenter vid någon högskola hämtas via datafiler på samma sätt som idag. Antagningsresultatet levereras från NyA till Ladok. Vid överföringarna skickas en flagga med för berörda studenter. Den mottagande organisationen, får en signal om detta och kan handlägga frågan om sekretess enligt sina rutiner.
9.1.4 Sökning efter skyddsvärd student i NyA och Ladok
Alla systemanvändare har tillgång till de uppgifter som finns i systemen på en students alias, dvs.
interimspersonnumret. Endast användare med särskild behörighet har dessutom tillgång till kopplingen mellan alias och verkliga personuppgifter via en särskild rutin.
För att underlätta hanteringen av externa frågor om en viss sökande/student, bör systemens normala möjligheter att söka fram studenter via personnummer kompletteras med sökning även av skyddsvärda studenter. Sökning på ett sådant personnummer skulle endast ge resultatet
”uppgift kan inte lämnas, kontakta systemansvarig” eller liknande. Vad handläggaren då ska svara måste beslutas lokalt vid varje högskola/VHS, liksom hur frågan ska hanteras vidare.
Beroende på hur svaret formuleras, kan den sökande/studenten röjas i olika grad.
underlätta svarandet. Ett besked att ”studenten finns vid någon högskola i landet” skulle då kunna ges direkt utan någon risk. Ett inbyggt Ping i Ladok skulle också ha fördelar i andra sammanhang som inte har med sekretess att göra.
9.1.5 Registrering på kurs/program m.m.
När en student ska registrera sig, krävs normalt att han/hon visar legitimation. Här behöver högskolan besluta om en rutin för detta. En tänkbar sådan är att studenten använder ett intyg tillsammans med legitimation. Registrering via LPW kan ske på vanligt sätt.
Inga särskilda hänsyn tas vid närvarokontroll/närvarolistor, gruppindelningar, etc. eftersom studentens alias används.
9.1.6 Examination
Studenten anmäler sig till tentamen via LPW eller andra lokala system i sitt alias. Institutionen tar fram en placeringslista/deltagarlista. Studenten tenterar och genomgår identitetskontroll enligt högskolans rutin.Detta skulle kunna ske genom att studenten visar intyg över sitt alias och visar legitimation. En liten risk finns för att intyg kan förfalskas. En annan rutin kan vara att
skrivningsvakten kontrollerar legitimation, noterar personnummer och sedan kontrollerar med Ladok-ansvarig att kopplingen mellan alias och personnumret existerar.
Institutionssekreteraren tar fram ett rättningsprotokoll till läraren, som noterar resultat och betyg när han rättat tentorna. Institutionssekreteraren rapporterar resultaten i Ladok och tar ut en arkivlista för underskrift.
Inläggning av resultat via LPW fungerar också som vanligt.
9.1.7 Utfärdande av examensbevis
En student ansöker om examen via blankett eller LPW. Högskolan bestämmer själv om speciella rutiner ska gälla för studenter med alias.
Har den sökande läst vid andra högskolor och har andra alias där, kan han/hon visa intyg över dessa alias. Examenshandläggaren kan då använda Ping för att via alias se resultat från andra högskolor. I annat fall måste studenten själv skicka in papper över dessa.
Underlag för examensbevis hämtas ur Ladok, fylls på med eventuella uppgifter från andra högskolor och görs klart på vanligt sätt. Beviset skall innehålla studentens verkliga
personnummer och namn, medan uppgifter om den utfärdade examen rapporteras i Ladok under interimspersonnumret. Det ska finnas en spärr så att bevis inte av misstag kan generas i ett alias.
9.1.8 Uttag av uppgifter - utdata
Alla uttag av uppgifter ur Ladok om en skyddsvärd student kan tas fram som vanligt via alias.
Alla utsökningar av uppgifter om grupper av studenter fungerar som vanligt.
innehålla verkliga personuppgifter. Det ska vara möjligt att ta fram detta för Ladok-ansvarig (motsv.). Studenten måste alltså vända sig till denne.
9.1.9 Ladok på webb
Tjänster som vänder sig till studenten själv behöver givetvis inte ta hänsyn till sekretess. Det ska dock vara möjligt för honom/henne att ta fram ett intyg med verkliga personuppgifter. LPW skulle också kunna signalera att perioden för skydd snart går ut så att studenten uppmärksammas på att en förnyad ansökan måste göras.
Andra tjänster (dvs. sådana som används av personal för att ta fram uppgifter om studenter och sådana som används av studenter för att hitta uppgifter om andra studenter) behöver inte ta någon särskild hänsyn till skyddsvärda studenter.
9.1.10 Ping
När uppgifter hämtas via Ping från en högskola till en annan, kan bara interimspersonnummer användas för de skyddsvärda studenterna. Anger man det korrekta personnumret för en skyddad student, får man ingen träff.
Om en högskola inte använder alias för sina skyddsvärda studenter, innebär det att andra högskolor har tillgång till uppgifter om studenterna ifråga via Ping. Någon större risk för studenterna innebär troligen inte detta.
9.1.11 Ladok Open och NyA Open
Open-systemen bygger på kopior av Ladoks och NyAs databaser och används för att göra data mer tillgängliga t.ex. via frågespråk (sql).
Ladok Open databasen uppdateras via replikering av de tillägg och ändringar som sker i originaldatabasen. De tabeller i som innehåller uppgifterna om kopplingen mellan verkliga och fiktiva uppgifter ska inte replikeras.
NyA Open skapas på ett liknande sätt och samma begränsning ska gälla.
Eftersom kopiorna inte ska omfatta de känsliga uppgifterna, finns det ingen risk förknippat med att Open systemen även i fortsättningen kan vara tillgängliga för en vid krets användare.
9.1.12 Kommunikation med andra system inom den egna högskolan
Vilka uppgifter som kan och får skickas från Ladok till andra lokala system vid högskolan, måste bestämmas lokalt. Det kan gälla katalogsystem, bibliotekssystem, system för tillgång till lokaler etc., men inte heller här behövs något egentligt hänsynstagande till skyddsvärda studenter.
9.1.13 CSN
Uppgifter om antagningar, registreringar och resultat skickas som vanligt till CSN. För skyddsvärda studenter skickas verkliga persondata och en uppgift om att de är skyddsvärda.
SCB:s personregister omfattas av sekretess. Det finns därför inte något hinder för att skicka de verkliga personuppgifterna.
9.1.15 När skyddsbehovet upphör
När en student upphör att vara skyddsvärd, ska samtliga uppgifter flyttas till hans/hennes korrekta personnummer. Detta görs via en rutin ”personnummerbyte”, vilket hanteras av Ladok-ansvarig.
Något automatiskt ”personnummerbyte” när datum för skyddsperioden överskridits ska inte finnas. Att bytet har skett ska inte vara synligt för systemanvändare.
Kopplingen mellan alias och verkliga personuppgifter sparas dock alltid.
9.1.16 När behov av skydd uppstår under studierna
För en student som beslutas vara skyddsvärd när studierna redan har påbörjats, flyttas studieuppgifterna från det verkliga personnumret till interimspersonnumret. Bytet ska vara spårlöst. Även detta hanteras av Ladok-ansvarig.
9.1.17 Gallring av uppgifter ur Ladok
Det är viktigt att uppgifterna om vilka alias som använts är spårbara för all framtid. Dessa uppgifter får därför inte omfattas av de normala gallringsrutinerna som gäller för systemen.
9.1.18 Uppgifter till studentkårer
Studentkårerna har rätt att ta del av uppgifter om registrerade studenter för att kontrollera att de betalt avgiften. Det finns dock ingen färdig programvara i Ladok för att ta ut uppgifter till kåren.
Varje högskola måste göra uttagen lokalt, liksom besluta om hur skyddsvärda studenter hanteras.
Eftersom kårerna inte är myndigheter gäller inte sekretesslagen för dem.
9.2 Samordning mellan myndigheterna
Varje högskola/VHS svarar för sina egna beslut om att sökande/studenter är skyddsvärda, liksom när skyddet kan upphöra. Att en högskola beslutat om skydd innebär inte att andra högskolor har någon skyldighet att följa detta. Varje myndighet måste fatta beslut utifrån sina egna
bedömningar. Detsamma gäller när skyddet kan upphöra.
Konsekvenserna av detta blir att en och samma student kan anses vara skyddsvärd vid en högskola samtidigt som en annan högskola gör en annan bedömning. En student kan också ha olika skyddsperioder vid olika högskolor. En högskolas bedömning kan också vara en annan än Skatteverkets. En student med sekretessmarkering i folkbokföringen, kanske inte anses
skyddsvärd vid högskolan och vice versa.
Någon systemlösning för att hantera dessa frågeställningar planeras inte utan manuella rutiner måste finnas för att utbyta information om fattade beslut och åtgärder för studenter/sökande som
högskolor och VHS om ändrade förhållanden.
9.3 Förslaget och förordningen om redovisning av studier
Förslaget i denna rapport rör hur systemen Ladok och NyA skulle kunna förändras för att stödja hanteringen av sekretess för sökande och studenter. Regler om studieregister och
antagningsregister finns i Förordning om redovisning av studier m.m. vid universitet och högskolor (SFS 1993:1153). Där finns bestämmelser om innehållet i systemen samt hur uppgifterna ska och får användas.
När det gäller identitetsuppgifter om studenter och sökande sägs följande i 2 kap 5 §: ”I
studieregistret skall varje students identitet anges med hjälp av namn och personnummer. Om ett svenskt personnummer saknas, anges ett för denna student vid högskolan unikt nummer.” De identitetsbegrepp som används för den senare kategorin benämns ”interimspersonnummer” i systemen och karakteriseras av att de innehåller bokstaven ”T” (kallas även ”T-nummer”).
Förslaget med alias innebär att varje skyddsvärd student identifieras med sitt verkliga
personnummer i systemet. Dessutom förses studenten med ett alias så att den verkliga identiteten döljs för flertalet interna systemanvändare vid högskolan. Aliaset kan ses som en slags kod eller ett filter. De uppgifter som registreras om studenten kan alltid hänföras till den verkliga
identiteten.
Eventuellt skulle texten i förordningen behöva förtydligas eller ändras så att det blir klart att den föreslagna hanteringen inte strider mot reglerna.
9.4 Ändringar i systemen
Om den föreslagna lösningen ska genomföras innebär det vissa systemändringar i NyA och Ladok. I korthet behöver följande göras. Mera detaljer finns i bilaga 1.
• Ny funktionalitet för att dokumentera uppgifter om alias.
• Anpassning av programvara som hanterar överföring av data mellan högskola och VHS, samt från högskola/VHS till CSN och SCB
• Anpassningar av rutiner för att ta ut intyg, kursbevis och examensbevis, för att söka via personnummer, för ”byte” av personnummer, samt för gallring av uppgifter.
10 Fortsatt arbete
Följande behöver göras:
• Anpassa Ladok och NyA enligt förslaget
som möjligt
o Samordna drifttagandet av ny och ändrad programvara i tiden så att
verksamhetsprocesserna kan fungera som önskat. Om inte detta är möjligt bör en plan för övergången göras.
• Samråd sker med CSN
• Samråd sker med SCB
• Kontakt tas med utbildningsdepartementet om eventuella ändringar i Förordning om redovisning av studier m.m. vid universitet och högskolor (SFS 1993:1153)
11 Bilaga 1: Ny och ändrad funktionalitet i NyA och Ladok
Förslaget om hantering av sekretess i systemen via ett alias baserat på interimspersonnummer innebär att nedanstående förändringar måste göras i systemet.
11.1 Ny funktion för dokumentation av skyddade studenter
För att vi ska kunna veta vilka studenter som är skyddsvärda i NyA och Ladok måste vi kunna skapa en koppling mellan den skyddsvärda studentens verkliga personnummer och hans/hennes interimspersonnummer. Detta gör vi i en särskild funktion/användningsfall.
Följande uppgifter behöver dokumenteras: interimspersonnummer, verkligt personnummer och verkligt för- och efternamn, diarienummer, myndighet och beslutsfattare, tidsperiod som skyddet gäller, samt eventuellt en möjlighet att anteckna. Ett beslut för en student ska kunna förlängas i form av att en ny tidsperiod då läggs in. En student kan också ha flera skyddsperioder som inte överlappar. Dessa uppgifter ska kunna tas bort och ändras om något blivit fel vid inläggningen.
Funktionen/användningsfallet ska också innehålla en möjlighet att söka fram skyddsvärda studenter.
Behörighet att använda funktionen ska begränsas till få användare, vilket innebär att den bör ligga minst på nivå 4 i NyA. Behörighet i Ladok fastställs lokalt, men rekommendationen är att endast Ladokansvariga ska ha tillgång till den.
Den eller de tabeller där uppgifterna lagras ska inte omfattas av replikering till Ladok Open och NyA Open.
11.2 Överföringar av uppgifter
Under själva antagningsprocessen görs ett antal överföringar av uppgifter om de sökande:
Hämtning av akademiska meriter från Ladok, hämtning av meriter från betygsdatabasen BEDA, skapande av underlag för anmälan till kurs inom program, hämtning av adresser, överföring av urvalsresultat och överföring av student- och antagningsuppgifter till CSN samt överföring av studentuppgifter till SCB. Genom att vi lagrar uppgifter om skyddsvärda studenter i en särskild tabell kan vi hämta och överföra uppgifter även för dessa.
11.2.1 Hämtning av akademiska meriter från Ladok
NyA skapar en personnummerfil över de sökande som anmält sig till en utbildning. När filen skapas ”filtreras” samtliga interimspersonnummer i tabellen för skyddsvärda studenter, och för de personnummer det blir träff för, läggs även det verkliga personnumret in i filen. Meriter kan
