Det var när stadsrevisionen i Örebro kommun år 2016 granskade grundskolans hantering av personuppgifter som bristerna uppdagades. Bland annat konstaterade revisionsrapporten att i princip samtliga användare av elevregistersystemet Adela kunde komma åt personuppgifter som tillhörde elever med skyddade identiteter och att uppgifter ur registret lämnats ut utan sekretessprövning.
Dessutom saknades även flera så kallade personuppgiftsbiträdesavtal med leverantörerna bakom it-plattformarna, som ska säkerställa att personuppgifterna skyddas.
– Det kan vara väldigt allvarligt i ett enskilt ärende, säger Lena Jansson (M), ordförande i stadsrevisionen, och menar att det kan finns en hotbild mot elever med skyddade identiteter och deras vårdnadshavare.
Revisionen riktade allvarlig kritik mot grundskolenämnden efter granskningen. Flera år gick och i våras följde stadsrevisionen upp rapporten. Då konstaterades att flera brister bestod och att grundskolenämnden inte genomfört tillräckliga åtgärder för att komma åt säkerhetsproblemen.
– Man blir besviken, säger Lena Jansson.
Kommunen har börjat sekretesspröva
Enligt Linda Smedberg (S), ordförande i grundskolenämnden, beror det bland annat på att flera tjänstemän som ansvarat för de här frågorna bytt tjänst.
– Det har skett mycket arbete, men vi har inte fullgjort det vi skulle, säger hon.
Smedberg menar att uppgifter inte längre lämnas ut utan sekretessprövning. Just nu pågår även ett större arbete inom de olika skolnämnderna för att se över att samtliga som använder it-plattformarna har tecknat avtal med leverantörer om hur de får hantera personuppgifterna.
Men det finns fall där Örebro kommun själva råkat röja elevers personuppgifter.
– Vi har haft ett par stycken personuppgiftsincidenter sedan GDPR trädde i kraft, men där har vi tydliga rutiner hur vi följer upp, säger Linda Smedberg.
Handlar det om elever med skyddade personuppgifter?
– Nej, inte i de fallen.