Ladda ned bifogat original
(PDF file)

Detta är en HTML-version av en bilaga till begäran om allmän handling 'Konsekvensbedömning, Unikum'.


Sida 2 (11) 
Behov av konsekvensbedömning utifrån 
dataskyddsförordningen artikel 35 
 
Kriterier 
Ja  Nej 
En systematisk och omfattande bedömning av fysiska personers 
☐  ☒ 
personliga aspekter som grundar sig på automatisk behandling, inbegripet 
profilering, och på vilken beslut grundar sig som har rättsliga följder för 
fysiska personer el er på liknande sätt i betydande grad påverkar fysiska 
personer. 
Behandling i stor omfattning av särskilda kategorier av uppgifter, som 
☐  ☒ 
avses i artikel 9.1, el er av personuppgifter som rör fäl ande domar i 
brottmål och lagöverträdelser som innefattar brott, som avses i artikel 10. 
(art. 9.1 avser ras el er etniskt ursprung, politiska åsikter, religiös el er 
filosofisk övertygelse el er medlemskap i fackförening och behandling av 
genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en 
fysisk person, uppgifter om hälsa el er uppgifter om en fysisk persons 
sexual iv el er sexuel a läggning.) 
Systematisk övervakning av en al män plats i stor omfattning. 
☐  ☒ 
Behov av konsekvensbedömning utifrån 
Integritetsskyddsmyndighetens förteckning 
[Bedöm al a kriterier. Ta bort den här instruktionen när du är klar.] 
Kriterier 
Ja  Nej 
Utvärderar el er poängsätter människor, til  exempel ett företag som 
☐  ☒ 
erbjuder genetiska tester til  konsumenter för att bedöma och förutse 
risker för sjukdomar, ett kreditupplysningsföretag el er ett företag som 
profilerar internetanvändare. 
Behandlar personuppgifter i syfte att fatta automatiserade beslut som har  ☐  ☒ 
rättsliga följder el er liknande betydande följder för den registrerade. 
Systematiskt övervakar människor, til  exempel genom 
☐  ☒ 
kameraövervakning av en al män plats el er genom att samla in 
personuppgifter från internetanvändning i offentliga miljöer. 
Behandlar känsliga personuppgifter enligt artikel 9 el er uppgifter som är 
☒  ☐ 
av mycket personlig karaktär, til  exempel ett sjukhus som lagrar 
patientjournaler, ett företag som samlar in lokaliseringsuppgifter el er en 
bank som hanterar finansiel a uppgifter. (Med känsliga uppgifter avses 
enligt artikel 9 bland annat biometriska uppgifter som behandlas för att 
entydigt identifiera en fysisk person.) 
Behandlar personuppgifter i stor omfattning. 
☒  ☐ 
Kombinerar personuppgifter från två el er flera behandlingar på ett sätt 
☐  ☒ 
som avviker från vad de registrerade rimligen kunnat förvänta sig, til  
exempel när man samkör register. 
Behandlar personuppgifter om personer som av något skäl befinner sig i 
☒  ☐ 
ett underläge el er i beroendestäl ning och därför är sårbara, til  exempel 
barn, anstäl da, asylsökande, äldre och patienter. 
Sida 3 (11) 
Kriterier 
Ja  Nej 
Använder ny teknik el er nya organisatoriska lösningar, til  exempel en 
☐  ☒ 
sakernas internet-applikation (Internet of things, IoT). 
Behandlar personuppgifter i syfte att hindra registrerade från att få til gång  ☐  ☒ 
til  en tjänst el er ingå ett avtal, til  exempel när en bank granskar sina 
kunder mot en databas för kreditupplysning för att besluta om de ska 
erbjudas lån. 
Riskanalys 
Händelse 
Risk som behandlingen medför 
 
 
 
-4)
 
 
ycket allvarlig
Liten konsekvens
Betydande
Allvarlig
M
Sannolikhet (1
Obehörig får del av 
Personuppgifter sprids utanför den 
☐  ☐  ☒  ☐  1 
personuppgifter 
personuppgiftsansvariges verksamhet och används i 
annat syfte än det ursprungliga. Ev. skadestånd til  
registrerade. Gäl er spridning hos PuB. 
Obehörig får del av 
Personuppgifter sprids utanför den 
☐  ☐  ☒  ☐  2 
personuppgifter 
personuppgiftsansvariges verksamhet och används i 
annat syfte än det ursprungliga. Gäl er spridning hos 
PuA. 
Leverantören visar sig inte 
Krav i dataskyddsförordningen kan inte uppfyl as. 
☐  ☐  ☒  ☐  1 
kunna etablera el er 
Hävning kan ske. 
upprätthål a til räcklig 
informationssäkerhet. 
Behörighet är felaktig utifrån  Medarbetare har til gång til  personuppgifter som inte är  ☐  ☒  ☐  ☐  2 
rol  i systemet el er ges til  
nödvändiga för dennes arbetsuppgifter. 
felaktig person 
Utökad behörighet kan ges til   Medarbetare har til gång til  personuppgifter som inte är  ☐  ☐  ☒  ☐  3 
fler personer på samma nivå 
nödvändiga för dennes arbetsuppgifter. 
Personer med skyddat ID 
Manuel  registrering av personer med skyddat ID sker 
☐  ☐  ☐  ☒  2 
manuel t på respektive skolenhet. Centraliserad 
administration är ej möjlig. 
Lärlogg för enskild person 
Förekomsten av känsliga och integritetskränkande 
☐  ☐  ☐  ☒  1 
uppgifter. Beskrivning av person istäl et för beskrivning 
av relevant information. Spridning av personuppgifter 
til  obehöriga. 
Kommentarer och reflektioner  Förekomsten av känsliga och integritetskränkande 
☐  ☐  ☐  ☒  1 
kopplad til  enskild person 
uppgifter. Beskrivning av person istäl et för beskrivning 
av relevant information. Spridning av personuppgifter 
til  obehöriga. 
Skriftliga omdömen 
Förekomsten av känsliga och integritetskränkande 
☐  ☐  ☐  ☒  1 
uppgifter. Beskrivning av person istäl et för beskrivning 
av relevant information. Spridning av personuppgifter 
til  obehöriga. 
Sida 4 (11) 
Händelse 
Risk som behandlingen medför 
 
 
 
-4)
 
 
ycket allvarlig
Liten konsekvens
Betydande
Allvarlig
M
Sannolikhet (1
Extra anpassningar 
Förekomsten av känsliga och integritetskränkande 
☐  ☐  ☒  ☐  2 
uppgifter. Beskrivning av person istäl et för beskrivning 
av relevant information. Spridning av personuppgifter 
til  obehöriga. 
Säkra anteckningar 
Förekomsten av känsliga och integritetskränkande 
☐  ☐  ☒  ☐  3 
uppgifter. Beskrivning av person istäl et för beskrivning 
av relevant information. Spridning av personuppgifter 
til  obehöriga. 
Utvecklingssamtal 
Förekomsten av känsliga och integritetskränkande 
☐  ☐  ☐  ☒  2 
uppgifter. Beskrivning av person istäl et för beskrivning 
av relevant information. Spridning av personuppgifter 
til  obehöriga. 
Manuel a hantering av grupper  Manuel  hantering av vem/vilka som ingår i grupp. Risk  ☐  ☒  ☐  ☐  3 
och konton, både skapade 
att fel person får ta del av information i gruppen. 
grupper och til ägg i synkade 
grupper. 
Elevers historik, uppgifter i 
Risk att nya personer i relation til  elev får ta del av 
☐  ☐  ☒  ☐  3 
arkivet 
sekretessreglerad information. 
Meddelanden från systemet 
Risk för personuppgiftsincident. 
☐  ☒  ☐  ☐  1 
skickas til  fel person/rol  
Uppgift om placering i 
Risk att känslig personuppgift sprids i fritextfält. Gäl er 
☐  ☐  ☒  ☐  1 
grundsärskola/anpassad skola  flera stäl en i Unikum. 
räknas som en känslig 
personuppgift 
 
 
☐  ☐  ☐  ☐   
 
 
☐  ☐  ☐  ☐   
Behov av fortsatt konsekvensbedömning 
☒ Ja, fortsatt konsekvensbedömning behövs. 
☐ Nej, fortsatt konsekvensbedömning behövs inte. 
Del 2: Fortsatt konsekvensbedömning 
Systematisk beskrivning av behandlingarna 
Följande information finns i UBN Uppsala kommun, artikel 30 register kring de 
behandlingar som är i fokus för denna konsekvensbedömning: 
Pedagogiskt stöd för lärandet i förskola, grundskola och gymnasieskola. Stöd för att 
planera, genomföra och följa upp undervisning och utvecklingssamtal. Stöd för 
Sida 5 (11) 
bedömning, extra anpassningar, underlag för utvecklingssamtal och betygsättning, 
samt kommunikation kring detta. 
Organisera, planera och följa upp läsår. Lokalt register för planering, genomförande och 
utvärdering av undervisning i form av planeringar, elevuppgifter, anteckningar, listor, 
informationsbrev, verksamhetsplaner för grundskola, gymnasieskola, anpassad 
grundskola och gymnasieskola, fritidshem, resursundervisning och 
modersmålsundervisning. 
Unikums e-tjänst med til hörande digitala verktyg har upphandlats för att underlätta 
processerna kring lärande och kvalitet som de uttrycks i lagar, läroplaner, al männa råd 
och andra styrdokument för utbildningsväsendet. 
Tjänsten ska stödja följande processer: 
  Pedagogisk planering 
  Pedagogisk bedömning 
  Utvecklingssamtal inklusive den individuel a utvecklingsplanen 
  Stödinsatser med Extra anpassningar 
  Statistik och uppföljning för det systematiska kvalitetsarbetet 
  Övergångar inom och mel an skolformer 
  Dialog med hemmet 
Behandlingarna berör elever, vårdnadshavare och anstäl da i Uppsala kommun. 
Personuppgifter som hanteras delas in i följande kategorier: Kontoinformation, 
Personlig information, Personlig dokumentation, Formativ dokumentation samt 
Gruppdokumentation. Personuppgifterna finns mer utförligt beskrivna i 
personuppgiftsbiträdesavtalet mel an Uppsala kommun och Unikum. 
Känsliga personuppgifter kan förekomma i form av: Uppgift om hälsa dels utifrån 
placering på grundsärskola el er resursenhet. Dels i förekommande fal  i den personliga 
dokumentationen el er i den formel a dokumentationen. 
Leverantören Unikum - Unikt lärande AB til handahål er de digitala verktygen helt och 
hål et som en molntjänst och driften av al a servrar förvaltas av leverantören. En 
integration är uppsatt mel an Uppsala kommuns tjänst för skol- och 
elevadministration, IST Administration och Unikum. 
Användarbehörighet til  rol erna; administratör för skolenhet, kommunadministratör, 
kommunobservatör och systemförvaltare söks och administreras via Uppsala 
kommuns system för behörigheter, Iris. Behörigheter och relationskopplingar för 
personal i Uppsala kommun, elever och vårdnadshavare administreras via den 
uppsatta integrationen. Vissa behörigheter som observatör på skolenhet administreras 
av utsedda administratörer på skolnivå. Behörigheter bygger på principen att 
användare enbart ska komma åt och kunna hantera de personer som ingår i 
användarens anstäl ningsuppdrag (personal). Elever och vårdnadshavare kommer 
enbart åt dokumentation som berör den egna personen/barnet. 
 
Sida 6 (11) 
Bedömning av behovet och proportionalitet 
Behovet av behandlingen och proportionaliteten i förhållande till dess ändamål 
Behovet består i att stödja den kommunala grundskolans och gymnasieskolans 
processer för lärande och undervisning kopplat til  dokumentationskrav för det 
systematiska kvalitetsarbetet. I enlighet med Skol agen, Grundskoleförordningen, 
Gymnasieförordningen, Skolverkets Al männa råd och Skolverkets författningssamling 
(SKOLFS). 
Rättslig grund för behandlingen 
Behandlingen grundar sig på de rättsliga grunderna: Rättslig förpliktelse samt uppgift 
av Al mänt intresse 
Information och kommunikation med de registrerade 
Inga särskilda personuppgifter behöver hämtas in utöver de som kommer med 
kopplingen til  IST Administration. För al män information hänvisas til  Uppsala 
kommuns hemsida, Behandling av personuppgifter - Uppsala kommun 
Personuppgiftsbiträden 
Personuppgiftsbiträdesavtal finns upprättat med Unikum – Unikt lärande AB 
Överföring av personuppgifter till tredjeländer eller internationella 
organisationer 
Ingen överföring av personuppgifter sker til  tredje land. 
Sida 7 (11) 
Hantering av risker för de registrerades rättigheter och friheter 
 
 
 
-4)
 
 
Risk som behandlingen 
ycket allvarlig
Åtgärd – vad som nämnden/kommunen ska 
Händelse 
medför 
Liten konsekvens
Betydande
Allvarlig
M
Sannolikhet (1 göra för att ta bort eller minska risken 
Ansvarig för åtgärd 
Obehörig får del av 
Personuppgifter sprids utanför  ☐  ☐  ☒  ☐  1 
Leverantören ska etablera och upprätthål a en 
Förvaltningsobjektet 
personuppgifter 
den personuppgiftsansvariges 
informationssäkerhet som skyddar mot intrång 
pedagogiska system 
verksamhet och används i 
(se KLASSA). Riskanalysen utgår från att systemen 
annat syfte än det 
driftas av leverantören (Unikum) 
ursprungliga. Ev. skadestånd 
Personuppgiftsansvarig ska etablera och 
Dataskyddsamordnare 
til  registrerade. Gäl er 
upprätthål a en informationssäkerhet som 
spridning hos PuB. 
skyddar mot intrång. Hänvisning til  kommunens 
rutiner och riktlinjer. 
Obehöriga får del av 
Personuppgifter sprids utanför  ☐  ☐  ☒  ☐  2 
Utbildning och rutiner för användare av systemen  UBF ledning til sammans 
personuppgifter 
den personuppgiftsansvariges 
behöver formaliseras. 
med rektor och i samarbete 
verksamhet och används i 
med förvaltningsobjektet 
annat syfte än det 
ursprungliga. Gäl er spridning 
hos PuA. 
Leverantören visar sig inte 
Krav i dataskyddsförordningen  ☐  ☐  ☒  ☐  1 
Leverantören ska etablera och upprätthål a en 
Förvaltningsobjektet 
kunna etablera el er 
kan inte uppfyl as. Hävning kan 
informationssäkerhet som kan kontrol eras 
pedagogiska system 
upprätthål a til räcklig 
ske. 
fortlöpande. Ingår i KLASSA. 
informationssäkerhet. 
Behörighet är felaktig utifrån  Medarbetare har til gång til  
☐  ☒  ☐  ☐  2 
Översyn av behörighetssystem och revisioner av  Förvaltningsobjektet 
rol  i systemet el er ges til  
personuppgifter som inte är 
behörigheter ses över kontinuerligt. Rutin för 
pedagogiska system 
felaktig person 
nödvändiga för dennes 
extra kontrol  att behörighetsansökan i Iris är 
arbetsuppgifter. 
korrekt. 
Sida 8 (11) 
 
 
 
-4)
 
 
Risk som behandlingen 
ycket allvarlig
Åtgärd – vad som nämnden/kommunen ska 
Händelse 
medför 
Liten konsekvens
Betydande
Allvarlig
M
Sannolikhet (1 göra för att ta bort eller minska risken 
Ansvarig för åtgärd 
Utökad behörighet kan ges til   Medarbetare har til gång til  
☐  ☐  ☒  ☐  3 
Del av en årlig lokal checklista. Behörighet måste  Rektor ansvarar att 
fler personer på samma nivå 
personuppgifter som inte är 
sökas i Iris för rol en administratör och observatör  åtgärden utförs med 
nödvändiga för dennes 
i Unikum. 
centralt stöd 
arbetsuppgifter. 
Vissa beslutade rol er på skolan ges utökad 
(verksamhetsutvecklare + 
behörighet som inkluderar 
objektet) 
introduktion/utbildning.  
Översyn av rutiner för ansökningsprocessen för 
godkännande i Iris. 
Personer med skyddat ID 
Manuel  registrering av 
☐  ☐  ☐  ☒  2 
Rutin för skapande och revision av manuel t 
Rektor med stöd av UBF 
personer med skyddat ID sker 
skapade konton. Placering av elev med skyddat ID  Grundskola/Gymnasieskola 
manuel t på respektive 
i särskild undervisningsgrupp/klass. 
och HUB 
skolenhet. Centraliserad 
administration är ej möjlig. 
Lärlogg för enskild person 
Förekomsten av känsliga och 
☐  ☐  ☐  ☒  1 
Rutin om användningen av fritextfält. 
Rektor med stöd av UBF 
integritetskränkande uppgifter. 
Grundskola/Gymnasieskola 
Beskrivning av person istäl et 
för beskrivning av relevant 
information. Spridning av 
personuppgifter til  obehöriga. 
Kommentarer och reflektioner  Förekomsten av känsliga och 
☐  ☐  ☐  ☒  1 
Rutin om användningen av fritextfält. 
Rektor med stöd av UBF 
kopplad til  enskild person 
integritetskränkande uppgifter. 
Grundskola/Gymnasieskola 
Beskrivning av person istäl et 
för beskrivning av relevant 
information. Spridning av 
personuppgifter til  obehöriga. 
Sida 9 (11) 
 
 
 
-4)
 
 
Risk som behandlingen 
ycket allvarlig
Åtgärd – vad som nämnden/kommunen ska 
Händelse 
medför 
Liten konsekvens
Betydande
Allvarlig
M
Sannolikhet (1 göra för att ta bort eller minska risken 
Ansvarig för åtgärd 
Skriftliga omdömen 
Förekomsten av känsliga och 
☐  ☐  ☐  ☒  1 
Implementering av Al männa råd från Skolverket  Rektor med stöd av UBF 
integritetskränkande uppgifter. 
om utvecklingssamtalet och den skriftliga 
Grundskola/Gymnasieskola 
Beskrivning av person istäl et 
individuel a utvecklingsplanen. 
för kunskapsutveckling. 
Spridning av personuppgifter 
til  obehöriga. 
Extra anpassningar 
Förekomsten av känsliga och 
☐  ☐  ☒  ☐  2 
Ta fram särskild rutin för användande och gal ring  UBF 
integritetskränkande uppgifter. 
av funktionen ’Säkra anteckningar och Extra 
Grundskola/Gymnasieskola 
Beskrivning av person istäl et 
anpassningar’. 
för beskrivning av 
Uppföljning av införandet av rutinen. 
anpassningen. Spridning av 
personuppgifter til  obehöriga. 
Säkra anteckningar 
Förekomsten av känsliga och 
☐  ☐  ☒  ☐  3 
Ta fram särskild rutin för användande och gal ring  UBF 
integritetskränkande uppgifter. 
av funktionen ’Säkra anteckningar och Extra 
Grundskola/Gymnasieskola 
Beskrivning av person istäl et 
anpassningar’. 
för beskrivning av relevant 
Uppföljning av införandet av rutinen. 
information. Spridning av 
Multifaktorsinloggning obligatoriskt. Hanteras av 
personuppgifter til  obehöriga. 
leverantören. 
Utvecklingssamtal 
Förekomsten av känsliga och 
☐  ☐  ☐  ☒  2 
Implementering av Al männa råd från Skolverket  Rektor med stöd av UBF 
integritetskränkande uppgifter. 
om utvecklingssamtalet och den skriftliga 
Grundskola/Gymnasieskola 
Beskrivning av person istäl et 
individuel a utvecklingsplanen 
för beskrivning av 
kunskapsutveckling. Spridning 
av personuppgifter til  
obehöriga. 
Sida 10 (11) 
 
 
 
-4)
 
 
Risk som behandlingen 
ycket allvarlig
Åtgärd – vad som nämnden/kommunen ska 
Händelse 
medför 
Liten konsekvens
Betydande
Allvarlig
M
Sannolikhet (1 göra för att ta bort eller minska risken 
Ansvarig för åtgärd 
Manuel a hantering av grupper  Manuel  hantering av vem/vilka  ☐  ☒  ☐  ☐  3 
Årlig översyn av al a manuel a grupper. Även 
Rektor med stöd av UBF 
och konton, både skapade 
som ingår i grupp. Risk att fel 
översyn av om personer har lagts til  manuel t i 
Grundskola/Gymnasieskola 
grupper och til ägg i synkade  person får ta del av information 
klasser/grupper. 
och HUB 
grupper. 
i gruppen. 
Elevers historik, uppgifter i 
Risk att nya personer i relation  ☐  ☐  ☒  ☐  3 
Översyn av rutiner til sammans med jurister. 
UBF 
arkivet. 
til  elev får ta del av 
Förvaltningsobjektsaktivitet att driva med 
Grundskola/Gymnasieskola, 
sekretessreglerad information. 
leverantör. 
HUB och förvaltningsobjekt. 
Meddelanden från systemet 
Risk för 
☐  ☒  ☐  ☐  1 
Utbildning och rutiner för användare av systemen  Rektor med stöd av UBF 
skickas til  fel person/rol  
personuppgiftsincident. 
behöver formaliseras. 
Grundskola/Gymnasieskola 
 
Uppgift om placering i 
Risk att känslig personuppgift  ☐  ☐  ☒  ☐  1 
Rutin om användningen av fritextfält. 
Rektor med stöd av UBF 
grundsärskola/anpassad skola  sprids i fritextfält. Gäl er flera 
Grundskola/Gymnasieskola 
räknas som en känslig 
stäl en i Unikum. 
personuppgift 
 
 
☐  ☐  ☐  ☐   
 
 
 
 
☐  ☐  ☐  ☐   
 
 
 
 
☐  ☐  ☐  ☐   
 
 
 
 
☐  ☐  ☐  ☐   
 
 
 
 
☐  ☐  ☐  ☐   
 
 
 
 
☐  ☐  ☐  ☐   
 
 
 
 
☐  ☐  ☐  ☐   
 
 
Sida 11 (11) 
 

Document Outline