Di Digital har tidigare skrivit om Öppna Skolplattformen, som grundades av programmeraren Christian Landgren som tröttnat på stadens egen skolplattform. Christian Landgren fick med sig andra it-kunniga i projektet, och sedan lanseringen tidigare i år har den laddats ned av runt 4 000 föräldrar.
Stockholms stad såg dock inte positivt på initiativet och tillsatte en juridisk utredning där även IMY, Integritetsskyddsmyndigheten, medverkat. Man har även bett skaparna att pausa appen. Nu är utredningen klar och Stockholms stad kommer att polisanmäla Öppna skolplattformen.
Vad har utredningen kommit fram till och varför polisanmäler ni?
”Vi har tittat på appen utifrån många perspektiv och kommit fram till att det kan föreligga dataintrång, brott mot dataskyddsförordningen och intrång i upphovsrätten, eftersom man skapar egna publikationer med personuppgifter som finns från vårt register. Det har vi inte gett tillstånd till”, säger Lena Holmdahl.
IMY menar att det är Stockholms stad som är ansvarig för publiceringen av uppgifterna, även om det är en annan part som använder sig av dem. Personerna bakom Öppna skolplattformen är villiga att skriva på ett så kallat personuppgiftsavträdesavtal, ett GDPR-avtal som reglerar hur hantering av personuppgifter ska ske mellan parterna.
”Då måste man göra en upphandling, och då har vi Lagen om upphandling att ta hänsyn till. Vi som myndighet har lagar och regler att förhålla oss till. Därför vill vi att det här ska prövas ordentligt”, säger hon.
Läs mer: Stockholms stad sätter krokben för föräldrarnas skolplattform
Erik Hellman, en av hjärnorna bakom appen, köper inte argumentet.
”Vi säljer ingenting till Stockholms stad. Vi vill ha ett avtal där vi tar på oss att inte behandla personuppgifter på ett felaktigt sätt. Det gör vi inte i dag heller, något stadens utredning visar. Inga uppgifter visas utanför din telefon”, kommenterar han.
Öppna skolplattformen har två gånger begärt ut Stockholms stads API:er, det protokoll som används för att program ska kunna kommunicera med varandra, men blivit nekade. API:erna ligger dock öppna så Öppna Skolplattformen har kommit åt dem ändå. Appen har överklagat ärendet, som nu ligger hos kammarrätten.
Varför ligger API:erna öppet?
”Det gjordes när stadens e-tjänster skapades för ett antal år sedan. Jag vet inte varför man valde den lösningen, men utvecklingen har gått fort och ingen tänkte väl på att det här skulle hända. Jag vill dock betona att vi inte använder öppna API:er. Det är skillnad på begreppen om att det ligger ”öppet” och om det är en öppen API”, säger Lena Holmdahl.
Polisanmälan lämnades in under fredagseftermiddagen.
” I vår anmälan så anmäler vi misstänkt dataintrång. Vi redovisar historiken vad som skett, som återfinns i vår egen utredning. Sedan blir det blir polisens sak att utreda om det är person/personer eller företaget det gäller”, säger Lena Holmdahl.
Hon understryker att hon inte ser någon akut säkerhetsrisk med Öppna Skolplattformen.
”Annars hade vi stängt ned hela systemet. Jag förstår dem som vårdnadshavare, och jag vet att stadens egen app inte varit tillräcklig. Men den tekniska utvecklingen måste gå hand i hand med de lagar som råder”, kommenterar hon.
Läs mer: Stockholms stad åker på miljonsmäll för säkerhetslucka i sågad skolplattform
Erik Hellman tar säger att polisanmälan känns ”överväldigande”, men kan i dagsläget inte kommentera det juridiska.
”Vi gör precis samma sak som webbläsaren gör när du loggar in på Stockholms stads hemsida. Det enda vi gjort är att öppna utvecklingsverktyget i webbläsaren och ser anropen från API:et. I sådant fall får de polisanmäla Google och Apple också.”
Några planer på att stänga ned Öppna skolplattformen finns inte på kartan.
”Vi fortsätter att ha appen öppen och har öppen källkod. Vi vill bara ha en app som fungerar bra och låter föräldrarna läsa nyhetsbrevet på ett effektivt sätt”.
