"Därför vill jag uppmana dig och dina kollegor att omedelbart upphöra med distributionen av appen Öppna skolplattformen via de plattformar som ni använder. Jag vill också att ni slutar delar med er av den kod som härrör till staden API:er och tar bort dem från de plattformar (ex:Github) där ni har publicerat den." (sic!)

Det här är från ett meddelande skickat från Stockholms stads utbildningsdirektör till utvecklarna av Öppna Skolplattformen den 8:e april 2021. Det ser nästan ut som ett hot. Men det finns inget " annars...". Dock inte heller någon juridisk förklaring till uppmaningen*.

Det är nästan så man undrar om det här händer på riktigt, i Sverige. Ett land som vill bli ledande inom offentlig digitalisering.

Lite bakgrundsinformation

Skolplattformen är en gemensam digital plattform för Stockholms stads samtliga skolformer: förskola, grundskola, gymnasieskola och vuxenutbildning, inklusive särskolor. Den innehåller uppgifter om uppåt 500 000 elever, vårdnadshavare och lärare. Det är såväl känsliga och integritetskänsliga uppgifter som uppgifter om elever och lärare med sekretessmarkerade uppgifter eller skyddad identitet.

Öppna Skolplattformen är en app byggd av engagerade medborgare och vårdnadshavare med barn i Stockholms stad, som tröttnade på hur svåranvänd och frustrerande Skolplattformen är. Den erbjuder ett sätt att läsa informationen från Skolplattformen på ett enklare och mer tidseffektivt sätt. Appen sparar ingen information, utan visar bara upp Skolplattformens information på ett nytt sätt, med modern teknik. Man loggar in med BankID som vanligt för åtkomst.

Skolplattformens stökiga uppstart

Vi måste backa till upphandlingar som initierades redan 2013 för att börja nysta i den här härvan. Den 5 augusti 2013 skickade staden ut sitt pressmeddelande där det stolt meddelades:

Projektet Skolplattform Stockholm har tagit sin avstamp i regeringens strategi om den digitala agendan som en process som ska leda till att Sverige blir bäst i världen på att använda digitaliseringens möjligheter.

Projektet har då en budget på nära 700 miljoner kronor.

De leverantörer som blev involverade under åren 2013 och 2014 för att realisera detta verktyg är Tieto Sweden Healthcare & Welfare AB som tog hem It-stöd för barn- och elevregister, Nova Software som skulle lösa it-stöd för frånvaro och närvaro och Ping Pong som fick ansvar för it-stöd för dokumentation av barns och elevers lärande.

Itslearning AS vann också delen som gäller it-stöd för digitalt material och pedagogiska processer. De lyckades dock inte leva upp till sitt anbud och avtalet med dem avslutades 2016.

Det var också år 2016 som de första årens besvär blev uppenbara. I ett tjänsteutlåtande från november 2016 går man igenom problemen med leverantörer och styrning. Ansvar för projektet flyttar då från utbildningsnämnden till stadsledningskontoret.

I utlåtandet står bland annat:

Till följd av förseningar och problemen med leverans av tekniska lösningar kring pedagogiska verktyg valde styrgruppen för Skolplattform Stockholm att under våren 2016 tillsätta en extern granskning av projektet. Granskningen visade på brister i projektets styrning, projektledning, projektarbete samt leverantörsstyrning under införandefasen. Till detta påpekades avsaknad av koordinering mellan projektet och verksamheten samt avsaknad av uppbyggnad av förvaltningsorganisation inom utbildningsförvaltningen.

Eventuella konsekvenser av detta är framför allt att projektet blir försenat, skriver man också, och understryker att "Förvaltningen har som målsättning att skapa en lösning för barn, vårdnadshavare och elever som möter deras behov."

Det här var alltså i november 2016. Som vi ska se är det få som anser att deras behov blir tillgodosedda.

Skolplattformens budget

I slutet av 2016, när projektets bekymmer först uppdagas, påpekar Stockholms stads it-direktör Ann Hellenius att projektet har en maxbudget på 695 miljoner kronor som ännu inte överstigits. Dock uttrycker fackliga representanter stor oro. De har utan framgång försökt få svar på vad olika delar kostar. Att ansvaret flyttar från utbildningsförvaltningen tycker man också är bekymmersamt.

Den varnande lanseringen av Skolplattformen

När Skolplattformen höstterminen 2018 börjar rullas ut till stadens skolpersonal, elever och föräldrar så är man inom budget, enligt Christer Forsberg Philip som då var biträdande it-direktör på Stadsledningskontoret i Stockholms stad. Tyvärr har man vid lansering för 675 miljoner inte byggt en tjänst som håller vare sig hög säkerhet, är lätt att använda, eller klarar av de mest basala funktionerna.

Direkt efter lanseringen kan föräldrar inte sjuk- eller frånvaroanmäla sina barn. Lärarna kan inte nå ut med nyheter utan får fortsätta mejla, precis som innan. Lärare vittnar om buggar och att dokument försvinner, och att de undviker plattformen så långt det går. "I dagsläget finns det till exempel ingenstans där vi lärare kan skriva ut klasslistor över våra elever. Det är ett helt basalt behov man har som lärare." säger en pedagog på Östra Real.

Föräldrar beskriver plattformen som värdelös och uttrycker upprördhet över att så mycket skattepengar använts till något som inte funkar. Och Peter Hedenskog på Wikimedia Foundation kallar beloppet för en fantasisumma.

Den svårfångade kostnaden för Skolplattformen

I december 2018 ställer Computer Sweden frågan till Christer Forsberg igen, om vad plattformen kostar, och får då till svar:

– Det är samma summor som vi har kommenterat tidigare. 675 miljoner kronor kommer det att landa på. Vår budget låg på 695 miljoner, så vi går inte över den budget som kommunfullmäktige har fastställt.

Uppgiften stämmer inte. En månad senare står det klart att kostnaderna är betydligt högre. DN visar hur 258 miljoner i kostnader tillkommer till den summa som tidigare redovisats. Miljarden har överskridits.

Budgeten på 695 miljoner kronor gäller utvecklingen av plattformen. Och den utvecklingen pågår då fortfarande och beräknas inte vara färdig förrän hösten 2019. Och driftsbudgeten för plattformen har redovisats separat och inte tidigare synts i den totala kostnaden.

Man har heller inte satt någon årskostnad för plattformen eftersom den kan variera med antalet användare och utvecklingen av nya funktioner, säger stadsledningskontoret till DN. De egna personalkostnaderna under projektets gång kommer inte heller att redovisas.

Pressekretare Susan Ottosen säger:

Vi har 15 personer som jobbar på informations- och kommunikationstekniksavdelningen med den verksamhetsnära förvaltningen av plattformen, därutöver är det 10 medarbetare på avdelningen som även de jobbar med plattformen på ett eller annat sätt. Men eftersom vi inte tillämpar tidsredovisning så går det inte att mäta exakt hur mycket tid de spenderar på skolplattformen, säger hon.

Så här ser kostnaderna ut för de olika modulerna i Skolplattformen under 2019:

ModulKostnad
Startsida elever/pedagoger7.800.000
Startsida vårdnadshavare8.640.000
Pedagogiskt genomförande6.200.000
Planering och bedömning5.440.000
Barn och elevregistret44.975.000
Elevdokumentation20.210.000
Frånvaro/närvaro16.707.000
Schema9.281.000
Summa 119.253.000 kronor
Källa: Stadsledningskontoret Stockholms stad / DN

Nu börjar säkerhetsproblemen för Skolplattformen

I April 2019 skriver Computer Sweden hur Stockholms stad redan i januari fått in synpunkter om hur lätt det är för vuxna på Komvux att initiera chattar och videosamtal med barn hela vägen ner till förskoleklass. Barn som de inte har någon relation till. Detta via Microsoft Teams, som är det valda verktyget för den modulen. Men åtgärderna dröjer.

"Det här var ingenting som man tänkte på från början", säger Johanna Engman, CIO på Stockholm stad. "Det kom upp när föräldrar reagerat på att de såg alla kontakter inne i Teams och det har vi tagit till oss."

Samtidigt visar det sig att även barn med skyddade uppgifter har röjts i plattformen. Något som leder till att Utbildningsnämnden själva anmäler två incidenter till Datainspektionen (idag Integritetsskyddsmyndigheten), som inleder en granskning i juni samma år.

Till Computer Sweden säger Peter Åkerberg, tillförordnad IT-chef för enheten för informations- och kommunikationsteknik i Stockholms stad, att "bristerna redan är åtgärdade". Barn- och elevregistret är ett internt system som enligt Åkerberg inte kan nås av elever eller föräldrar. Åtkomsten till barn- och elevregistret ska vara begränsad till behörig personal inom skoladministrationen.

Inte helt sant.

Om du är med mig så här långt så inser du nog att det är börjar bli allt svårare att lita på vad Stockholms stad säger om kostnader, säkerhet, teknik och tidplaner.

Häpnadsväckande säkerhetshål i Skolplattformen

Den 21 augusti 2019 är jag en av de första att skriva om det säkerhetshål som upptäcks av Måns Jonasson. Genom att gå in i kodgranskaren via sin webbläsare upptäcker han att kan ändra några siffror och påverka hur tjänsten hämtar personuppgifter. Andras personuppgifter.

Först tror Jonasson att han bara kan komma åt personnummer på alla lärare hans son har eller har haft i skolan. Ganska snart visar det sig dock att kan komma åt få ut namn och personnummer på ALLA lärare i Stockholms stad, samt alla elever, samt alla elevers omdömen.

Skolplattformen i Stockholm har stora säkerhetshål
Runt 10-tiden i morse skrev Måns Jonasson [https://twitter.com/mansj?s=17] illavarslande på Twitter [https://twitter.com/mansj/status/1164081855286665216] att han via skolplattformen lyckas komma åt personnummer och namn på alla lärareoch elever i Stockholm, inklusive elevernas omdömen. > Genom …

Observera att det här är något som gick att komma åt för vem som helst som var inloggad på plattformen och att det inte behövdes mer än lite teknisk webbkunskap. Inget behövde "hackas", inga extra lösenord behövdes och man behövde inte komma åt någon källkod för plattformen. Det där rapporterades nämligen lite tveksamt ibland. Framför allt skulle vem som helst med datorvana snabbt kunna lära sig att göra det från valfri webbläsare.

När Åkerberg på Stockholms stad sa att information i barn- och elevregistret inte var tillgänglig för andra än behörig personal inom skoladministrationen – att "bristerna redan är åtgärdade", så fanns alltså sedan länge redan ett helt annat stort säkerhetshål som gjorde informationen tillgänglig för alla inloggade användare. Många hål blir det i den här hinken.

Den omfattande kritiken och de makalösa säkerhetsluckorna leder förutom till Datainspektionens granskning även till en intern granskning där man förutom säkerheten skulle se över användarvänlighet och projektstyrning. En granskning som planerades vara klar i mars 2020. Den annonseras som klar i juli och Stockholm stad menar på att det funnits flera delar som brustit men att man inte hittat några oegentligheter i arbetet."'

I Rambolls granskning från juni 2020 (PDF) kan vi läsa:

  • Skolplattformen är inte i linje med den ursprungliga idén och motsvarar inte användarnas behov.
  • Projektet bedrevs för långt ifrån verksamheten och användarnas involvering blev utmanande. Det saknades strukturer för hur verksamheterna skulle involveras löpande och att det var hög personalomsättning på representanter från verksamheterna.
  • Flera faktorer i styrningen av projektet försvårade genomförandet. När pressen på att leverera plattformen ökade "resulterade det i en kultur som präglades av en slutenhet och projektmedarbetare som lyfte problem tystades ner."
  • Överlämning från projekt till förvaltning påbörjades för sent.
  • Riskmedvetenheten försämrades över tid.
  • Implementeringen av Skolplattformen till skolorna skedde medvetet med svag styrning.

Här är några talande citat från Rambolls intervjuer:

”Mycket fick vi ta bort från presentation inför styrgruppen - inte läge att presentera. Fanns ingen transparens, det behövs”
”Utbildningsförvaltningen har haft svårt att se någon annans behov utöver gymnasium och grundskola”
”De sista modulerna implementerades i skolorna utan att de var testade”
”Vi kunde inte ha lektioner till slut. Hela verksamheten stannade upp”

Utredningen sammanfattar sina rekommendationer i 10 punkter:

  1. Se alla projekt som verksamhetsprojekt.
  2. Säkerställ stadens kompetens i alla led.
  3. Arbeta kontinuerligt med att involvera berörda parter och användare.
  4. Gör en grundlig analys i val av implementeringsform.
  5. Överväg agila arbetssätt och genomför gedigna tester innan lansering.
  6. Sträva efter en kultur präglad av öppenhet.
  7. Planera tidigt och bygg in flexibilitet i avtalen.
  8. Ha god ordning på administration och dokumentation i projekt.
  9. Överväg styrning i portföljmodell.
  10. Följ upp vad som krävs för ökad användning av Skolplattformen.

Det har nu gått sju år och en miljard kronor sedan processen startade som tog "avstamp i regeringens strategi om den digitala agendan som en process som ska leda till att Sverige blir bäst i världen på att använda digitaliseringens möjligheter." Stockholm har fått en undermålig plattform, men också en lista på 10 punkter som speglar kunskap som ingått i grundläggande projektledarutbildningar sedan decennier.

Sanktionsavgift mot Skolplattformen

I november 2020 är Integritetsskyddsmyndighetens granskning klar. De konstaterar:

Myndigheten har granskat fyra delsystem i Skolplattformen och har funnit allvarliga brister. I ett av delsystemen har brister i möjligheten att begränsa användarnas åtkomst till uppgifterna gjort att stora delar av personalen haft möjlighet att komma åt uppgifter om elever med skyddad identitet. I ett annat delsystem har vårdnadshavare på ett relativt enkelt sätt kunnat komma åt andra barns uppgifter om exempelvis betyg och utvecklingssamtal. Via sökningar på Google har det varit möjligt att hitta länkar för inloggning till ett administrationsgränssnitt och där komma över uppgifter om lärare med skyddad identitet.

Man anser inte att utbildningsnämnden "har säkerställt en lämplig säkerhet för personuppgifterna." De har inte heller "vidtagit tillräckliga lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken". Man har till exempel inte testat och utvärderat de olika tekniska säkerhetsåtgärderna.

I ljuset av detta utfärdade Integritetsskyddsmyndigheten en sanktionsavgift på fyra miljoner kronor för dessa överträdelser. I Sverige är maxgränsen för sanktionsavgifter mot myndigheter 10 miljoner kronor.

Kostnader för Skolplattformen... utredningar, drift, merarbete på grund av säkerhetshål och även nu sanktionsavgiften, tickar vidare.

Användarna är, åtta år efter projektets start, fortfarande oerhört missnöjda.

Det är då det händer.

Öppna Skolplattformen slår ner som en blixt

Vi är många föräldrar i Stockholm som genom åren hävt ur oss att vi borde bygga en egen skolplattform, en som visar hur det kan och borde fungera. Det är inte bara Skolplattformen som skapat problem, utan även många andra liknande plattformar i andra kommuner. Tankarna om att bygga eget var ofta mest snack förstås.

Men en förälder, och säkert många fler, byggde faktiskt små egna lösningar för att lättare komma åt informationen. En sådan applikation byggdes till exempel för att själv lättare kunna läsa sitt eget barns veckobrev. Snart så började de mest hängivna nyskaparna hitta varandra och en rörelse växte fram. Fler borde få tillgång till dessa användbara lösningar.

De tre föräldrar, tillika programmerare, som är initiativtagare till Öppna Skolplattformen heter Erik Hellman, Christian Landgren och Johan Öbrink. Samtliga har under flera år figurerat på IDG:s lista Sveriges 100 bästa utvecklare. Och ett tiotal utvecklare har just nu bidragit till det som idag är Öppna Skolplattformen. Fler blir det med tid, eftersom projektet just baseras på öppen källkod, finns tillgänglig och bjuder in till bidrag på Github, en publik plattform för utvecklingsprojekt.

När man väl bestämt sig för att bygga en app tillgänglig för alla föräldrar så tog det endast fem veckor till lansering. Och mottagandet kan inte beskrivas som annat än raka motsatsen till hur Skolplattformen togs emot.

Sigrun Tallungs, som stöttat projektet med användbarhet i egenskap av tjänstedesigner, skriver om hur rörelsen tog fart, och citerar en förälder:

"Åh herre gud, äntligen har det blivit roligt att kolla nyheterna för kidsen. Jäklar, vilket lyft. Kämpa på för att få överleva och göra denna till nåt ännu bättre!"

Fler recensioner upprepar detta beröm:

Fantastiskt!! TACK för att ni gör det här!!! Otroligt smidigt att få en snabb överblick (något som är totalt omöjligt med den traditionella Skolplattformen).
Så fantastiskt!! Laddade ner appen på vinst eller förlust, och vilken skillnad! Helt plötsligt hittar jag allt, lärarloggar som aldrig synts och allt är så enkelt strukturerat.

De recensioner som ger lågt betyg handlar om en oförmåga att logga in, något som beror direkt på stadens upprepade försök att blockera appen, som Öppna Skolplattformen förklarar:

Vi förstår att det är frustrerande. Stockholm Stad gör upprepade försök att sabotera för oss och vi rullar ut uppdateringar så snabbt vi hinner som åtgärdar det. Vi har gjort en ny uppdatering (version 1.5.7) med en fix som vi hoppas ska överleva lite längre. Testa den och tveka inte att kontakta oss igen om det fortsätter vara problem.

Öppna Skolplattformen blir symbol för ett monumentalt vägval för svensk förvaltning. Hur ska den här typen av omfattande projekt drivas när de visar sig för stora för en stad att själva hantera? Ska privata initiativ stävjas och blockeras?

Personerna bakom Öppna Skolplattformen vill visa vägen till ett tydligt alternativ: ett alternativ baserat på öppen källkod, API:er och medborgardriven utveckling. Staden ska absolut stå för infrastrukturen precis som de gjort, menar de, men användarnas gränssnitt kan göras så otroligt mycket bättre av andra, snabbrörliga aktörer med mer närhet till användarna och förmåga att förstå och använda den senaste tekniken.

Därför är Stockholms stads reaktioner och ageranden just nu så oerhört viktiga att förstå och sätta fokus på. De är avslöjande.

Stockholms stad sätter sig på tvären

I stället för att glädjas åt – och lära sig av – den positiva responsen som Öppna Skolplattformen mötts av så har Stockholms stad just nu valt att gå i försvarsställning och försöker stoppa initiativet på olika fronter. Deras budskap till media är tydligt: det är inte okej att göra som Öppna Skolplattformen gör.

Man vill utreda om appen är olaglig, säger man från stadens sida, och gör försök att bygga om inloggningen så att Öppna Skolplattformen inte ska fungera. Det kan nästan uppfattas som ironiskt givet att Stockholms stad själva uppfattades agera ansvarslöst och utanför lagen när Integritetsskyddsmyndigheten delgav dem en bot på 4 miljoner kronor.

Saken är den att rent tekniskt kan Öppna Skolplattformen jämföras med en webbläsare, som presenterar innehåll från Skolplattformen på ett sätt som gör det lättare att läsa, förstå och hantera. Att välja att blockera Öppna Skolplattformen blir då lite som att välja ut särskilda webbläsare som inte får användas, ungefär "du får använda Internet Explorer, men inte Google Chrome". Det skulle i sig förstås bryta mot krav på tillgänglighet.

Uppdatering 16 april: Måns Jonasson har gjort en film där han pedagogiskt förklarar hur en vanlig webbläsare hämtar information via Stockhoms stads API när man är inloggad på Skolplattformen. Filmen ligger på YouTube, så du kan se filmen där om du vill.

Skärmdump från Måns Jonassons film som visar hur en webbläsare hämtar information via Stockholms stads API:er.
Skärmdump från Måns Jonassons film som visar hur en webbläsare hämtar information via Stockholms stads API:er. Se filmen på YouTube.

Samtidigt som man försöker komma överens så är klyftan mellan parterna tydlig. Öppna Skolplattformen är öppen för att skriva avtal för hantering av personuppgifter. Stockholms stad gör vad de kan för att blockera.

En riktigt tråkig milestone. Version 1.5.5 är nu ute för iOS och löser senaste sabotageförsöket från staden. I och med den överskrider antalet sabotagefixar antalet featurereleaser med 6 mot 5. Är detta verkligen bästa sättet att använda utbildningsbudgeten? – Öppna Skolplattformen den 25 mars

Det nya tycks vara att när staden inte lätt lyckas blockera appen så ber man dem ta bort koden från Internet. Det finns flera tankefel här: 1) Återigen, appen lagrar inte någon information - bara visar den information som alla föräldrar redan har rätt att se när de loggar in med BankID. Därför blir den förstås svår att blockera mer än stundvis. 2) Koden för Öppna Skolplattformen ligger öppen på nätet (hela idén med öppen källkod) och har redan laddats hem och kopierats hundratals om inte tusentals gånger. Det blir ett sisyfosarbete att knacka på hos alla som har koden publicerad någonstans och be dem ta ner den. Samtidigt som man själva publicerar API:et öppet.

Det är det här jag fastnar i: Om Skolplattformen inte själva anser sig erbjuda en säker plattform, så fixar man väl Skolplattformen? Man går inte runt och ber andra att sluta hämta information som Skolplattformen är byggd för att tillåta dem hämta.

Det är inte utan att jag vill veta vad "task force Öppna Skolplattformen" har på agendan när de möts. Bilden nedan kommer från allmänna handlingar som begärts ut av Öppna Skolplattformen, där det framgår att man i mejl refererar till denna "task force".

Bild på utdrag av ämnesrader på mejl som skickats till och från Utbildningsförvaltningen i Stockholms stad. Källa: Twitter

Utgifterna tickar vidare

Samtidigt som den avslöjande konflikten pågår tickar förstås kostnaderna för en kommunalt finansierad plattform, som underkänts av dess användare, vidare. För en förståelse av hur användarna reagerat på stadens app kan du läsa recensioner för Skolplattformen Stockholm på App Store. I skrivande stund har Skolplattformen Stockholm ett snittbetyg på 1,1 av 5 efter 635 betyg. Öppna Skolplattformen har ett snittbetyg på 4,1 av 5 efter 185 betyg.'

Apropå kostnader så skrev Johanna Engman, it-direktör på Stockholm stad så här i ett uttalande 2018, när kritiken mot Skolplattformen växte:

Sett per användare hamnar kostnaden för att utveckla och införa skolplattformen på ungefär 4 000 kronor per användare.

För att bygga, underhålla och driva Öppna Skolplattformen säljer man appen till en engångskostnad på 12 kronor. Det är självklart inte en siffra som ska direkt jämföras med den som krävs för att ta fram all infrastruktur, men det vore bra att placera den siffran i ett sammanhang där årskostnaden för att drifta, projektleda och hantera allt som har med Skolplattformen att göra framgår, framför allt förstås gränssnittet mot användarna. Och inte minst: kostnaden det innebär för användare att bli frustrerade, arga och ledsna och se sitt arbete, sin tid och sitt välmående påverkas negativt.

När vi blickar framåt bör Stockholms invånare till exempel ha ett stort intresse av att förstå hur mycket pengar staden nu potentiellt lägger på att hindra ett gränssnitt som visat sig vara otvivelaktigt mycket bättre än det staden själv erbjuder.

Det har gått åtta år sedan ambitionerna fastställdes om att driva ett projekt i linje med att Sverige ska bli bäst i världen på att använda digitaliseringens möjligheter. Men på många sätt är det här bara de första stapplande stegen.

Lagbrott och dataintrång?

Under tiden jag skriver denna text publicerar Stockholms stad sin juridiska utredning (PDF) av Öppna Skolplattformen, strax efter lunchtid den 15 april.

I denna rapport beskrivs bakgrunden där staden menar att utvecklarna av Öppna Skolplattformen på en tidigare begäran fått avslag på att använda sig av de API:er som Skolplattformen använder mot sina leverantörer, även om de går att utläsa och använda. Staden säger att informationen omfattas av sekretess.

Samma rapport pekar på att Öppna Skolplattformen visserligen inte lagrar någon känslig information, men att deras sätt att visa informationen ändå möjligen skulle kunna vara ett lagbrott, inom ramen för det som kallas en "automatiserad behandling" av personuppgifter som används för exempelvis att läsa, sprida eller tillhandahålla personuppgifter.

Stockholms stad menar att det är bekymmersamt att de inte har kontroll över koden och vet hur appen kan förändras i framtiden.

Då staden inte kontrollerar källkoden som visar (behandlar) informationen, så har staden heller, inte den enligt lagen nödvändiga, kontrollen över hur den automatiserade behandlingen förändras över tid i nuvarande eller framtida versioner.

Vidare anser staden att "apputvecklarna olovligen och med uppsåt berett sig tillgång till en uppgift som därefter används för en automatiserad behandling".

Det är i lagens mening en personsuppgiftsbehandling som utvecklarna ägnar sig åt. Detta har skett trots dialog med apputvecklarna och fortsätter ske i samband med att utbildningsförvaltningen stänger ned delarna som möjliggör tredjepartåtkomst. Apputvecklarna försöker fortlöpande hitta alternativa sätt att nyttja stadens API:er för att fortsättningsvis spegla innehållet i skolplattformen.

Här blir det lite klurigt. Det är genom att "bereda sig tillgång till" dessa uppgifter som lagbrottet har skett, enligt rapporten. Det behövs inte att någon tagit del av uppgifterna. Det är juridiskt olovligt om man inte fått tillstånd "av den som har rätt att förfoga över uppgiften".

I korthet: man ser själva Stockholms stad som ansvariga för den information som behandlas i Öppna Skolplattformen. Eftersom de inte har kontroll över informationen så kan inte appen vara tillåten.

En ytterligare parameter är LOU (Lagen om offentlig upphandling):

Eftersom utbildningsförvaltningen inte tillhandahåller några öppna API:er (utbildningsverksamhet är undantagna PSI-direktivet) så krävs det en affärsförbindelse för att en tredje part ska få behandla personuppgifter och annan information. Eftersom det krävs en affärsförbindelse så måste utbildningsförvaltningen följa lagen om offentlig upphandling, LOU.

Rapporten hänvisar också till att domen för den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling för dataintrång är "böter eller fängelse i högst två år".

Stockholms stad har anmält en personuppgiftsincident till Integritetsskyddsmyndigheten och gör även en polisanmälan av Öppna Skolplattformen de närmaste dagarna.

Öppna Skolplattformen svarar

På Twitter har Öppna Skolplattformen gått ut och lämnat sina synpunkter på utredningen och "varför det är så olyckligt att rapporten är full av direkta felaktigheter".

För det första har man bara via appen "tillgång till information som vi som vårdnadshavare är behöriga till". Man länkar till stadens Frågor och svar som också tydliggör och bekräftar detta. Det är också fel att de efterfrågade  tillstånd för att använda stadens API, säger Öppna Skolplattformen, utan man bad om dokumentation, som man inte fick.

Till svar fick vi att dokumentationen är sekretessbelagd. Det har vi överklagat till Kammarrätten. Att hämta data genom deras API gör vi alla hela tiden- kräver inget tillstånd.

När det gäller stadens hänvisning till "sekretessbelagd information" när man pratar om stadens API:er pekar Öppna Skolplattformen på att vem som helst kan trycka på tangent F12 i webbläsaren Google Chrome och få upp den "sekretessbelagda" informationen. Inte så svåråtkomligt eller dolt alltså.

I rapporten står också:

Öppna Skolplattformens app kommunicerar, till skillnad från de vanliga webbläsarna, inte med stadens webbservrar. Öppna skolplattformens app kommunicerar direkt med stadens API:er

Det här är förstås väldigt underligt uttryckt och visar på en bristande teknisk kompetens hos de som genomfört utredningen. API:et ligger på en webbserver. Det är också Google Chrome som visar upp API:et. Flera kommentarer på Twitter indikerar att det är många som häpnar över hur det här verkligen avslöjar en oförståelse för hur webben fungerar.

Från Öppna Skolplattformens håll undrar man också varför staden inte också anmält till Integritetsskyddsmyndigheten den nya säkerhetsluckan i Skolplattformen som uppdagades i början av månaden, där en lucka tillät "en angripare hitta personuppgifter om hela Sveriges befolkning, alltså även de som inte bodde i Stockholm". Den stora säkerhetsluckan som staden upptäckte i december, som beskrivs som "permanent och enorm" har ännu inte heller åtgärdats efter fyra månader. Däremot anmäler man Öppna Skolplattformen som man bekräftat "inte lagrar någon känslig information".

Öppna Skolplattformen sammanfattar med att de nu ser fram emot att den här frågan utreds av någon annan än utbildningsförvaltningen själva.

Alldeles oaktat resultatet av denna utredning har jag fortfarande svårt att förlika mig med insikten att Stockholms stad har API:er som de benämner som "stängda", men som på ett väldigt lätt sätt går att se och ansluta till utan någon form av nyckel. Det borde ur ett perspektiv ses som positivt att detta har uppdagats, så att vi får klarhet i vad orden "stängd" och "sekretessbelagd" betyder i de här sammanhangen. För om Stockholms stad har ett öppet API som de inte vill kalla för öppet, men endast säger på papperet är hemligt, vad hindrar då vem som helst med valfria intentioner från att använda det?

I grund och botten är ju skälet till att vem som helst kan använda API:er att staden själva publicerat dem, inte någon annan.

Ny Teknik har hunnit prata med Christian Landgren, som  säger:

Min första reaktion är ”vad håller de på med?” Det här är inte svåra saker men den tekniska förståelsen är låg. Flera av rapportens antaganden är uppenbart och direkt felaktiga. Det går inte att ha ett samhälle där beställarens kunskapsnivå är så låg.

Vad kan Öppna Skolplattformen fällas för?

Uppdatering 19 april.

På måndagkvällen den 19 april deltog jag i Öppna Skolplattformens rum på Clubhouse där jag fick höra flera juridiskt kunniga personer uttala sig om rättsutredningen. Som alltid när det gäller juridik finns många utrymmen för tolkning, och jag kan känna att flera av de vinklar som togs upp var mer välformulerade än den faktiska rapporten från rättsutredningen klarade av.

Alla är eniga: det är staden själva som ger tillgång till ett API där informationen kan hämtas. Men några öppnar för att staden möjligen skulle kunna få säga att det API som de lagt öppet inte får användas av andra än av staden godkända aktörer.

Framför allt två saker uppfattar jag att man bör ha koll på när processen fortsätter:

  1. Det är inte glasklart hur lagen definierar dataintrång i det här sammanhanget. Öppna Skolplattformen visar personuppgifter. Förvisso endast i den mån att den person som själv äger rätt till uppgifterna kan läsa dem genom att identifiera sig med BankID. Ingenting sparas och det finns till exempel ingen databas med information som hanteras av Öppna Skolplattformen. Frågan kvar att ställa blir ändå:  Kan staden bestämma att medborgare inte får läsa sina uppgifter på andra sätt än de sätt som staden vill visa upp dem? Då skulle också den som möjliggör en sådan hantering potentiellt göra fel.

    Spontant skulle det kunna krocka med andra lagkrav på att göra innehållet tillgängligt för särskilda verktyg som används av personer med funktionsnedsättningar (se nedan).
  2. Den andra frågan berör stadens rätt att bestämma att ett API som de lagt öppet inte får användas. I sak spelar det möjligen ingen roll om information kan läsas öppet (som det nu kan), om det är så att staden på papperet bestämmer att informationen ska betraktas som skyddad. Det kan låta oerhört naivt, men vi får inte glömma att lagar som formuleras för en tydlig kontext kan upplevas krystade i nya sammanhang.

Det tål dock att upprepas: Om Stockholms stad själva anser att användningen av deras API:er som ligger fritt tillgängliga på Internet utgör en säkerhetsrisk så är det svårt att förstå varför de inte slutar göra dessa fritt tillgängliga på Internet.

Jag vill samtidigt påpeka att flera juridiskt sakkunniga också tvivlar starkt på att det finns något som Öppna Skolplattformen kan fällas för givet den information som finns tillgänglig just nu.

Vill väl, ingen far illa, polisen kopplas in

Som jag visat i denna artikel är det tydligt att Öppna Skolplattformen har gjort livet lättare för många vårdnadshavare i Stockholms stad. Sättet som man jobbar på öppnar också upp för möjligheter att tillhandahålla information som når fler människor, inklusive personer med vissa funktionsnedsättningar som idag inte klarar av att använda Skolplattformen.

I sina egna Frågor och svar skriver dessutom Stockholms stad själva:

Behöver jag som vårdnadshavare vara orolig för mina barns personuppgifter?

Nej, inte i nuläget. Utbildningsförvaltningen följer hur Öppna skolplattformen bereder sig tillgång till personuppgifter. Så länge öppna skolplattformen endast visar vårdnadshavares egna uppgifter bedömer utbildningsförvaltningen att vårdnadshavare inte behöver vara oroliga.

Att Öppna Skolplattformen hjälper många medborgare utan att någon skada uppstår (i alla fall ingen som är kommunicerad) är inte något som till synes hindrar staden från att gå vidare med en polisanmälan.

Jag vill också understryka att det finns många applikationer som används av personer med olika funktionsvariationer för att komma åt innehåll på webben. Till exempel används skärmläsare som NVDA, Jaws och många fler av personer med blindhet och synnedsättningar. Dessa applikationer använder oundvikligen samma API:er som mer traditionella webbläsare för att komma åt information, och de presenterar informationen på ett sätt som avviker från det som staden kan styra helt över. Om alla dessa verktyg är "godkända" av staden förtäljer inte historien, men att begränsa deras förmåga att hämta, läsa och presentera information skulle nödvändigtvis gå stick i stäv med Lagen om tillgänglighet till digital offentlig service.

Företrädare för Öppna Skolplattformen uttrycker det till slut så bra och lättfattligt när de vill påminna oss alla om att inte glömma bort det grundläggande behovet till varför det över huvud taget finns en ny app som vill hjälpa vårdnadshavare.

"Allt vi vill är ju bara att få tillgång till information så att våra barn till exempel inte glömmer gympapåsen när det är friluftsdag."

Detta enkla är det som Skolplattformen faktiskt inte lyckats med på ett adekvat sätt för vårdnadshavare.

Samtidigt i Kammarrätten

Det har under måndagen också dykt upp en uppmärksammad formulering som måste anses vara betydelsefull för hur Stockholms stad ser på sin egen plattform och hur den är byggd. Jag nämnde tidigare att Öppna Skolplattformen efterfrågat dokumentation för skolplattformens API. När de inte fick det överklagade de till Kammarrätten. Det har nu kommit ett yttrande till Kammarrätten från Stockholms stad där IT-chefen på utbildningsförvaltningen uppger varför API-dokumentationen har hemligstämplats:

"Samtliga tekniska lösningar som hanterar inloggning, integrationer och dialog mot företag och medborgare måste byggas om och designas om i grunden om staden tvingas lämna ut ramverk och beskrivningar runt utveckling och framtagande av e-tjänster, appar, och integrationer mellan e-tjänster/appar och dess verksamhetssystem." – Ur Aktbilaga 10 i mål 2598-21

Om det är så här illa så måste man ifrågasätta om Stockholms stads e-tjänster är tillräckligt säkra i nuläget för att kunna fortsätta användas. Om det inte är så här illa så blir frågan i stället varför man uppger något som är osant.

Öppna Skolplattformen blir kostnadsfri

Under måndagen berättade Öppna Skolplattformen även att man från och med den 20.e april tar bort prislappen på 12 kronor och gör appen helt gratis att ladda ner. För att fortsätta kunna ge viss ersättning till alla som lägger ner arbete för att bygga och underhålla appen kommer man i stället ta emot frivilliga gåvor via Patreon.

Fortsättning följer.