Var göms elevernas personuppgifter på skolans Macar — och hur hittar du dem?

Var göms elevernas personuppgifter på skolans Macar — och hur hittar du dem?

En skola drivs på personuppgifter. Namn, personnummer, betyg, hälsonoteringar, vårdnadsuppgifter, foton, uppgifter om särskilt stöd. Det mesta är nödvändigt. Problemet är inte att skolan har uppgifterna – det är att kopior av dem, år efter år, sprider sig tyst över personalens Macar och gemensamma diskar långt efter att någon behöver dem.

Om du sköter IT på en skola eller för en hel kommuns skolor på Apple-hårdvara är det här din tysta risk. Här är var det samlas, varför det spelar roll enligt GDPR, och hur du hittar det innan det blir en incident.

Varför spridd elevdata är en verklig risk

Två principer i GDPR gör det mesta av jobbet här:

Ett fem år gammalt kalkylark med elevers personnummer i en lärares Hämtade filer-mapp bryter mot båda. Och skadan är inte abstrakt: exponerad elevdata kan möjliggöra identitetsstöld, avslöja ett barns skyddade adress eller röja känsliga kategorier som hälsa eller etnicitet. För barn är riskerna större och toleransen lägre.

Den obekväma sanningen är att de flesta skolor faktiskt inte vet var allt finns. Det är inte slarv – det är entropi.

Var det faktiskt göms på en Mac

I praktiken samlas elevdata på samma ställen:

Inget av det är ovanligt. Det är vardagsspåren av människor som försöker göra sitt jobb.

Varför Spotlight inte räcker

Instinkten är: “Jag söker bara efter det.” Men Spotlight svarar på fel fråga. Den är byggd för att hitta en fil du letar efter via namn eller nyckelord – inte för att svara på “vilka av mina 40 000 filer innehåller ett personnummer, ett kortnummer eller en hälsonotering?”

Spotlight kan inte:

För att granska personuppgifter behöver du mönsterbaserad detektion, inte nyckelordssökning.

En praktisk granskning du kan göra den här terminen

Du behöver inget stort projekt för att komma framåt. Ett skyddande, upprepbart svep ser ut så här:

  1. Välj omfattning. Börja med en gemensam disk eller en avdelnings Macar – inte allt på en gång.
  2. Inventera filtyperna. Dokument, kalkylark, PDF:er, bilder, mejlexporter, arkiv. Känslig data finns i alla.
  3. Skanna efter mönster, inte namn. Leta efter personnummer, konto- och kortnummer, e-post, telefonnummer och nyckelord för särskilda kategorier (hälsa, etnicitet, religion).
  4. Rangordna efter känslighet. En fil med 200 elevers personnummer väger tyngre än en enstaka e-postadress.
  5. Besluta per fil: behåll och skydda, minimera (ta bort det ni inte behöver), eller radera (bortom gallringstiden). Skriv ner beslutet.
  6. Dokumentera vad ni gjorde. En kort logg – “vi skannade X, hittade Y, åtgärdade Z” – är precis den bevisning ett registerförteckning (artikel 30) eller ett registerutdrag (DSAR) behöver senare.

Gör det en gång så blir du förvånad över vad som dyker upp. Gör det varje termin så håller det sig i schack.

Att hålla det på ett ställe

Allt ovan går att göra manuellt – och för en liten skola kan ett disciplinerat terminssvep räcka. När ni skalar till hundratals enheter blir flaskhalsen att hitta datan tillförlitligt över alla filtyper utan att skicka den till en molntjänst (vilket ni särskilt inte vill göra med barns uppgifter).

Det är precis problemet jag byggde GDPR File Audit för att lösa: en Mac-app som skannar mappar och nätverksdiskar helt lokalt – inget laddas upp – och flaggar filerna som innehåller personuppgifter, och sen exporterar en rapport för dataminimering, artikel 30-förteckning och registerutdrag.

Men verktyget är sekundärt. Vanan är det som räknas: skanna, prioritera, minimera, dokumentera – varje termin. Elevernas uppgifter är värda det.