- Överföringen görs i e-tjänsten Administration provtjänsten
- Standarden SS 12000
- Alternativ 1: Skolverket hämtar data – provisionering enligt standarden SS 12000
- Alternativ 2: Data skickas till Skolverket med provisionerings-API
- Alternativ 3: Filinläsning
- Uppgifter som behöver överföras till Skolverket
- Autentisering vid maskinell överföring
- När behöver uppgifterna finnas tillgängliga på Skolverket?
- Behandling av personuppgifter i provtjänsten
- Begränsningar i överföring av vissa personuppgifter
- Film: De olika metoderna för överföring av uppgifter (tid 11:52 minuter)
- Film: Föra över uppgifter via filinläsning (tid 23:39 minuter)
Överföring av uppgifter till Skolverket
Innan ni kan genomföra de nationella proven digitalt behöver ni föra över uppgifter om era användare till Skolverket. Det finns tre olika sätt att föra över användaruppgifterna på. Ni kan välja det sätt som passar er verksamhet bäst.
För att lärare och elever ska kunna logga in och genomföra prov i provplattformen måste deras användaruppgifter föras över till Skolverket i god tid innan provgenomförandet. Det är huvudmannens ansvar att användaruppgifterna förs över till provtjänsten.
Överföringen görs i e-tjänsten Administration provtjänsten
Uppgifterna om användarna ska föras över via Skolverkets e-tjänst Administration provtjänsten. Från och med mars 2024 kan huvudmän börja föra över användaruppgifter för den skolpersonal och elever som ska genomföra digitala nationella prov och bedömningsstöd. Överföringen kan ske på tre olika sätt. Vilket alternativ ni väljer kan bland annat bero på hur många elever som finns i er organisation och vilka tekniska förutsättningar ni har.
Standarden SS 12000
För att säkerställa att olika system kan fungera tillsammans och för att underlätta administrationen hos huvudmännen rekommenderar Skolverket standarden SS 12000.
Alternativ 1: Skolverket hämtar data – provisionering enligt standarden SS 12000
Detta alternativ innebär att ni samlar ihop relevanta uppgifter och tillgängliggör dem enligt datamodellen i standarden SS 12000. Då kan Skolverket automatiskt hämta data från er server. Genom en prenumeration kommer Skolverkets server att veta när det finns data att hämta. Skolverket tillämpar standarden SS 12000.
För att klienterna och servrarna ska kunna utbyta information behövs autentisering. Det kommer att ske via ömsesidig autentisering med mTLS (mutual Transport Layer Security) – en lösning som Skolverket har testat och arbetar med att färdigställa.
Diskussionsforum om SS 12000, eID i skolan (kräver inlogg)
Länk till annan webbplats.
Alternativ 2: Data skickas till Skolverket med provisionerings-API
Detta alternativ innebär att ni samlar ihop de uppgifter som Skolverket behöver och som sedan skickas från er klient till Skolverkets provisionerings-API (Application Program Interface).
De uppgifter som förs över till Skolverket ska följa datamodellen i standarden SS 12000. Skolverket validerar om uppgifterna har förts över på ett korrekt sätt utifrån datamodellen.
För att klienten och servern ska kunna utbyta information behövs autentisering. Det kommer att ske via ömsesidig autentisering med mTLS.
API-specifikation för Provisionerings-API, GitHub Länk till annan webbplats.
Alternativ 3: Filinläsning
När uppgifter ska föras över till Skolverket, inför genomförande av bedömningsstöd och nationella prov, kommer manuell filinläsning kunna användas av er som saknar möjlighet att tillämpa maskinell överföring. Detta alternativ innebär att ni samlar ihop relevanta uppgifter i en fil som sedan läses in via ett manuellt gränssnitt som Skolverket kommer att tillhandahålla i god tid innan överföring ska ske.
De uppgifter som förs över till Skolverket ska följa datamodellen i standarden SS 12000. Skolverket validerar om uppgifterna har förts över på ett korrekt sätt utifrån datamodellen.
Filmallen anger de uppgifter som behövs för att genomföra provisionering via filinläsning. Några kompletterande attribut tillkommer under året.
Mall för överföring av uppgifter via filinläsning version 1.4
Excel, 61 kB.
Uppgifter som behöver överföras till Skolverket
Uppgifter om vem användaren är och vilken roll den har på skolan måste finnas i provplattformen före provgenomförandet. Om användaruppgifterna finns på olika ställen behöver ni sammanställa uppgifterna innan de förs över till Skolverkets provtjänst. Eftersom uppgifterna behöver uppdateras vid förändringar kommer överföringar av uppgifter att ske upprepade gånger.
Uppgifter om skolenhet
Elever kan bara tillhöra en skolenhet. Personal som ska hantera elever och deras prov måste tillhöra samma skolenhet.
Personal kan tillhöra flera skolenheter. Om huvudmannen har skolverksamhet med flera skolenheter kan personalen behöva föras över med kopplingar till alla de enheter där de har tjänstgöring.
Uppgifter om personalkategori
Användares personalkategori vid överföring styr vilken automatiskt tilldelad roll de får i provplattformen. När användarna har förts över kan skolan manuellt tilldela dem ytterligare roller i provplattformen.
Personalkategori angiven vid överföringen | Automatiskt tilldelade roller i provplattformen |
|---|---|
Rektor | Rektor |
Skoladministratör | Skoladministratör |
Lärare, förstelärare | Lärare (inkluderar behörigheterna som rollerna Provledare och Bedömare har) |
Samtliga övriga personalkategorier | Övrig skolpersonal |
Attributlista
För närvarande gäller attributlistan ”Attributlista för Skolverkets provisionerings-API” för alternativen provisionerings-API och provisionering enligt standarden SS 12000. Listan finns som pdf och i Excelformat. I attributlistan finns federationsanvändarnamn EPPN (eduPersonPrincipalName) som är en unik identifierare som kopplar en persons inloggning i skolan till en användare i provtjänsten.
Attributlista för Skolverkets provisionerings-API (uppdaterad den 27 februari 2024) Excel, 26 kB.
En del grundskolor, sameskolor och specialskolor grupperar ämnena biologi, fysik och kemi som NO (naturorienterande ämnen) samt historia, geografi, religion och samhällskunskap, som SO (samhällsorienterande ämnen) i sina skoladministrativa system. Dessa gruppbeteckningar kommer inte att godkännas när huvudmannen överför uppgifter om elevernas undervisningsgrupper till Skolverkets provtjänst. Det beror på att eleverna skriver prov i varje enskilt ämne. Eleverna behöver därför tillhöra undervisningsgrupper med rätt specifik ämneskod för sin årskurs. Om din skola använder gruppbeteckningarna NO och SO i dag i de årskurser som genomför betygstödjande bedömningsstöd eller nationella prov måste dessa ändras till ämneskoder i de data som överförs till Skolverket.
Ni behöver se till att alla elever i årskurs 6 och 9 i grundskolan och sameskolan samt årskurs 7 och 10 i specialskolan tillhör undervisningsgrupper med följande ämneskoder.
Specifika ämneskoder för NO-ämnen, grundskola:
- Biologi: GRGRBIO01_6, GRGRBIO01_9
- Kemi: GRGRKEM01_6, GRGRKEM01_9
- Fysik: GRGRFYS01_6, GRGRFYS01_9
Specifika ämneskoder för SO-ämnen, grundskola:
- Geografi: GRGRGEO01_9
- Historia: GRGRHIS01_9
- Religionskunskap: GRGRREL01_9
- Samhällskunskap: GRGRSAM01_6, GRGRSAM01_9
Specifika ämneskoder för SO-ämnen, specialskola:
- Geografi: GRSPGEO01_10
- Historia: GRSPHIS01_10
- Religionskunskap: GRSPREL01_10
- Samhällskunskap: GRSPSAM01_7, GRSPSAM01_10
Specifika ämneskoder för NO-ämnen, specialskola:
- Biologi: GRSPBIO01_7, GRSPBIO01_10
- Kemi: GRSPKEM01_7, GRSPKEM01_10
- Fysik: GRSPFYS01_7, GRSPFYS01_10
Om ni skickar eller om Skolverket hämtar uppgifter från er via API behöver det administrativa systemet vara uppdaterat med korrekta id för ämneskoderna för attributet provaktivitet (parentActivity.id) innan uppgifterna överförs till Skolverkets provtjänst. Tillåtna värden för id och ämneskod kan hämtas från Open Data API.
En bra tidpunkt för att uppdatera systemet kan vara under sommaren.
Om din skola överför användaruppgifter via fil behöver du ange den specifika ämneskoden när du laddar upp filen i Administration provtjänsten. Ämneskoden anges i kolumnen provaktivitetsnamn på raden för varje ämnesgrupp. E-tjänsten kommer att vara tillgänglig i god tid före provtillfällena.
Autentisering vid maskinell överföring
För att alla användaruppgifter ska överföras säkert till Skolverkets provtjänst används autentisering mellan servrar och klienter. Vi har tagit fram ett särskilt API som utfärdar en så kallad auktoriseringstoken till klienter efter autentisering.
Du som huvudman måste uppfylla ett av följande krav för att kunna överföra uppgifter till Skolverkets provtjänst:
- Ansluta dig till en TLS-federation som är ansluten till Fidus och se till att ert klientcertifikat är med i TLS-federationens metadataregister.
- Skaffa ett klientcertifikat från en certifikatutfärdare som är godkänd av Fidus. Detta utreds och mer information publiceras senare.
TLS-federation Länk till annan webbplats.
Oavsett vilket krav du väljer, måste klientcertifikatet ha en koppling till huvudmannens organisationsnummer. Varje huvudman måste alltså ha minst ett klientcertifikat.
Detaljerad teknisk beskrivning av autentisering, GitHub Länk till annan webbplats.
När behöver uppgifterna finnas tillgängliga på Skolverket?
Fullständiga och korrekta användaruppgifter behöver vara tillgängliga för Skolverket i god tid före genomförandet av de första digitala nationella proven och bedömningsstöden. Uppgifterna ska ha förts över till Skolverket senast 30 dagar innan respektive prov eller bedömningsstöd ska genomföras. Detta ger Skolverket och huvudmännen tid att upptäcka och rätta till eventuella fel.
Om det finns särskilda skäl kan uppgifter om en enskild elev eller skolpersonal lämnas senare. Med särskilda skäl avses till exempel att en elev byter skola, att skolpersonal drabbas av sjukdom eller att något annat oväntat inträffar som skolan inte har kunnat förutse. Dessa förändringar kan ske senast sju kalenderdagar före provtillfället. Det finns dock inget hinder för att huvudmannen lämnar information samlat inför proven vid början av terminen eller en gång varje kalenderhalvår.
För kommunal vuxenutbildning på gymnasial nivå gäller samma riktlinjer som för övriga skolformer, med tillägget att uppgifter kommer att kunna överföras till Skolverket löpande under året.
Behandling av personuppgifter i provtjänsten
Skolverket har utrett när ni som huvudmän och när vi på Skolverket ska anses ha ansvar för behandlingen av personuppgifter i samband med att de nationella proven genomförs digitalt. Vi har kommit fram till att båda parter har självständiga uppdrag och därför rättsligt stöd att utföra nödvändiga personuppgiftsbehandlingar i provtjänsten. Fördelningen av ansvaret baseras på att vi på Skolverket har ett ansvar för att konstruera och tillhandahålla digitala nationella prov och att ni som huvudmän har en skyldighet att använda dem.
Då ansvarar huvudmännen för behandlingen
Ni som huvudmän ansvarar för behandlingen av personuppgifter
- fram till att ni för över användaruppgifterna till Skolverkets provtjänst
- när er skolpersonal använder provplattformen.
Då ansvarar Skolverket för behandlingen
När uppgifterna om användarna har kommit in till provtjänsten ansvarar vi på Skolverket för infrastrukturen och säkerheten i provtjänsten, och därför för merparten av de personuppgiftsbehandlingarna som sker där.
Inga PUBA-avtal behövs
Eftersom ni som huvudmän har rätt att behandla personuppgifter behöver ni inte teckna några så kallade personuppgiftsbiträdesavtal (PUBA-avtal) med Skolverket.
Behandlingen måste uppfylla EU:s krav
Både vi på Skolverket och ni som huvudmän måste se till att behandlingen av personuppgifter uppfyller kraven i EU:s dataskyddsförordning (GDPR) med tillhörande nationell lagstiftning.
Mer om huvudmannens ansvar
När ni som huvudmän använder provtjänsten gör ni det för att fullgöra er skyldighet att använda de nationella proven enligt skollagen (2010:800), skolförordningen (2011:185), gymnasieförordningen (2010:2039) och förordningen (2011:1108) om vuxenutbildning. Därför sker behandlingen av personuppgifter med den rättsliga grunden allmänt intresse.
Personuppgiftsansvaret för er som huvudmän är avgränsat till den läsning och strukturering som ni kan genomföra. Skyldigheten att tillmötesgå den enskildes rättigheter enligt EU:s dataskyddsförordning i provtjänsten är därför begränsad till när ni som huvudmän för över användaruppgifter samt läsning och strukturering när ni använder provplattformen.
Behandling av personuppgifter vid användning av Eduid som inloggningstjänst och e-legitimation
Har huvudmannen valt Eduid som inloggningstjänst ansvarar Skolverket för behandlingen av personuppgifter i e-tjänsten Administration provtjänsten i samband med beställningen av Eduid. Skolverket ansvar även för behandlingen av personuppgifter i Sunets tjänster Eduid Connect och Eduid Hantera elever. Skolverket har ett personuppgiftsbiträdesavtal med Vetenskapsrådet som driver Sunet.
All personal som ska använda Eduid som inloggningstjänst eller använda Eduid enbart som e-legitimation behöver skapa ett personligt Eduid-konto. Vetenskapsrådet ansvarar för behandlingen av de personuppgifter som behövs för att skapa ett personligt Eduid-konto. Eftersom Vetenskapsrådet har rätt att behandla personuppgifter behövs inte något personuppgiftsbiträdesavtal mellan huvudmannen och Vetenskapsrådet.
Vad gäller för betygsstödjande bedömningsstöd?
Om ni som huvudmän väljer att använda provtjänsten för att genomföra digitala betygsstödjande bedömningsstöd ska personuppgifterna behandlas på samma sätt som för digitala nationella prov.
Begränsningar i överföring av vissa personuppgifter
Skolverkets provtjänst kan inte ta emot skyddade personuppgifter, samordningsnummer samt utländska eller tillfälliga personnummer förrän tidigast hösten 2024. I dagsläget behöver vi vidareutveckla provtjänsten så att dessa uppgifter kan tas emot på ett tillräckligt säkert sätt. Innan vi har en lösning på plats får bara svenska personnummer som finns i folkbokföringen föras över. Detta är en tillfällig begränsning som ska säkerställa att skyddade personuppgifter inte röjs.
Vad innebär skyddade personuppgifter?
Skyddade personuppgifter innebär att en elev eller en skolanställd har sekretessmarkering eller skyddad folkbokföring hos Skatteverket.
Så påverkar det bedömningsstöden i årskurs 6 våren 2024
Den tillfälliga begränsningen innebär att elever och personal som har skyddade personuppgifter, samordningsnummer samt utländska eller tillfälliga personnummer inte kan genomföra de digitala betygsstödjande bedömningsstöden i årskurs 6 under våren 2024.
Det är inte obligatoriskt att genomföra de betygsstödjande bedömningsstöden. Därför är det rektorn som fattar beslut om och hur övriga elever i årskurs 6 ska genomföra bedömningsstöden utan att det riskerar att peka ut elever med skyddade personuppgifter. Rektorn kan till exempel besluta att hela klasser eller bara enskilda elever inte ska genomföra bedömningsstöden. Beslutet bör fattas i samråd med berörda lärare, huvudmannen och den som är personuppgiftsansvarig.
En lösning på plats till hösten 2024
Skolverkets målsättning är att ha en lösning på plats som innebär att alla typer av personuppgifter kan föras över på ett säkert sätt inför genomförandet av digitala nationella prov och bedömningsstöd hösten 2024. I arbetet med denna lösning kommer vi att involvera olika målgrupper.
Det händer om ni för över skyddade personuppgifter, samordningsnummer samt utländska eller tillfälliga personnummer
Skolverket kontrollerar alla uppgifter som förs över till provtjänsten. Vi kommer därför att meddela er om ni av misstag för över skyddade personuppgifter, samordningsnummer samt utländska eller tillfälliga personnummer till provtjänsten. Vi kommer också att meddela er om en person får skyddade personuppgifter efter att ni har fört över uppgifter till oss. Ni har då möjlighet att ta bort uppgifterna. Om ni inte har gjort det inom tio dagar gör vi på Skolverket en egen gallring.
Alla huvudmän måste utse minst en person som kan ta emot notiser om skyddade personuppgifter från oss. Ni ger den personen en fullmakt i Bolagsverkets e-tjänst Mina ombud. För att personen ska få notiser behöver den logga in i Administration provtjänsten och registrera sin e-postadress. Systemet skickar sedan notiser till e-postadressen. Notiserna säger att det finns ett viktigt meddelande om skyddade personuppgifter att läsa i Administration provtjänsten.
Om ni har skapat fullmakter före den 6 november 2023 inkluderar de inte behörighet för skyddade personuppgifter. Då behöver ni ge en ny fullmakt till de personer som ska ha behörighet att behandla skyddade personuppgifter.
Logga in i Mina ombud
Länk till annan webbplats, öppnas i nytt fönster.
All behandling av personuppgifter i provtjänsten måste ske på ett rättssäkert sätt. Vi behöver vara helt säkra på att vi i alla situationer kan skydda elevernas och personalens personuppgifter – särskilt de som omfattas av sekretess.
I våra samråd med huvudmannarepresentanter har vi sett att huvudmän behandlar skyddade personuppgifter i sina system på olika sätt och att rutinerna för avidentifiering (pseudonymisering) ser olika ut. Tack vare samråden har vi insett att provtjänsten i dagsläget inte kan ta emot uppgifterna på ett säkert sätt. Vi bedömer därför att provtjänsten behöver utvecklas för att ha ett tillräckligt säkert skydd för de personer som har en hotbild eller av andra skäl har skyddade personuppgifter.
Samordningsnummer, tillfälliga personnummer, utländska personnummer eller liknande former av identitetsbeteckningar gör det dessutom svårt för oss att göra korrekta sekretessprövningar innan vi kan lämna ut personuppgifter när någon begär ut en allmän handling. Det här innebär en komplexitet i behandlingen av personuppgifter och vi arbetar med att ha lösningar på plats inför hösten 2024.