- Standarden SS 12000
- Alternativ 1: Skolverket hämtar data – provisionering enligt standarden SS 12000
- Alternativ 2: Data skickas till Skolverket med provisionerings-API
- Alternativ 3: Filinläsning
- Uppgifter som behöver överföras till Skolverket
- Autentisering vid maskinell överföring
- När behöver uppgifterna finnas tillgängliga på Skolverket?
- Ansvar för personuppgiftshantering i provtjänsten
- Begränsningar i överföring av skyddade personuppgifter
- Film: De olika metoderna för överföring av uppgifter (tid 11:52 minuter)
- Film: Föra över uppgifter via filinläsning (tid 23:39 minuter)
Överföring av uppgifter till Skolverket
Innan era skolor kan genomföra de nationella proven i provplattformen behöver ni som huvudman föra över uppgifter om era användare till Skolverket. Det finns tre olika sätt att föra över användaruppgifterna på. Här kan ni läsa om vad de olika lösningarna innebär för att kunna välja vad som passar er verksamhet bäst.
För att lärare och elever ska kunna logga in och genomföra prov i provplattformen måste ni som huvudman se till att deras användaruppgifter förs över (provisioneras) till Skolverket i god tid före provgenomförandet. Ni administrerar överföringen via Skolverkets e-tjänst Administration provtjänsten.
Standarden SS 12000
För att säkerställa att nödvändig information ska kunna föras över mellan huvudman och Skolverket på ett effektivt, säkert och automatiserat sätt rekomederar Skolverket standarden SS 12000.
Alternativ 1: Skolverket hämtar data – provisionering enligt standarden SS 12000
Detta alternativ innebär att ni som huvudman samlar ihop relevanta uppgifter och tillgängliggör dem enligt datamodellen i standarden SS 12000. Då kan Skolverket automatiskt hämta data från er server. Genom en prenumeration kommer Skolverkets server att veta när det finns data att hämta. Skolverket tillämpar standarden SS 12000.
För att klienterna och servrarna ska kunna utbyta information behövs autentisering. Det sker via ömsesidig autentisering med mTLS (mutual Transport Layer Security) – en lösning som Skolverket erbjuder och kommer att vidareutveckla kontinuerligt.
Diskussionsforum om SS 12000, eID i skolan (kräver inlogg)
Länk till annan webbplats.
Alternativ 2: Data skickas till Skolverket med provisionerings-API
Detta alternativ innebär att ni som huvudman samlar ihop de uppgifter som Skolverket behöver och som sedan skickas från er klient till Skolverkets provisionerings-API (Application Program Interface).
De uppgifter som förs över till Skolverket ska följa datamodellen i standarden SS 12000. Skolverket validerar om uppgifterna har förts över på ett korrekt sätt utifrån datamodellen.
För att klienten och servern ska kunna utbyta information behövs autentisering. Det kommer att ske via ömsesidig autentisering med mTLS.
API-specifikation för Provisionerings-API, GitHub Länk till annan webbplats.
Alternativ 3: Filinläsning
För de huvudmän som saknar möjlighet till maskinell överföring kommer manuell filinläsning kunna användas för att föra över uppgifter till Skolverket. Detta alternativ innebär att ni som huvudman samlar ihop relevanta uppgifter i en fil som sedan läses in via ett manuellt gränssnitt som Skolverket tillhandahåller.
De uppgifter som förs över till Skolverket ska följa datamodellen i standarden SS 12000. Skolverket validerar om uppgifterna har förts över på ett korrekt sätt utifrån datamodellen.
Filmallen anger de uppgifter som behövs för att genomföra provisionering via filinläsning.
Mall för överföring av uppgifter via filinläsning version 1.4
Excel, 61 kB.
Uppgifter som behöver överföras till Skolverket
Uppgifter om vem användaren är och vilken roll den har på skolan måste finnas i provplattformen före provgenomförandet. Om användaruppgifterna finns på olika ställen behöver ni som huvudman sammanställa uppgifterna innan de förs över till Skolverkets provplattform. Eftersom uppgifterna behöver uppdateras vid förändringar kommer ni behöva föra över uppgifter till Skolverket upprepade gånger.
Uppgifter om skolenhet
Elever kan bara tillhöra en skolenhet medan personal kan tillhöra flera skolenheter. Personal som ska hantera elever och deras prov måste dock tillhöra samma skolenhet som eleverna.
Om huvudmannen har skolverksamhet med flera skolenheter kan personalen behöva föras över med kopplingar till alla de enheter där de har tjänstgöring.
Användares personalkategori vid överföring styr vilken automatiskt tilldelad roll de får i provplattformen. När användarnas uppgifter har förts över kan skolan manuellt tilldela dem ytterligare roller i provplattformen.
Personalkategori angiven vid överföringen | Automatiskt tilldelade roller och behörigheter på skolnivå i Skolverkets provplattform |
|---|---|
Rektor | Rektor (rollen har alla behörigheter i provplattformen) |
Skoladministratör | Skoladministratör (rollen har alla behörigheter i provplattformen) |
Lärare, förstelärare | Lärare (rollen har samma behörigheter som Provledare och Bedömare. Har även behörighet att se och exportera resultat för kopplade elevgrupper) |
Alla övriga personalkategorier | Övrig skolpersonal (rollen saknar behörigheter i provplattformen) |
Du hittar mer information om roller och hur de fördelas på sidan om att skapa en provorganisation.
En del grundskolor, sameskolor och specialskolor grupperar ämnena biologi, fysik och kemi som NO samt historia, geografi, religion och samhällskunskap som SO i sina skoladministrativa system. Dessa gruppbeteckningar kommer inte att godkännas när ni som huvudman överför uppgifter om elevernas undervisningsgrupper till Skolverkets provplattform. Det beror på att eleverna skriver prov i varje enskilt ämne. Eleverna behöver därför tillhöra undervisningsgrupper med rätt specifik ämneskod för sin årskurs. Om din skola använder gruppbeteckningarna NO och SO i dag i de årskurser som genomför betygstödjande bedömningsstöd eller nationella prov måste dessa ändras till ämneskoder i de data som överförs till Skolverket.
Ni behöver se till att alla elever i årskurs 6 och 9 i grundskolan och sameskolan samt årskurs 7 och 10 i specialskolan tillhör undervisningsgrupper med följande ämneskoder.
Specifika ämneskoder för NO-ämnen, grundskola årskurs 6 och 9:
- Biologi årskurs 6: GRGRBIO01_6
- Biologi årskurs 9: GRGRBIO01_9
- Kemi årskurs 6: GRGRKEM01_6
- Kemi årskurs 9: GRGRKEM01_9
- Fysik årskurs 6: GRGRFYS01_6
- Fysik årskurs 9: GRGRFYS01_9
Specifika ämneskoder för SO-ämnen, grundskola årskurs 9:
- Geografi: GRGRGEO01_9
- Historia: GRGRHIS01_9
- Religionskunskap: GRGRREL01_9
- Samhällskunskap: GRGRSAM01_6, GRGRSAM01_9
Specifika ämneskoder för SO-ämnen, specialskola årskurs 10:
- Geografi: GRSPGEO01_10
- Historia: GRSPHIS01_10
- Religionskunskap: GRSPREL01_10
- Samhällskunskap: GRSPSAM01_7, GRSPSAM01_10
Specifika ämneskoder för NO-ämnen, specialskola årskurs 10:
- Biologi: GRSPBIO01_10
- Kemi: GRSPKEM01_10
- Fysik: GRSPFYS01_10
Om ni skickar uppgifter eller om Skolverket hämtar uppgifter från er via API behöver det administrativa systemet vara uppdaterat med korrekta id för ämneskoderna för attributet provaktivitet (parentActivity.id) innan uppgifterna överförs till Skolverkets provplattform. Tillåtna värden för id och ämneskod kan hämtas från Skolverkets ”Open Data API”.
En bra tidpunkt för att uppdatera systemet kan vara under sommaren.
Om din skola/dina skolor överför användaruppgifter via fil behöver du ange den specifika ämneskoden när du laddar upp filen i Administration provtjänsten. Ämneskoden anges i kolumnen provaktivitetsnamn på raden för varje ämnesgrupp. Administration provtjänsten kommer att vara tillgänglig i god tid före provtillfällena.
Attributlista
För närvarande gäller attributlistan ”Attributlista för Skolverkets provisionerings-API” för alternativen provisionerings-API och provisionering enligt standarden SS 12000. Listan finns både som pdf och i Excelformat. I attributlistan finns federationsanvändarnamn EPPN (eduPersonPrincipalName) som är en unik identifierare som kopplar en persons inloggning i skolan till en användare i provplattformen.
Attributlista för Skolverkets provisionerings-API (uppdaterad den 27 februari 2024) Excel, 26 kB.
Autentisering vid maskinell överföring
För att alla användaruppgifter ska föras över säkert till Skolverkets provplattform används autentisering mellan servrar och klienter. Vi har tagit fram ett särskilt API som utfärdar en så kallad auktoriseringstoken till klienter efter autentisering.
Du som huvudman måste uppfylla ett av följande krav för att kunna överföra uppgifter till Skolverkets provplattform:
- Ansluta dig till en TLS-federation som är ansluten till Fidus och se till att ert klientcertifikat är med i TLS-federationens metadataregister.
- Skaffa ett klientcertifikat från en certifikatutfärdare som är godkänd av Fidus.
Oavsett vilket sätt du som huvudman väljer, måste klientcertifikatet ha en koppling till huvudmannens organisationsnummer. Varje huvudman måste alltså ha minst ett klientcertifikat.
TLS-federation Länk till annan webbplats.
Detaljerad teknisk beskrivning av autentisering, GitHub Länk till annan webbplats.
När behöver uppgifterna finnas tillgängliga på Skolverket?
Skolans huvudman behöver föra över fullständiga och korrekta användaruppgifter för elever och personal i god tid innan ett prov ska genomföras. Vi rekommenderar cirka 60 dagar, men allra senast 30 dagar innan. Då får vi på Skolverket aktuella uppgifter samtidigt som det finns tid att upptäcka och rätta till eventuella fel. Det minskar också risken för att eleverna och skolpersonalen får problem när de ska logga in i provplattformen. Det är dock möjligt att föra över användaruppgifter samlat, till exempel i början av terminen eller en gång varje kalenderhalvår, om det passar er organisation bättre.
Om det finns särskilda skäl kan ni lämna uppgifter om en enskild elev eller skolpersonal senare än 30 dagar före provet. Särskilda skäl innebär till exempel att en elev byter skola, att skolpersonal drabbas av sjukdom eller att något oväntat händer som skolan inte har kunnat förutse. Sådana ändringar kan ni göra senast 7 kalenderdagar före provtillfället.
För kommunal vuxenutbildning på gymnasial nivå är vår rekommendation att ni överför användaruppgifterna till Skolverket senast 7 dagar före provtillfället.
Ansvar för personuppgiftshantering i provtjänsten
Eftersom huvudmännen och Skolverket har självständiga uppdrag vid digitala nationella prov har båda parterna rättsligt stöd att utföra nödvändiga personuppgiftsbehandlingar i provtjänsten. Fördelningen av ansvaret baseras på att vi på Skolverket har ett ansvar för att konstruera och tillhandahålla digitala nationella prov och att ni som huvudmän har en skyldighet att använda dem.
Då ansvarar huvudmännen för behandlingen
Ni som huvudmän ansvarar för behandlingen av personuppgifter
- fram till att ni för över användaruppgifterna till Skolverkets provtjänst
- när er skolpersonal använder provplattformen.
Då ansvarar Skolverket för behandlingen
När uppgifterna om användarna har kommit in till provtjänsten ansvarar vi på Skolverket för infrastrukturen och säkerheten i provtjänsten, och därför för merparten av de personuppgiftsbehandlingar som sker där.
Inga PUBA-avtal behövs
Eftersom ni som huvudmän har rätt att behandla personuppgifter behöver ni inte teckna några så kallade personuppgiftsbiträdesavtal (PUBA-avtal) med Skolverket.
Behandlingen måste uppfylla EU:s krav
Både vi på Skolverket och ni som huvudmän måste se till att behandlingen av personuppgifter uppfyller kraven i EU:s dataskyddsförordning (GDPR) med tillhörande nationell lagstiftning.
Mer om huvudmannens ansvar
När ni som huvudmän använder provtjänsten gör ni det för att fullgöra er skyldighet att använda de nationella proven enligt skollagen (2010:800), skolförordningen (2011:185), gymnasieförordningen (2010:2039) och förordningen (2011:1108) om vuxenutbildning. Därför sker behandlingen av personuppgifter med den rättsliga grunden allmänt intresse.
Personuppgiftsansvaret för er som huvudmän är avgränsat till den läsning och strukturering som ni kan genomföra. Skyldigheten att tillmötesgå den enskildes rättigheter enligt GDPR provtjänsten är därför begränsad till när ni som huvudmän för över användaruppgifter samt läsning och strukturering när ni använder provplattformen.
Behandling av personuppgifter vid användning av Eduid som inloggningstjänst och e-legitimation
Har huvudmannen valt Eduid som inloggningstjänst ansvarar Skolverket för behandlingen av personuppgifter i e-tjänsten Administration provtjänsten i samband med beställningen av Eduid. Skolverket ansvar även för behandlingen av personuppgifter i Sunets tjänster Eduid Connect och Eduid Hantera elever. Skolverket har ett personuppgiftsbiträdesavtal med Vetenskapsrådet som driver Sunet.
All personal som ska använda Eduid som inloggningstjänst eller använda Eduid enbart som e-legitimation behöver skapa ett personligt Eduid-konto. Vetenskapsrådet ansvarar för behandlingen av de personuppgifter som behövs för att skapa ett personligt Eduid-konto.
Begränsningar i överföring av skyddade personuppgifter
Skolverkets provtjänst kan i dagsläget inte ta emot skyddade personuppgifter, samordningsnummer samt utländska eller tillfälliga personnummer. Vi behöver vidareutveckla provtjänsten så att dessa uppgifter kan tas emot på ett tillräckligt säkert sätt. Innan vi har en lösning på plats får bara svenska personnummer som finns i folkbokföringen föras över. Detta är en tillfällig begränsning som ska säkerställa att skyddade personuppgifter inte röjs.
Vår målsättning är att ha en lösning på plats som innebär att alla typer av personuppgifter kan föras över på ett säkert sätt inför genomförandet av digitala nationella prov och bedömningsstöd hösten 2024.
Vad innebär skyddade personuppgifter?
Skyddade personuppgifter innebär att en elev eller en skolanställd har sekretessmarkering eller skyddad folkbokföring hos Skatteverket
Så påverkar det bedömningsstöden i årskurs 6 våren 2024
Den tillfälliga begränsningen innebär att elever och personal som har skyddade personuppgifter, samordningsnummer samt utländska eller tillfälliga personnummer inte kan genomföra de digitala betygsstödjande bedömningsstöden i årskurs 6 under våren 2024.
Det är inte obligatoriskt att genomföra de betygsstödjande bedömningsstöden. Därför är det rektorn som fattar beslut om och hur övriga elever i årskurs 6 ska genomföra bedömningsstöden utan att det riskerar att peka ut elever med skyddade personuppgifter. Rektorn kan till exempel besluta att hela klasser eller bara enskilda elever inte ska genomföra bedömningsstöden. Beslutet bör fattas i samråd med berörda lärare, huvudmannen och den som är personuppgiftsansvarig.
Det händer om ni för över skyddade personuppgifter, samordningsnummer samt utländska eller tillfälliga personnummer
Skolverket kontrollerar alla uppgifter som förs över till provtjänsten. Vi kommer därför att meddela er om ni av misstag för över skyddade personuppgifter, samordningsnummer samt utländska eller tillfälliga personnummer till provtjänsten. Vi kommer också att meddela er om en person får skyddade personuppgifter efter att ni har fört över uppgifter till oss. Ni har då möjlighet att ta bort uppgifterna. Om ni inte har gjort det inom tio dagar gör vi på Skolverket en egen gallring.
Alla huvudmän måste utse minst en person som kan ta emot notiser om skyddade personuppgifter från oss. Ni ger den personen en fullmakt i Bolagsverkets e-tjänst Mina ombud. För att personen ska få notiser behöver den logga in i Administration provtjänsten och registrera sin e-postadress. Systemet skickar sedan notiser till e-postadressen. Notiserna säger att det finns ett viktigt meddelande om skyddade personuppgifter att läsa i Administration provtjänsten.
Om ni har skapat fullmakter före den 6 november 2023 inkluderar de inte behörighet för skyddade personuppgifter. Då behöver ni ge en ny fullmakt till de personer som ska ha behörighet att behandla skyddade personuppgifter.
All behandling av personuppgifter i provtjänsten måste ske på ett rättssäkert sätt. Vi behöver vara helt säkra på att vi i alla situationer kan skydda elevernas och personalens personuppgifter – särskilt de som omfattas av sekretess.
I våra samråd med huvudmannarepresentanter har vi sett att huvudmän behandlar skyddade personuppgifter i sina system på olika sätt och att rutinerna för avidentifiering (pseudonymisering) ser olika ut. Tack vare samråden har vi insett att provtjänsten i dagsläget inte kan ta emot uppgifterna på ett säkert sätt. Vi bedömer därför att provtjänsten behöver utvecklas för att ha ett tillräckligt säkert skydd för de personer som har en hotbild eller av andra skäl har skyddade personuppgifter.
Samordningsnummer, tillfälliga personnummer, utländska personnummer eller liknande former av identitetsbeteckningar gör det dessutom svårt för oss att göra korrekta sekretessprövningar innan vi kan lämna ut personuppgifter när någon begär ut en allmän handling. Det här innebär en komplexitet i behandlingen av personuppgifter och vi arbetar med att ha lösningar på plats inför hösten 2024.