Stockholms stad väljer att gå ut i strid med Öppna Skolplattformen, istället för att samarbeta. Man invänder mot vad man kallar ”medborgarstyrd” utveckling, vilket man ser som ett hot.
Konflikten mellan Stockholms stad och Skolplattformen
>Det tar fem veckor för de missnöjda föräldrarna att lansera en första version av Öppna Skolplattformen. De börjar med att få lärarnas nyhetsbrev att bli läsbara för föräldrarna, och expanderar efterhand funktionaliteten i samråd med användarna. En annorlunda attityd jämfört med Skolplattformens slutna tystnadskultur. Öppna Skolplattformen står för medborgardriven innovation i samhällsservice. De drar nytta av fördelarna med fri och öppen mjukvara och agila arbetssätt. Kontrasten mot Skolplattformen och Stockholms stad är otrolig.
Tekniska sabotage för Öppna Skolplattformen
>Staden väljer att försöka sabotera för Öppna Skolplattformen genom att göra upprepade små förändringar i hur backend och frontend kommunicerar, alltså i sitt API. Ändringarna introducerar inga funktionella förbättringar, utan är av typen att man byter namn på variabler från ”xsrf-token” till ”xsrf-token-7”. Istället för att tacka föräldrarna bakom Öppna Skolplattformen för att man skyler över fiaskot som Skolplattformen är genom att göra plattformen användbar, så väljer staden att attackera utvecklarna och lägga skattepengar på att sabotera för dem. Pengar som kunnat läggas på att försöka göra plattformens backend säkrare och mer användbart, när nu någon annan löser ett fungerande frontend åt dem. Det är inte en engångshändelse, utan något som pågår och eskalerar under våren och sommaren 2021. I September börjar staden köra sin kod genom en obfuskator för att avsiktligt göra den svårläst. Detta kostade 80 konsulttimmar hos TietoEVRY, eller 100 000 kronor. Det kallas i faktureringen för ”kryptering”, vilket det alltså inte på något vis alls är. Det tog Öppna Skolplattformen fem timmar att lösa detta problem.
Detta är uppenbarligen vad den ”task force” staden satt ihop rörande Öppna Skolplattformen ägnar sig åt. Medborgarnas skattepengar hälls ut i sanden, månad efter månad.
Stockholms propagandakrig mot Öppna Skolplattformen
>Men staden har gått ännu längre genom att driva en mediakampanj där man försöker utmåla Öppna Skolplattformen som olaglig och osäker, trots att Öppna Skolplattformen inte hanterar personuppgifter alls, utan bara låter inloggade personer visa de personuppgifter de har rätt att tillgå. Om Stockholms stad på allvar menar att det är ett säkerhetsproblem att man kan kommunicera med deras öppna API – då är det väl där man borde göra sina insatser?
Det är det här jag fastnar i: Om Skolplattformen inte själva anser sig erbjuda en säker plattform, så fixar man väl Skolplattformen? Man går inte runt och ber andra att sluta hämta information som Skolplattformen är byggd för att tillåta dem hämta.
Per Axbom
Staden skriver i sin rättsliga utredning följande om Öppna Skolplattformen:
Då staden inte kontrollerar källkoden som visar (behandlar) informationen, så har staden heller, inte den enligt lagen nödvändiga, kontrollen över hur den automatiserade behandlingen förändras över tid i nuvarande eller framtida versioner.
Utbildningsförvaltningen har också skrivit följande:
Men ifall Skolplattformens backend och API fungerar som de ska, så spelar det ingen roll ifall staden kan kontrollera källkoden för Öppna Skolplattformen eller inte. Om information bara kan hämtas av den som auktoriserats att hämta den och kan autentisera sig, så är faran över. Man kan jämföra det med vanliga webbläsare som Chrome eller Firefox. Tanken är ju att Skolplattformen ska användas med hjälp av sådana webbläsare. Men över dem har Stockholms stad ingen kontroll alls. De kan inte kontrollera vilka webbläsare som användarna av Skolplattformen väljer, eller ifall dessa innehåller säkerhetsbrister, oavsett vad de skriver om ”utvalda webbläsare [som] står under stadens kontroll”. Så ock med Öppna Skolplattformen, som närmast är att betrakta som en specialbyggd webbläsare för bara Skolplattformen.
Det är möjligt för utvecklarna av Öppna Skolplattformen att introducera kod i sin app som skickar vidare alla personuppgifter till någon central server efter att inloggning skett via bank-ID. Men den möjligheten finns som sagt med alla webbläsare. Ifall någon förälder väljer att använda en fork av Chromium som byggts för att samla in personuppgifter via Skolplattformen inträder samma situation. Samma sak kan hända med Skolplattformens egen app. När det gäller Öppna Skolplattformen kan allmänheten åtminstone läsa koden och själva verifiera att inget sådant pågår, vilket man inte kan med den officiella appen.
I nästa text berättar vi om hur staden vilseleder om sitt API.
Du kan ta del av hela serien här: https://piratpartiet.se/skolplattformen/.