Truslene mot personvernet i skolen

0
Shutterstock / nuvolanevicata

Personvernkommisjonen er helt klar i sin rapport – kommisjonen er bekymret for håndtering av personvern i skoler og barnehager og etterlyser strakstiltak.

Av Romy Rohmann.

Mandag 26.09.2022 mottok Kommunal- og distriktsminister Sigbjørn Gjelsvik rapporten fra personvernkommisjonen fra kommisjonsleder John Arne Moen. Kommisjonen er helt klar i sin konklusjon, det er en gjennomgående tendens at digitaliseringen av samfunnet i for stor grad skjer på bekostning av personvernet, sier John Arne Moen som leder kommisjonen.

Personvernkommisjonen har sett på hvordan personvernet til norske skolelever (kap.8) og er svært bekymret, de mener at det legges opp til det er den enkelte lærer som i for stor grad må ta stilling til hvilke verktøy som skal brukes i undervisningen. Og at det er tjenesteleverandører, som regel globale kommersielle aktører som legger premissene for hvordan barnas personvern blir ivaretatt.

https://nrkbeta.no/2022/09/26/personvernkommisjonen-store-deler-av-det-digitale-annonsesystemet-er-ute-av-kontroll/

Er det ingen interesse for å ta norske skoleelevers personvern på alvor? Skrev vi på Steigan.no 28.juli 2020

Den gang viste vi til en rapport fra Datatilsynet fra 2014 Personvern i skole og barnehage – Samlerapport.

https://www.datatilsynet.no/globalassets/global/dokumenter-pdfer-skjema-ol/rettigheter-og-plikter/rapporter/skoleprosjektet_samlerapport.pdf

Her sies det i klartekst at personvernet blir underordnet leverandørens interesse for å tjene penger.

Dette ble skrevet i 2014. I 2020 ble det arrangert en debatt om elevers personvern. Dette var på et arrangement som kom i stand i stedet for Arendalsuka som dette året ble avlyst.

Datatilsynet ønsket å løfte fram utfordringene rundt elevens personvern i skolen, og dette skriver de om bakgrunnen for debatten:

«Digitaliseringen i skolen skyter fart. Ansvaret informasjonssikkerheten og personvernet i sektoren er lagt til stat, kommune, fylkeskommune og skolene selv. Digitale verktøy og løsninger kjøpes inn og tas i bruks uten nasjonale anbefalinger og retningslinjer. Rektorene skal være pedagogiske ledere, men blir samtidig sittende med ansvar for all IKT-bruken, inkludert verktøyene og appene de ansatte ved deres skoler til enhver tid bruker.

Dessverre går det alt for ofte galt. Og det går galt i alle ledd – fra enkeltlæreres bruk av verktøy til større systemfeil. Det gjelder alle typer informasjon – også vurderinger og sensitive Opplysninger kommer på avveier, det er manglende oversikt over hva som skjer med dem, og i noen tilfeller har til og med hemmelige adresser blitt eksponert og liv satt i fare. 

Hvem har egentlig ansvar for hva når det gjelder elevenes personvern i dag? Og hvem skal sikre at ansvaret følges opp? Uklarheten som rår i dag, samt følelsen rektorene rundt om ofte sitter med av å stå svært alene i dette, går til syvende og sist ut over elevenes personvern. Bør kommunens selvråderett tre til side for statlig regulering og styring? Tiden er overmoden for en felles nasjonal strategi, men hvem tar ansvaret? Dette ønsker vi å dykke ned igjennom denne debatten

Nå har den endelig kommet i en NOU; Ditt personvern– vårt felles ansvar, Tid for en personvernpolitikk.

Den tar for seg vårt personvern i en digital verden og innafor våre samfunnssektorer. Her skrives det om personvern som en samfunnsverdi og det slås fast at et godt personvern legger grunnlaget for ytringsfrihet, informasjonsfrihet og meningsdannelse.

Personvern er med andre ord en forutsetning for et åpent samfunn og et velfungerende demokrati, skrives det i rapporten.

https://www.regjeringen.no/contentassets/e4c60a6c51b147628b2c2e55db7e08e3/no/pdfs/nou202220220011000dddpdfs.pdf

Det er et område som skaper spesiell bekymring, og det er oppvekstsektoren. Her har digitaliseringen gått kjempefort, og det brukes mange digitale læringsmidler, sier kommisjonens nestleder, Ingvild Næss.

Hun sier videre at det er behov for strakstiltak og at situasjonen i skolene er blant områdene hvor det haster mest med tiltak.

Her må det ifølge Næss settes inn strakstiltak for at personvernet blir ivaretatt, og skolene må få nødvendige ressurser og tiltak til å iverksette dette.

Et av forslagene som kom i rapporten er å utarbeide en tjenestekatalog over digitale løsninger som trygt kan tas i bruk. Dette er ikke nødvendig at den enkelte skole eller kommune skal utarbeidet denne, det må gjøres på et nasjonalt nivå.

Sigbjørn Gjelsvik kan ikke si noe om når regjeringen vil komme med tiltak for bedre personvern, men viser til regjeringsplattformen. I den tar regjeringen til orde for en nasjonal strategi og retningslinjer for personvern og digitalt privatliv.

https://www.digi.no/artikler/kommisjon-bekymret-for-handtering-av-personvern-i-skoler-og-barnehager-etterlyser-strakstiltak/522480

Under arbeidet med denne NOU ble KS ved SkoleSec-prosjektet i desember 2021 gitt et  oppdrag om å utarbeide en rapport med blant annet oversikt over omfanget av applikasjoner og systemer som elever og barn blir registrert i.

Denne rapporten fra KS viser at det er omfattende bruk av applikasjoner og systemer i skolesektoren. Ulike systemer ble i raskt tempo tatt i bruk både før, under og etter pandemien, uten at det ble foretatt noen god og trygg forvaltning av alle løsningene. Her har det gått fort, mange kommuner har verken hatt ressursene eller kompetansen til å kontrollere om disse løsningene følger de reglene vi har på disse områdene.

KS skriver på sine sider:

«Den teknologiske utviklingen i skolesektoren, og bruken av digitale læringsteknologier, har økt betraktelig de siste årene. Samtidig stilles det strenge krav til kommunene om hva som må være på plass for å ivareta elevenes personvern. Blant annet må kommunen ha full oversikt over sine leverandører og avtaler. Med hyppige endringer og rask utvikling er det svært utfordrende for små og store kommuner å vurdere hvordan barnas personvern påvirkes og sørge for vedvarende personopplysningssikkerhet. 

En sentral utfordring er usikkerhet om hvilken informasjon leverandørene innhenter om den enkelte elev, og hvordan denne informasjon videreformidles og brukes til andre formål enn opplæring og oppgaveløsning. Dette skyldes blant annet omfattende bruk av gratisløsninger i skolen, der data om elevene i mange tilfeller deles med tredjepartsleverandører. Disse leverandørene kan igjen bruke dataene til andre formål, som for eksempel målrettet annonsering. En annen utfordring er bruken av store kontorstøtteløsninger i opplæringen. Disse er gjerne utformet for andre formål enn kun opplæring, og samler derfor inn flere opplysninger enn det som er nødvendig i et opplæringsøyemed. «

Personvernkommisjonens anbefalinger, Oppsummert for Personvern i skolen og barnehagen kap.8 Personvernpolitikk i skole- og barnehagesektoren

Personvernkommisjonen mener det må etableres en helhetlig og offensiv statlig personvernpolitikk i skole- og barnehagesektoren. Per i dag er slik politikk nærmest ikke-eksisterende. Skole og barnehage er der barn og unge læres opp, og det er avgjørende at det offentlige går foran med gode eksempler hva angår grunnleggende verdier som personvern. Personvernkommisjonen mener at den nasjonale personvernpolitikken for barnehage og skole må:

– sette kommuner, skoler og barnehager i stand til å bruke digitale tjenester og læringsverktøy på en måte som ivaretar barns og unges personvern.

– sørge for at både barns rett til utdanning og rett til vern av personopplysninger ivaretas, samtidig som kommunalt selvstyre og metodefrihet i skolen og barnehagen bevares.

– stille tydelige krav til kvaliteten på de digitale tjenestene også hva angår personvern. Det er et lovkrav at personvern alltid vurderes og vektlegges ved innføring av nye læringsmidler. Politikken må sørge for at lovkravet følges opp i praksis.

– inneholde og konkretisere krav til at leverandører av tjenester til skole- og barnehagesektoren ikke kan benytte forretningsmodeller som profitterer kommersielt på barns personopplysninger. I praksis betyr dette at det ikke er akseptabelt å benytte leverandører som forbeholder seg retten til å bruke barn og unges data til kommersielle formål, spesielt markedsføringsaktiviteter.

– fange opp tiltak som kommer frem i arbeidet til Ekspertutvalget som er nedsatt for å se på personvernutfordringer knyttet til bruk av læringsanalyse.

Nasjonal tjenestekatalog

Kunnskapsdepartementet har gitt Utdanningsdirektoratet i oppdrag å utrede en pilot for en nasjonal tjenestekatalog for digitale læringsmidler.

Utdanningsdirektoratet har startet utredningsarbeidet og i dette arbeidet inngår det å kartlegge hvilken funksjonalitet tjenestekatalogen skal inneholde, utover å gi en samlet oversikt over digitale læringsmidler. Utdanningsdirektoratet oppgir at slik funksjonalitet for eksempel kan være at en kommune kan legge inn informasjon om hvilke læremidler i katalogen som kommunen har kjøpt, har inngått databehandleravtale med og har gjennomført risiko- og sårbarhetsanalyse og personvernkonsekvensvurderinger av. Personvernkommisjonen ser dette som en positiv utvikling, da tjenester som tilbys gjennom det offentlige bør ha undergått en viss kvalitetssikring, også av personvern.

Personvernkommisjonen mener behovet for en nasjonal tjenestekatalog er stort. En tjenestekatalog kan være et viktig initiativ for i praksis å sørge for at skoleeiere kan velge tjenester som ikke bare er funksjonelle, men som også ivaretar personvern på en tilfredsstillende måte. Det må sikres at tjenestekatalogen stiller klare og etterprøvbare krav til personvern og informasjonssikkerhet.  Tjenestekatalogen bør gi oversikt over læremidler der det er gjennomført risiko- og sårbarhetsanalyse og personvernkonsekvensvurderinger. En velfungerende tjenestekatalog forutsetter kontinuerlige endringer og oppdateringer, da digitale tjenester kan endres fortløpende. Vurderinger fra det nasjonale test- og kompetansemiljøet, som beskrevet i avsnitt 8.4.2, kan inngå i katalogen.

Med tanke på kommunalt selvstyre må det ikke være obligatorisk å benytte læremidler i tjenestekatalogen.  Personvernkommisjonen understreker at skoleeier i alle tilfeller vil være behandlingsansvarlig og må gjøre egne personvernkonsekvensvurderinger, uavhengig av om en tjeneste inngår i tjenestekatalogen.

Personvernnorm for skolesektoren

Det er etter hvert etablert flere bransjenormer for informasjonssikkerhet og personvern innenfor ulike sektorer i Norge. Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen) er Norges første og største bransjenorm som gjelder for de aller fleste virksomhetene i helse- og omsorgssektoren.  Formålet med Normen er å sikre at opplysninger behandles på en slik måte at helse- og omsorgstjenester kan tilbys på en forsvarlig måte og samtidig ivaretar innbyggernes tillit til sektoren. Ifølge Styringsgruppen til Normen er den særlig viktig fordi den:  

  • Gjør det enklere å få på plass nødvendige sikkerhets- og personverntiltak
  • Bidrar til økt tillit til at sektoren behandler helse- og personopplysninger på en trygg måte
  • Bidrar til et harmonisert sikkerhetsnivå i sektoren
  • Bidrar til at sektoren har et godt kravstillingsverktøy til informasjonssikkerhet og personvern ved anskaffelser

I barnehage- og skolesektoren behandles det, i likhet med i helsesektoren, store mengder opplysninger. Skolesektoren er videre i likhet med helsesektoren gjenstand for rask digitalisering og den består av aktører med ulik størrelse og med ulik tilgang på ressurser og kompetanse på personvernområdet. I helse- og omsorgssektoren har Normen vært viktig for å få økt oppmerksomhet og ledelsesforankring på personvern. Som trukket frem av styringsgruppen til Normen, er Normen viktig fordi den gjør det enklere å få på plass nødvendige og harmoniserte tiltak. Skolesektoren har mange av de samme utfordringene og behovene som helsesektoren, og Personvernkommisjonen mener at etablering av en personvernnorm i skolesektoren, på samme måte som i helsesektoren, kan bidra til å øke oppmerksomheten og ledelsesforankringen på arbeidet med personvern.

Personvernkommisjonen mener statlige myndigheter må ta initiativ til å utarbeide en personvernnorm for skole- og barnehagesektoren. En personvernnorm kan bidra til å sette kommunene bedre i stand til å ivareta behandlingsansvaret sitt og sikre en mer helhetlig og omforent ivaretakelse av barns personvern i barnehagen og grunnskolen. En norm kan også bidra til å forenkle kommunenes anskaffelsesprosesser ved å oppstille krav som leverandørene må etterleve og vil være kjent med.

Ja, her var det litt å gripe fatt i, strakstiltak må til blir det sagt og nødvendige ressurser og kompetanse må avsettes. Nå har jeg ikke gått inn på andre områder denne rapporten tar opp, men det forundrer meg ikke om det ligger utfordringer som må løses i flere sektorer enn skole og barnehage. 

Vi får følge med framover, det er vel snart framlegging av statsbudsjett, så får vi se om det ligger noen midler til å løse dette der.

Forrige artikkelDen forlorne myndighet, og det kommende oppgjøret
Neste artikkelKina: – USA sender farlige signaler