Personopplysninger på avveie er et økende problem. Det rammer blant annet elever. De siste årene har flere kommuner fått bøter for brudd på personvernlovgivningen.
Etter 2018 har antall bøter og irettesettelser fra Datatilsynet økt. I 2019 ble det gitt 5, i 2020 ble det gitt 11 og fram til august 2021 er det gitt 20, viser en fersk rapport fra selskapet Bouvet. Rapporten tar for seg praktiseringen av personvernforordningen. Loven er vedtatt av EU og trådte kraft i mai 2018, også kjent som GDPR.
– Gratisapper er ikke alltid gratis. De byttes mot elevers personopplysninger, forklarte teknologidirektør i Bouvet, Simen Sommerfeldt som står bak undersøkelsen. Sommerfeldt sitter også i Personvernnemnda og var med å starte «Lær kidsa koding».
Selskapet Bouvet har 1700 ansatte på 14 kontorer i Norge og Sverige og arbeider med kommunikasjon, teknologi og rådgivning. Ansatte i Bouvet har jobbet med digitalisering i utdanningssektoren i 20 år og har derfor god kompetanse på personvern, informasjonssikkerhet og analysearbeid.
Sju kommuner
Teknologidirektøren hevder at mangel på kompetanse er en av årsakene til at noen har pådratt seg bøter fra Datatilsynet. Bøtene skoleeier har fått, varierer fra 3 millioner kroner for mangelfull sikring av personopplysninger til 50.000 kroner for bruk av treningsappen Strava. (Se faktaboks).
Hovedfunn:
Bouvet-rapporten avdekker:
· Bruk av gratisverktøy innebærer en stor risiko for at informasjon om elever kommer på avveie.
· Elever får ikke så gode læringsverktøy som de kunne fått, fordi hver kommune må gjøre risikoanalyser og skrive databehandleravtaler for hvert verktøy. Det er ressurskrevende.
· Elevenes e–postadresser kan brukes til svindelforsøk.
· Ansatte i skolen kjenner ikke rutinene for hva som skal gjøres hvis informasjon om elever kommer på avveie.
· Håndtering av sensitive personopplysninger er tungvint og gjør at ansatte tar i bruk sårbare skyggesystemer.
· Innføring og bruk av læringsplattformer og skoleadministrative systemer har blitt bedre med hensyn til personvern, men innebærer fortsatt personvernrisiko dersom ansatte bruker verktøyene feil.
· Å få foreldrene til å bruke trygge applikasjoner for dialog med skolen er vanskelig.
· Det hjelper ikke om systemene i seg selv er sikre dersom de brukes feil eller personinformasjon legges i feil system.
· Kompetansen og bevisstheten blant ansatte om trygg håndtering av personinformasjon er svært varierende.
– Da koronapandemien kom, ble skolene tvangsdigitalisert og flere enn meg ble bekymret for personvernet. Så etter å ha sondert litt med KS og Datatilsynet, laget vi en kvalitativ undersøkelse der vi spurte rektorer og lærere i sju store og små kommuner om deres håndtering, sa Sommerfeldt.
Les: Datatilsynet vil vite hva Google gjør med informasjonen de får fra elevenes Chromebooks
I tillegg inneholder rapporten fakta om status for hvordan personvernet er ivaretatt.
– Skoler og barnehager skal ta vare på personvernet til de mest sårbare innbyggerne våre, samtidig som sektoren er underfinansiert. Men det som beroliger meg litt, er at de vi har snakket med hos myndighetene, i organisasjoner og i kommuner, har ganske sammenfallende synspunkter på løsningene, sa Sommerfeldt og la til:
– Ser vi på digitale læringsressurser, er det kommunene som er behandlingsansvarlige etter personvernloven. I dag må de foreta analyser av kanskje fem, seks ulike verktøy for hvert klassetrinn i 356 kommuner og 11 fylkeskommuner. Det betyr også at skolene ikke har nødvendig frihet til å velge verktøy.
Personopplysninger
Mens de venter på godkjenning, har mange lærere tatt i bruk gratis-apper.
– Det heter at appene er gratis, men i realiteten betaler man med elevenes personopplysninger. Dermed blir skolen en del av overvåkingsøkonomien, noe som er ganske skummelt. Det kan bety at du får en digital tvilling som du aldri blir kvitt, forklarte Sommerfeldt og fortsatte:
– Når skoler i barnevernssaker, eller saker som handler om mobbing, skal ha kontakt med pedagogisk–psykologisk tjeneste (PPT) eller barne- og ungdomspsykiatrisk poliklinikk (BUP), så må de snakke sammen.
Men fordi mange kommuner har tungvinte digitale løsninger, begynner noen å bruke skyggeløsninger som papir eller One–Note med passord.
– Da risikerer vi at informasjon kommer på avveie, sier han.
Teknologidirektøren la til at når det kommer til kompetanse og rutiner viser det seg at det står ganske bra til i kommunene, men at informasjonen ikke når ut til lærerne.
– Det skal vi ikke skylde på lærerne for. De har gjort en kjempejobb under koronapandemien. Men mange lærere ser på personvern som noe herk. De får dårlig samvittighet fordi de ikke vet hvordan de skal agere. Tas det feil valg, har kommunen avviksrutiner, men lærerne vet ofte ikke om dem, forklarte han.
Roser rapporten
Direktør i Datatilsynet, Bjørn Erik Thon, åpnet en paneldebatt under Arendalsuka med å si at han synes rapporten er god.
– Den bekrefter vårt inntrykk. Det finnes tusenvis av digitale verktøy og apper. Men feltet er verken kommunalt eller nasjonalt godt styrt. Utfordringen er at feltet er for stort og at ansvaret for å ivareta personvernet på ulike nivåer er for uklart, sa Thon.
Personvernet skal ivaretas i 356 kommuner, i 11 fylkeskommuner, på 2800 skoler, i 5700 barnehager og av 210.000 ansatte i skoler og barnehager.
– Hver enkelt kommune har et overordnet ansvar for å bruke systemer og apper som er i overenstemmelse med personvernreglene. Men det er per i dag en jobb de ansatte ikke har en sjans til å gjøre. Spriket mellom de som har det formelle ansvaret og de som skal bruke teknologien i klasserommet er i dag alt for stort, sa han.
Thon la til at sitasjonen ansatte i skoler og barnehager havnet i da pandemien kom, er ekstrem: – Den dugnadsinnsatsen som ble lagt ned i Facebook-gruppa «Koronadugnad for digitale lærere», der over 50.000 lærere deltok, er et veldig stort løft. Jeg deltok selv.
Thon mener det er behov for hjelp fra mange kanter, fordi det trengs ny og oppdatert kompetanse til å velge systemer og apper.
– Jeg heier på alle barnehagelærere og lærere som forsøker å beherske feltet, men i dag er de ikke i stand til det, fordi feltet rett og slett er for stort og for komplisert, sa han.
Nasjonalt nivå
På spørsmål til Thon om lærere selv som bør fatte beslutninger om valg av digitale læringsverktøy og apper til bruk i undervisningen, svarte han:
– Mer bør gjøres på nasjonalt nivå. I dag er det slik at skolen er helt overtatt av applikasjoner fra selskapene Google og Apple og nesten alle elever bruker utstyr som er blitt delt ut gratis. Samtidig har ingen gjort en sentral vurdering av risikoen. Dette er overlatt til hver enkelt kommune.
Bøter til skoleeier
I 2019 skrev Datatilsynet ut de første gebyrene til skoleeiere for brudd på personopplysningsloven. Siden da har Datatilsynet gitt følgende gebyrer til ulike skoleeiere:
• Gebyr på 1,2 millioner kroner for overtredelse av personopplysningssikkerheten i mobilapplikasjonen Skolemelding. (2019)
• Gebyr på 1,6 millioner kroner for mangelfull personopplysningssikkerhet i datasystemene brukt i grunnskolen. Brukernavn og passord for 35 000 bruker lå tilgjengelig for ansatte og elever. (2019)
• Gebyr på 3 millioner kroner for mangelfull sikring av personopplysninger i kommunikasjon mellom skole og hjem. (2020)
• Gebyr på 500 000,- kroner etter at helseopplysninger om barn ble behandlet i læringsplattformen Showbie. (2020)
• Gebyr på 50 000,- kroner til kommune for deres bruk av treningsapplikasjonen Strava i undervisningen. (2021) I
Kilde: https://www.datatilsynet.no/regelverk-og-verktoy/lover-og-regler/avgjorelser-fra-datatilsynet/ Besøkt 2. august 2021
Datatilsynet har laget tre tilsynsrapporter; i Bergen, Sandnes og Strand kommuner. Alle tre fikk en mild korreks fra Datatilsynet for manglende vurderinger. Ett av funnene var at kommunene hadde unnlatt å se på hva slags data som samles inn og hva dataene brukes til. Thon pekte på at han mener Utdanningsdirektoratet har en jobb å gjøre for å systematisere vurderingene.
Han foreslo også at kommunene lager egne kataloger over apper lærerne kan ta i bruk. Det har Bergen kommune allerede gjort.
– Gjenkjennelige problemer
Steffen Handal, leder i Utdanningsforbundet, sa at problemene som er avdekket i rapporten er gjenkjennelige og at rapporten er god. Han nevnte at noe er i gang, som «Den teknologiske skolesekken»» og utarbeidelse av en nasjonal katalog for apper.
– Men vi må gjøre mer og det haster, sa Handal.
– Lærerne tok mange raske avgjørelser da pandemien slo til og det skal vi være glade for. Men alle avgjørelsene var kanskje ikke like gode. Det må vi bare leve med. For ingen hadde grunnlag for å ta andre avgjørelser akkurat da.
Rett før seminaret fikk Handal tilsendt en Twitter-melding fra lærer Adrian Talleraaas ved Rothaugen skole i Bergen: «I Bergen kommune er lærernes og elevenes PCer redusert til lesebrett og skrivemaskiner på grunn av ekstrem tilgangsbegrensning. Det er kun 8 godkjente nettressurser vi kan bruke. De fleste nesten ukjente,» skriver han.
Handal sa at han er opptatt av balansegangen mellom kommunenes ansvar for å følge personvernlovgivningen og lærernes frihet til å velge digitale verktøy og apper selv.
– Det er helt riktig at noe må gjøres nasjonalt. Men vi må ikke lage ordninger som bremser den pedagogiske utviklingen. For å bidra til forbedringer på feltet, kunne vi ha brukt lærerspesialistordningen, hvis den bare hadde vært litt bedre, la han til.
– De pedagogiske valgene må lærerne gjøre. Men risiko– og sikkerhetsanalyser kan andre gjøre, for eksempel ansatte i kommuner og fylkeskommuner, sa han.
Handal minnet om at godkjenningsordningen for lærebøker er avskaffet.
– Lærere må få kunnskap om hvilke digitale læremidler som ivaretar personvernet, men staten skal ikke bestemme hvilke verktøy og apper lærerne skal ta i bruk, påpekte han.
Hadde Handal vært kunnskapsminister, ville han satt av en milliard til digitalisering. Samtidig understreket han at penger ikke er nok. Flere kvalifiserte lærere trengs også.
– Må stille krav
Høyre–politiker Mathilde Tybring–Gjedde kunne ikke love Handal en milliard, men sa at regjeringen har lagt fram en strategi og en handlingsplan for digitalisering av skolen.
– Da pandemien traff, satte lærerne i gang med varierende digital kompetanse og kunnskap om personvern. Men der var vi da. Nå trenger vi en kvalitetssikring nasjonalt fra Utdanningsdirektoratet. En katalog over hvilke digitale læremidler og apper som ivaretar personvernet er man i gang med å lage. Det mener jeg er bra. Men jeg er enig med Handal i at vi ikke skal lage et statlig monopol. Mangfold er viktig, sa hun.
Tybring-Gjedde la til at lærere av og til blir nødt til å velge bort apper og digitale verktøy som fungerer godt i undervisningen, men som ikke ivaretar personvernet. Men gjennom kommunesamarbeid og innkjøpskrav er det også mulig å stille krav til leverandørene, minnet hun om.
Tybring-Gjedde ble spurt om utstrakt bruk av gratisapper, med personopplysninger om elever som betaling, fører til at hun ser et behov for mer ressurser.
– Du spør om jeg har en milliard, parerte hun, men sa hun ser behov for ressurser.
Ressursene mener hun må brukes til å styrke læreres digitale kompetanse. De skal få lære pedagogisk bruk av digitale verktøy. Men for å ivareta kravene til personvern vil hun ha målrettede kompetansehevingstiltak rettet mot skoleeiere og skoleledere.
I tillegg trakk hun fram lærerspesialistordningen, som hun mener kan bidra til å spre digital kompetanse på skolene. Hun vil ikke at lærere ikke skal stå alene i klasserommet med å kvalitetssikre alle digitale læremidler som prøves ut. Derfor inviterte hun alle parter til et bredt samarbeid.
Fylkesråd i Viken, Siv Henriette Jacobsen, sa at fylkene har fått en dobbel utfordring fordi pandemien pandemien satte i gang en ekstrem digitalisering samtidig som personvernet må ivaretas for 46.000 elever på 58 videregående skoler i Viken.
– Skoleadministrasjonen er digitalisert, lærebøkene er digitalisert og korona har ført til digital undervisning. Vi har fått kjenne på at det er lang vei fra den sentrale ledelsen i Viken fylke og ut til lærerne i det enkelte klasserom, slik rapporten beskriver, sa hun.
I Viken har de stilt noen klare krav sentralt. Samtidig rapporterer skoleledelsen om at det er utfordrende å ta i bruk nye digitale plattformer og verktøy.