Foto: Ole Martin Wold.
Elevenes personvern er skoleeiers ansvar
– Idet elevene logger seg på en tjeneste i skoleregi, har skoleeier ansvaret, sier Harald Torbjørnsen, seniorrådgiver ved Senter for IKT i utdanningen.
Utdanning har skrevet om hvordan de digitale storselskapene kjemper om å få innpass i skolene, og Google er i ferd med å ta over hegemoniet.
– Vi skjønner at Google går inn i skolemarkedet fordi de vil ha flest mulig trofaste Google-brukere. Men det samme gjelder også Apple, Facebook og andre store teknologiselskaper, sier Ståle Tømmerås, lærer på Rosenborg skole.
Kompetansemangel
I Norge arbeider Senter for IKT i utdanningen og Utdanningsdirektoratet med å få på plass bedre løsninger og veiledning knyttet til regelverket.
– Skoleeier skal vite hvilke personopplysninger som sendes til tjenesteleverandøren, hvordan tjenesten anvender denne informasjonen og hvilken eventuell ny informasjon tjenesteleverandøren genererer ut fra dette. De skal etter beste evne vurdere om data kan komme på avveie og ha tiltak for å gjøre noe med det, sier Torbjørnsen.
– Hvor flinke er skoleeierne til dette?
– Det er forbedringspotensial. Problemet har blant annet vært at lærere har bestilt et digitalt verktøy og bare tatt det i bruk. Men når en lærer tar i bruk en ny digital tjeneste med innlogging, pådrar de skoleeier et ansvar denne kanskje ikke engang er klar over, sier Torbjørnsen og påpeker at det er skoleeieren som får problemet hvis de blir tatt.
– Utfordringen i kommunene er at de ofte ikke har god nok kompetanse til å stille gode nok spørsmål, sier Torbjørnsen.
– Må ha orden i sysakene
Ifølge han er det først de siste par årene de store selskapene har begynt å få på plass bedre databehandleravtaler.
– Google og Microsofts Office 365 ser ut til å ha greie avtaler, men vi setter ikke noe godkjentstempel på noen av disse avtalene. Ansvaret ligger hos skoleeier, sier Torbjørnsen.
Han påpeker at foreldre og barn har innsynsrett i bruk av barnets data, og at det er disse som eier dataene.
– Skoleeier har et forvaltningsansvar. Slik har det alltid vært når det gjelder personopplysninger som navn, adresser, karakterer, elevarbeider og lignende. Utfordringen nå er at det gjøres digitalt via nettet. Leverandørene får tak i langt flere opplysninger enn før. Da må skoleeier ha et system fra start til mål. De må ha orden i sysakene, sier Torbjørnsen.
– Frykter du et framtidsscenario hvor nær sagt alle elever for eksempel bruker verktøyene til giganten Google, og så sier Google at nå endrer vi litt på betingelsene for bruk av elevenes data?
– Jeg gjør egentlig ikke det, så lenge vi fortsatt har de reguleringene vi har. Dette bør vi greie å håndtere. Vi må ha tyngde nok til å kunne si at enten oppfører leverandørene seg, eller så får det konsekvenser, sier Torbjørnsen.
– Betaler med personopplysninger
Senioringeniør i Datatilsynet, Martha Eike, sier de av og til får henvendelser fra skoleeiere hvor de argumenterer for å bruke et bestemt digitalt verktøy fordi det er billigere enn andre.
– Da er det viktig å vite at da betaler man ofte med personopplysninger, sier Eike.
– Hva med selskaper som ikke vil ha noen databehandleravtale?
– Da skal man ikke ta dem i bruk, sier Eike.
– Google trekkes fram som et godt eksempel av enkelte for hvordan databehandleravtalene bør være. Er dere enige i det?
– Vi kan ikke gå god for noen. Databehandleravtalen til Google har blitt bedre, men det er fortsatt mulig å gjøre den enda bedre, sier Eike.
Rettssak ved avtalebrudd
Hun sier det ikke skal stå i databehandleravtaler at personopplysninger for eksempel kan brukes til «å forbedre egne tjenester».
– Den formuleringen er vi allergiske mot, for det betyr at leverandøren kan bruke opplysningene til nye formål, hvilket er i strid med personopplysningsloven, sier Eike.
– Er det naivt å tro at disse selskapene ikke vil sno seg rundt eventuelle avtaler og bruke dataene til egen vinning?
– Skoleeiernes forsikring er en databehandleravtale. Finner man ut at avtalen brytes, må man gå til rettssak. Om et par års tid vil få et nytt personvernregelverk. Da skal flere personvernmyndigheter kunne ha tilsyn sammen på tvers av landegrenser, og det vil gjøre det lettere å se leverandørene i kortene, sier Eike.