I nesten to år har utdanningsinstitusjoner over hele verden måttet tilpasse seg og improvisere på grunn av den globale covid-19-pandemien. Fjernundervisning og blandet læring ble avgjørende. Noen systemer var bedre forberedt enn andre.
Skolesystemer med en moden digital infrastruktur på plass var bedre forberedt. Andre skoler måtte i hui og hast skaffe og implementere løsninger i løpet av få dager. Det ble tatt snarveier, og vurderinger av personvernhensyn ble ofte forbigått.
Fjernundervisning er fortsatt en stor del av utdanningen i 2022, og vil være det i overskuelig fremtid. Da er det viktig å se på hva som har skjedd de siste årene med tanke på personvern. Her er noen hovedpunkter.
En global pandemi betyr ikke at vi kan lempe på personverntiltakene.
En stund virket det som om folk trodde at nødssituasjonen trumfet personvernet. Det var stor rift om å anskaffe digitale verktøy og innhold for å hjelpe elever med hjemmeundervisning (fjernundervisning). Leverandører som kanskje normalt ikke ville sluppet gjennom nåløyet i en personvernvurdering, opplevde en enorm økning i interessen fra utdanningsinstitusjonene. Dette var vel for det felles beste?
Men det viste seg raskt at selv tjenester som var avgjørende for å håndtere den globale pandemien, måtte følge de grunnleggende prinsippene for personvern. Den norske regjeringen var raskt ute med å lansere en kontaktsporingsapp som skulle bidra til å kontrollere spredningen av viruset, men Datatilsynet var enda raskere til å stenge den ned. En global pandemi er ingen grunn til å slappe av når det gjelder personverntiltak.
Når betydningen av personopplysninger og systemene som behandler dem, går fra "kjekt å ha" til "kritisk", øker viktigheten av databeskyttelse betraktelig. Hvis en lærers konto ble hacket og slettet for noen år siden, kunne læreren finne en annen måte å gjennomføre undervisningen på. Men under pandemien kan det bety at to dusin barn ikke får undervisning på flere dager. Behovet for databeskyttelse vurderes opp mot konsekvensene for mennesker når noe kritisk som dette skjer.
Læringspunkt: Du må styrke protokollen for databeskyttelse i krisetider.
Personvern handler også om tilgjengelighet
I de tidlige stadiene av pandemien opplevde mange leverandører en plutselig økning i bruken av systemene sine. Ikke alle leverandørene var i stand til å dekke det økte behovet fra sin eksisterende kundebase. I noen tilfeller tok det dager eller til og med uker før disse leverandørene var tilgjengelige igjen.
De fleste forbinder et datainnbrudd med at noen hacker seg inn i programvare og stjeler data. Men i GDPR-sammenheng kan også et langvarig tap av datatilgjengelighet betraktes som et datainnbrudd. Det avhenger av hvordan det påvirker brukerne. Hvis et system er mørklagt i flere dager i strekk, noe som i vesentlig grad påvirker undervisningen, bør det betraktes som et datainnbrudd. Sikringstiltakene som systemer og leverandører kan tilby mot tilgjengelighetsbrudd, bør være en del av enhver vurdering av personvern.
Læringspunkt: Når du vurderer leverandørenes sikkerhetstiltak, bør du vurdere deres evne til tilgjengelighet og kontinuitet under uventede, langvarige belastningstopper.
Mange institusjoner sliter fortsatt med grunnleggende sikkerhetstiltak
I 2020 så vi et nytt fenomen (i hvert fall for skoler) som ble kalt "Zoom bombing". Ved å tillate uautorisert tilgang til videokonferanseverktøy ble det utført ondsinnede angrep ved å gjette nettadressene til møterommene. I beste fall forstyrret det den pågående fjernundervisningen, i verste fall utsatte det elevene for upassende innhold og atferd. (Zoom har siden lagt til ytterligere tiltak, som for eksempel en sikkerhetsknapp, for å forhindre Zoom-bombing).
Selv institusjoner som kun tillot autentiserte brukere å bruke systemene sine, var ikke immune mot hacking og datainnbrudd. Phishing, som går ut på å lokke brukere til å oppgi brukernavn og passord ved å gi seg ut for å være en legitim tjeneste, var utbredt. Dette er et eksempel på hvorfor brukernavn/passord-autentisering ikke er nok, og hvorfor datatilsynsmyndighetene anbefaler at personalkontoer i digitale læringsmiljøer må beskyttes med flerfaktorautentisering.
Læringspoeng: Gå gjennom de grunnleggende sikkerhetstiltakene. Sørg for at du håndhever riktig autentisering for læringstjenestene dine.
Mange organisasjoner er fortsatt ikke klar over hvilke rettigheter elever og lærere har.
Overgangen til fjernundervisning medførte store endringer i mange organisasjoner. Nye systemer ble tatt i bruk, og flere personopplysninger ble samlet inn. For noen organisasjoner kan man til og med hevde at formålet med behandlingen av personopplysninger endret seg. Men i denne prosessen var det mange organisasjoner som glemte det grunnleggende prinsippet om å overholde personvernforordningen.
Alle brukere av et digitalt læringsmiljø har personvernrettigheter. Det viktigste er kanskje åpenhet om hvordan personopplysningene deres behandles. Hvis du i løpet av pandemien har endret måten personopplysninger behandles på, bør dette dokumenteres på en åpen måte og være lett tilgjengelig for alle interessenter, inkludert elevene (og foreldrene).
Læringspunkt: Gjør en ny vurdering av "GDPR-implementeringen". Forsikre deg om at du har den nødvendige kompetansen i organisasjonen til å beskytte personopplysninger og respektere brukernes personvernrettigheter.
Men ikke la personvernspørsmål stoppe fjernundervisning.
Personvern er en grunnleggende rettighet, men det er utdanning også. Derfor bør ikke personvern brukes som en unnskyldning for å avbryte nettbasert utdanning når en hendelse som denne pandemien gjør det umulig for skolene å holde åpent. Personvern bør ikke ses på som et hinder som sender oss tilbake til den før-digitale "mørketiden", men som et kvalitetssikringsverktøy for å sikre at digitale tjenester kan leveres på en trygg og pålitelig måte.
Når denne pandemien er over, er det viktig å ikke bli selvtilfreds. La oss anta at noe slikt kan skje når som helst. Utarbeid planer, infrastruktur og leverandøravtaler for å sikre at du allerede har en databeskyttelsesvennlig infrastruktur på plass som gjør at undervisningen kan fortsette selv om skolene er stengt.
Læringspunkt: Lag en "skolekontinuitetsplan" som legger til rette for en smidig og personvernvennlig overgang til fjernundervisning.
På itslearning er vi forpliktet til å beskytte data. Du kan lese mer om vår GDPR-forpliktelse på denne siden: Dine data er viktige.
Her er en sjekkliste for å sikre at skolen din overholder personvernforordningen.
Se vårt gratis webinar for å lære mer om hvordan du kan beskytte data ved utdanningsinstitusjonen din.