I snart to år har utdanningsinstitusjoner over hele verden måttet tilpasse seg og improvisere på grunn av den globale covid-19-pandemien. Fjernundervisning og blandet læring ble kritisk. Noen systemer var mer forberedt enn andre.
Skolesystemer med en velutviklet digital infrastruktur var bedre forberedt. Andre måtte skynde seg å anskaffe og implementere løsninger i løpet av noen få dager. Det ble tatt snarveier, og vurderinger av personvernhensyn ble ofte forbigått.
Fjernundervisning er fortsatt en stor del av utdanningen i 2022 og vil være med oss i overskuelig fremtid. Det er derfor viktig å se på hva som har skjedd de siste årene med tanke på personvernet. Her er noen lærdommer.
En global pandemi betyr ikke at vi kan lempe på personverntiltakene
En stund virket det som om folk trodde at nødsituasjonen trumfet personvernet. Det var et rush etter digitale verktøy og digitalt innhold som kunne hjelpe elevene med hjemmeundervisning (fjernundervisning). Leverandører som kanskje normalt ikke ville ha sluppet gjennom en personverngranskning, opplevde en enorm økning i interessen fra utdanningsinstitusjoner. Dette var vel til det beste for alle?
Men det viste seg raskt at selv tjenester som var avgjørende for å håndtere den globale pandemien, måtte følge de grunnleggende prinsippene for personvern. Den norske regjeringen var raskt ute med å lansere en kontaktsporingsapp for å bidra til å kontrollere spredningen av viruset, men Datatilsynet var enda raskere ute med å stenge den ned. En global pandemi er ingen grunn til å slappe av når det gjelder personverntiltak.
Når betydningen av personopplysninger og systemene som behandler dem, går fra å være "kjekt å ha" til å bli "kritisk", øker viktigheten av databeskyttelse betraktelig. For noen år siden kunne en lærer som fikk kontoen sin hacket og slettet, finne en annen måte å drive undervisningen på. Men under pandemien kan det bety at to dusin barn ikke får undervisning på flere dager. Behovet for databeskyttelse vurderes opp mot konsekvensene for mennesker når noe kritisk som dette skjer.
Læringspunkt: Du må styrke personvernprotokollen din i krisetider.
Personvern handler også om tilgjengelighet
I de tidlige stadiene av pandemien ble mange leverandører rammet av plutselige økninger i bruken av systemene sine. Ikke alle leverandørene var i stand til å håndtere det økte behovet fra den eksisterende kundebasen. I noen tilfeller tok det dager eller til og med uker før disse leverandørene var tilgjengelige igjen.
De fleste forbinder et datainnbrudd med at noen hacker seg inn i programvare og stjeler data. Men i GDPR-sammenheng kan et langvarig tap av tilgjengeligheten til data også anses som et datainnbrudd. Det kommer an på hvordan det påvirker brukerne. Hvis et system er ute av drift i flere dager, noe som i vesentlig grad påvirker undervisningen, bør det anses som et datainnbrudd. De sikkerhetstiltakene som systemer og leverandører kan tilby mot brudd på tilgjengeligheten, bør være en del av enhver vurdering av personvernet.
Læringspunkt: Når du vurderer leverandørenes sikkerhetstiltak, bør du vurdere deres evne til å sikre tilgjengelighet og kontinuitet under uventede, langvarige belastningstopper.
Mange institusjoner sliter fortsatt med grunnleggende sikkerhetstiltak
I 2020 så vi et nytt fenomen (i hvert fall for skoler) kalt "Zoom bombing". Ved å tillate uautorisert tilgang til videokonferanseverktøy ble ondsinnede angrep iverksatt ved å gjette nettadressene til møterommene. I beste fall forstyrret det pågående fjernundervisning, i verste fall utsatte det elevene for upassende innhold og oppførsel. (Zoom har siden lagt til ytterligere tiltak, for eksempel en sikkerhetsknapp for å forhindre Zoom-bombing).
Selv institusjoner som bare tillot autentiserte brukere tilgang til systemene sine, var ikke immune mot hacking og datainnbrudd. Phishing, som går ut på å lokke brukere til å oppgi brukernavn og passord ved å gi seg ut for å være en legitim tjeneste, var utbredt. Dette er et eksempel på hvorfor det ikke er nok med brukernavn/passord-autentisering, og hvorfor Datatilsynet anbefaler at personalkontoer i digitale læringsmiljøer må beskyttes med multifaktorautentisering.
Læringspunkt: Gå gjennom de grunnleggende sikkerhetstiltakene dine. Sørg for at du håndhever passende autentisering for læringstjenestene dine.
Mange organisasjoner er fortsatt ikke klar over rettighetene til sine studenter og lærere
Overgangen til fjernundervisning medførte store endringer i mange organisasjoner. Nye systemer ble innført, og flere personopplysninger ble samlet inn. For noen organisasjoner kan man til og med hevde at formålet med behandlingen av personopplysninger endret seg. Men i denne prosessen var det mange organisasjoner som glemte det grunnleggende om å overholde GDPR.
Alle brukere av et digitalt læringsmiljø har personvernrettigheter. Den kanskje viktigste er åpenhet rundt hvordan personopplysningene deres behandles. Hvis du under pandemien har endret måten personopplysningene behandles på, bør dette dokumenteres på en åpen måte og være lett tilgjengelig for alle interessenter, inkludert elevene (og foreldrene).
Læringspunkt: Gjør en ny vurdering av "GDPR-implementeringen". Sørg for at dere har kompetanse i organisasjonen til å beskytte personopplysninger og respektere brukernes personvernrettigheter på en god måte.
Men ikke la personvernspørsmål stoppe fjernundervisning
Personvern er en grunnleggende rettighet, men det er utdanning også. Personvern bør derfor ikke brukes som en unnskyldning for å avvikle nettbasert utdanning når en hendelse som denne pandemien gjør det umulig for skolene å holde åpent. Personvern bør ikke ses på som et hinder som setter oss tilbake til den før-digitale "mørketiden", men som et kvalitetssikringsverktøy for å sikre at digitale tjenester kan leveres på en trygg og pålitelig måte.
Når denne pandemien er over, er det viktig å ikke bli selvtilfreds. La oss anta at noe slikt kan skje når som helst. Forbered planer, infrastruktur og leverandørkontrakter for å sikre at hvis en annen uforutsett hendelse stenger skolene i fremtiden, har du allerede en databeskyttelsesvennlig infrastruktur på plass som gjør at undervisningen kan fortsette selv når skolene er stengt.
Læringspunkt: Sett opp en "kontinuitetsplan for skolen" som legger til rette for en smidig og personvernvennlig overgang til fjernundervisning.
På itslearning er vi forpliktet til å holde data trygge. Du kan lese mer om vår GDPR-forpliktelse på denne siden: Dine data er viktige.
Her er en sjekkliste for å sikre at skolen din overholder GDPR.
Se vårt gratis webinar for å lære mer om hvordan du kan beskytte data ved utdanningsinstitusjonen din.