Hos itslearning tar vi vår rolle som databehandler på alvor. Plattformen vår er utviklet i henhold til prinsippet om 'personvern gjennom design', som betyr at personvern tas i betraktning fra starten av, ikke som en ettertanke. Hver ny funksjon, oppdatering og integrasjon vurderes mot en fast sjekkliste for personvern og sikkerhet.
Vi gjennomfører også grundige konsekvensanalyser av alle våre partnere og underleverandører, noe som gir skolene trygghet når de tar i bruk nye funksjoner eller verktøy i plattformen.
Kommuner har rapportert at noen aktørers leverandørkjeder kan være lange og komplekse, noe som gjør det utfordrende å forstå hvilke data som behandles og av hvem. Et digitalt læringsverktøy kan ha flere underleverandører, hver med sine egne underleverandører.
Noen applikasjoner leveres også av utenlandske selskaper, noe som gjør det vanskelig å fastslå i hvilken grad personopplysninger behandles.
Alle våre underleverandører overholder europeiske GDPR-standarder, og kundedata behandles alltid innenfor Europa. Data krypteres, tilgang kontrolleres nøye, og personopplysninger minimeres der det er mulig.
"Hos itslearning er prinsippet enkelt: verken våre egne driftsmiljøer eller våre underleverandører har mer tilgang enn absolutt nødvendig. Kundedata er beskyttet gjennom kryptering, tilgangskontroller og dataminimering.» – Daniel Manne, sikkerhetsansvarlig hos itslearning
En gjennomsnittlig norsk kommune har vanligvis 50–200 systemer som behandler personopplysninger med høy risiko. Dette utløser ofte kravet om en konsekvensutredning for personvern (DPIA).
For å forenkle dette arbeidet, gir itslearning en 80 % forhåndsutfylt DPIA, tilgjengelig for alle kunder. I tråd med GDPR vedlikeholder vi også løpende dokumentasjon (register over behandlingsaktiviteter), som gir en oversikt over hvilke data som behandles, for hvilket formål og på hvilket rettslig grunnlag. Dette effektiviserer kommunenes håndtering av innsyns- og slettingsforespørsler og sikrer riktig dokumentasjon av GDPR samsvar.
Kommuner har et enormt ansvar for å beskytte dataene til elever og ansatte, men mange mangler ressurser og ekspertise til å håndtere denne oppgaven. Personvernombudet (DPO) spiller en avgjørende rolle i å sikre at personvernlovgivningen overholdes, veilede ansatte om beste praksis og fungere som kontaktpunkt for både myndigheter og enkeltpersoner. I små kommuner er imidlertid denne rollen ofte ikke en dedikert stilling, men en ekstra oppgave tildelt noen som allerede har full arbeidsmengde.
Ettersom skolene er avhengige av et bredt spekter av digitale systemer, må kommunene sette av betydelig tid til å vurdere DPIA-er og behandlingsprotokoller fra hver leverandør. Vi støtter kundene våre med åpenhet og tydelig rapportering, men vi mener prosessen bør være enklere.
«For å støtte kommunene mener vi at en delt, nasjonal database som inneholder 80 % forhåndsutfylte DPIA-er ikke bare vil forenkle prosessen, men også styrke personvernet og heve sikkerhetsnivået i hele utdanningssektoren.» – Daniel Manne, sikkerhetsansvarlig hos itslearning
Til syvende og sist handler det om å gi skolene trygghet, slik at de kan bruke digitale verktøy til det de har tiltenkt: å forbedre læring og utvikling for elevene, uten at det går på bekostning av personvernet.