Del 1: Når barns data blir en handelsvare – Personvernutfordringer i den digitale skolen

Digitalisering åpner nye muligheter innen utdanning, men det stiller også stadig større krav til hvordan elevdata håndteres. I denne todelte bloggserien ser vi nærmere på personvernutfordringene skoler og lokale myndigheter står overfor – og hvordan vi sammen kan skape et tryggere digitalt læringsmiljø.

Barns personvern får spesiell beskyttelse under EUs GDPR-lovgivning, og tilsynsmyndigheter over hele Europa har uttrykt bekymring for at digitalisering kan gå på bekostning av elevenes personvern. Spesiell oppmerksomhet har blitt viet til risikoene forbundet med verktøy fra store internasjonale teknologileverandører, som kan operere under andre forutsetninger og rammeverk for behandling av personopplysninger. Hundrevis av digitale læringsverktøy må vurderes og administreres, en krevende oppgave, spesielt for mindre kommuner eller skoler med begrensede ressurser. Utfordringen er ikke mangel på vilje fra skolenes eller kommunenes side, men snarere å navigere i et komplekst landskap der pedagogiske behov, juridiske krav og tekniske løsninger må balanseres nøye.

Barnas data: Hvor havner de?

Barns personopplysninger anses ikke bare som sensitive, men også etisk ladede. Dette betyr at det må være full åpenhet om hvordan data samles inn, behandles og brukes. Likevel bruker mange skoler gratisverktøy eller løsninger fra internasjonale leverandører uten alltid å innse risikoen dette kan utgjøre for elevenes personvern. Data kan deles, lagres eller gjort tilgjengelig utenfor sikre europeiske rammeverk, noen ganger for kommersielle formål. Datatilsynet i Danmark og Sverige har avdekket flere alvorlige brudd, alt fra ulovlige dataoverføringer til uautorisert tilgang til elevjournaler .

Disse funnene understreker viktigheten av grundige vurderinger og tydelige krav til datahåndtering i skolene, både fra tilbydere og skolemyndigheter.

Realiteten for kommunene:
Høye forventninger, få ressurser

I år gjennomførte Datatilsynet en omfattende gjennomgang av skolesektoren, der de undersøkte 50 kommuner for å vurdere hvordan de beskytter elevenes personopplysninger. Rapporten viser at mange kommuner har begrenset forståelse av hva som utgjør personopplysninger og lite innsikt i om tilbydere kan bruke elevopplysninger til egne formål, for eksempel kommersiell utnyttelse eller tjenesteutvikling.
Dette er spesielt utfordrende med gratistjenester og nettbaserte verktøy som ikke krever innlogging, som ofte tas i bruk lokalt uten sentralisert risikovurdering. Dette kan føre til at kritiske personvernhensyn blir oversett.

Rapporten fremhever også behovet for mer systematiske prosesser og ekspertise i kommunene. Dette innebærer tydelige roller, dokumentasjon av databehandling, risikovurderinger og avtaler med leverandører. Kommuner som deltar i interkommunale IT-samarbeid har større sannsynlighet for å ha skriftlige prosedyrer, kvalifisert personale og klart definerte ansvarsområder, noe som gjør personvernarbeidet mer robust.

Leverandørlabyrinten: Kompleks og utfordrende

Datatilsynets undersøkelser viser at mange kommuner synes leverandørmarkedet er komplekst og vanskelig å håndtere. Fire hovedutfordringer ble identifisert:

• Leverandører gjør endringer uten varsel
• Verktøy er ikke nødvendigvis laget for bruk på skolen
• Kommunikasjon med leverandører er utfordrende
• Uoversiktlig behandling av personopplysninger
  

Veien videre: Hva kan gjøres?

Digitalisering i skolene er kommet for å bli, og utfordringene må håndteres gjennom samarbeid, ekspertise og bedre verktøy. Men hvordan kan tilbydere bidra til å styrke personvernet i praksis? I del 2 ser vi nærmere på hvordan itslearning håndterer personvern fra grunnen av, og hvordan vi hjelper kommuner med å skape et tryggere digitalt læringsmiljø.