Digitalisering i skolen: Hvem har ansvaret for barns personvern?
Sammendrag
På kort tid har norsk skole blitt digitalisert. Hensikten med dette notatet er å bidra til mer oppmerksomhet om selve teknologien og forretningsmodellene bak løsningene som brukes i utdanningssektoren. Datatilsynet har problematisert bruken av Google i skolen, men det har i liten grad vært synliggjort hvilke andre aktører som samler inn, deler og bruker elevenes persondata.
Notatet gir en oversikt over hvordan datainnsamling i skolen foregår, hva slags type teknologi som brukes, og hvem som leverer løsningene. Store internasjonale leverandører som Microsoft, Google og Apple dominerer i dag leverandørsiden. Samtidig er utdanningsteknologi en bransje i vekst.
Personvernforordningen (GDPR) regulerer barns personopplysninger, også i skolen. Dagens innkjøpsordning innebærer at skoleeier (kommunen) gjør innkjøp og sitter med behandlingsansvaret. Det er også skoleeier (kommunen) som vurderer hva og hvordan data blir lagret. Det er i dag store forskjeller mellom skolene, både når det gjelder hvilke løsninger som velges og hvordan disse tas i bruk. Det er også stor forskjell på kommunenes evne og mulighet til å gjøre konsekvensutredninger.
I praksis innebærer det at vi har lite innsyn i hvilke data som samles inn, og hvordan de lagres og eventuelt selges eller brukes videre, enten av kommersielle aktører eller av offentlige myndigheter. Ukontrollert innsamling av brukerdata utgjør en betydelig sikkerhets- og personvernrisiko. Samtidig er dette data som, brukt riktig, kan være en ressurs for det norske skolesystemet, men som nå tilfaller private teknologiselskaper.
Vi ser behov for en mer offensiv nasjonal politikk, som styrker kommunenes forutsetninger for å tilrettelegge for god bruk av digitale tjenester og som ivaretar barns rett til utdanning, harmonisert med barns rett til vern av personopplysninger - uten at det går på bekostning av kommunalt selvstyre og metodefrihet i skolen. Samtidig er det behov for en bedre regulering av digitalisering i skolen som stiller enda tydeligere krav til at teknologiselskaper ikke kan bruke en forretningsmodell som profitterer på barns persondata.
Dette er et arbeid som må foregå på flere plan. Her skisserer vi noen helt konkrete forslag til bedre oppfølging:
- Opprette et nasjonalt testsenter (og sertifiseringsinstans) for digitale tjenester som kan teste nye digitale tjenester før de tas i bruk, for eksempel knyttet til personvern, sikkerhet og dataflyt.
- En norsk digital standard som bevisstgjør offentlige myndigheter som innkjøpere og innbyggere som brukere til å stille krav om informasjonssikkerhet, personvern og andre digitale rettigheter.
- Utbedre avtaler for databehandling, spesielt med tanke på eierskap til data og bedre beskyttelse av barns rettigheter.
- Utrede bedre regler for beskyttelse av barns privatsfære. Norge bør utrede muligheter for å lage tydeligere retningslinjer for hvordan virksomheter kan ivareta de digitale rettighetene til barn under 13 år.
- En ny digital infrastruktur for utdanning. Det bør lages en digital infrastruktur for skolen som tar utgangspunkt i elevers behov for læring, og elever bør ha tilgang til teknologi som er tilpasset dere alder og modenhet, og som samtidig ivaretar barns rett til personvern og vern mot kommersielt press.
Notatet er skrevet av en arbeidsgruppe bestående av Kaja Hegg (Redd Barna), Anja Salzmann (UiB), Christian G. Falch, og Hilde Nagell (Tankesmien Agenda). Arbeidsgruppen har i perioden 2020-2022 hatt jevnlige møter, også med eksterne innledere, for å diskutere tema knyttet til digitalisering og skole.
Innledning og bakgrunn
På kort tid har norsk skole blitt digitalisert. Før koronaspredningen tvang frem digital hjemmeundervisning, hadde om lag halvparten av kommunene full én-til-én-dekning av digitale enheter, altså et nettbrett eller PC per elev. Nå har så godt som alle elever fått sin egen digitale enhet.1 I tillegg har kommuner gått til innkjøp av en rekke nye digitale verktøy, støttesystemer og undervisningsressurser til bruk i skolen.
De overordnende føringene for digitalisering i skolen er nedfelt i strategien “Framtid, fornyelse og digitalisering - Digitaliseringsstrategi for grunnopplæringen 2017–2021”. Her fastslås det at elevene og ansatte i grunnopplæringen skal ha tilgang til tilstrekkelig, sikker og formålstjenlig infrastruktur, som ikt-utstyr, nettverk og tjenester, som skal støtte opp under pedagogiske og administrative behov.2 For tiden arbeider Kunnskapsdepartementet med en ny strategi for digitalisering i skolen, som skal gjelde fra 2022. Dette er en videreføring av den nåværende handlingsplanen.3 Arbeid med digitalisering i skolen kan også ses i sammenheng med den overordnede digitaliseringsstrategien for offentlig sektor.4
Myndigheter, organisasjoner og kommersielle aktører gjør et viktig arbeid for å gi elever, foreldre og lærere, som jobber med barn, kunnskap og veiledning om selve bruken av teknologien. Digitale ferdigheter og digital dømmekraft, inkludert personvern og forståelse av hvordan algoritmer fungerer, er nedfelt som tydelige kompetansemål og digitale ferdigheter i ny lærerplan. Utdanningsdirektoratet og Datatilsynet har utviklet undervisningsressursen dubestemmer.no, som gir barn kunnskap om personvern, og inneholder øvelser for at barn skal utvikle digital dømmekraft. Medietilsynet koordinerer arbeidet med ideelle og kommersielle aktører som driver informasjonsarbeid om trygg, ansvarlig og sikker nettbruk (Kripos, Politiets nettpatrulje, ung.no, Barnevakten, Røde Kors, Telenor, Unicef og Redd Barna). Det legges stor vekt på at barn skal få kunnskap, utvikle såkalt håndteringskompetanse til å møte nettrisikoer i sin digitale hverdag og utvikle kritisk mediekompetanse. Å øke den digitale kompetansen hos barn, foreldre og voksne som jobber med barn er nedfelt som sentrale mål i strategien, “Rett på nett - Nasjonal strategi for trygg digital oppvekst”.5
Det er imidlertid mindre oppmerksomhet om selve teknologien og forretningsmodellene bak løsningene som brukes i utdanningssektoren. Det er også lite oppmerksomhet om i hvilken grad verktøy og digitale ressurser er utviklet med utgangspunkt i barns alder og modenhet, og hvorvidt de ivaretar barns rett til å verne om egne personopplysninger, på kort og lang sikt.
Det er også lite diskutert hva som bør gjøres for å hindre at personopplysninger kommer på avveie, enten fra kommersielle aktører eller i andre sektorer. Datatilsynet har problematisert bruken av Google i skolen, men det har i liten grad vært synliggjort hvilke andre aktører som samler inn, deler og bruker elevenes persondata.
I dag finnes det i hovedsak tre ulike plattformer der elever arbeider med å vise og organisere sin kompetanse: Google workspace, Showbie med tilhørende apper og Microsoft 365. I tillegg er det kommersielle aktører som leverer støtteverktøy og læringsressurser. Det er også verdt å nevne at utdanningsteknologi er en bransje i kraftig vekst.6
Personvernforordningen (GDPR) regulerer barns personopplysninger, også i skolen. Dagens innkjøpsordning innebærer at skoleeier (kommunen) gjør innkjøp og sitter med behandlingsansvaret. Det er også skoleeier (kommunen) som vurderer hva og hvordan data blir lagret. I praksis fører det til forskjeller mellom skolene, når det gjelder hvilke løsninger som velges og hvordan disse tas i bruk. Det er også stor forskjell mellom ulikes kommuners evne og mulighet til å gjøre konsekvensutredninger, i henhold til kravene i personopplysningsloven av tjenestene de benytter seg av. Det samme gjelder også utarbeidelsen av databehandleravtaler med leverandører. Ofte har heller ikke kommunene den nødvendige kompetansen til å stille tilfredsstillende krav til IKT-sikkerhet og personvern i innkjøps- og anbudsprosesser. Det er også eksempler på at selv store kommuner som Bergen, ikke lykkes tilstrekkelig på dette området. 7
Digitalisering i skolen kan bidra til at elever får bedre tilrettelagt undervisning, og det kan bidra til mer treffsikre og målrettet tiltak i skolen, både pedagogisk og sosialt. Det krever imidlertid at de digitale løsningene er utformet ut fra et tydelig brukerperspektiv.
Det betyr at de er tilpasset elever med ulike behov, i ulike aldersgrupper. Det betyr også at det stilles krav til at alle digitale verktøy og ressurser som brukes i utdanningen ivareta barns rett til beskyttelse mot at personopplysninger kommer på avveie, enten det gjelder kommersielt eller av andre offentlige myndigheter. Leverandørene har et ansvar for at grunnleggende personvern skal ivaretas i det som kalles prinsippet om «innebygget personvern» (privacy by design).8
Dette er spesielt viktig fordi data om barn regnes som svært sensitiv informasjon, og bør beskyttes på linje med data om personlig helse, økonomi, biometriske data eller data som berører nasjonal sikkerhet.
Valg og bruk av digitale løsninger i norsk skole må ta utgangspunkt i barns behov og rettigheter, og selve tjenestene som barn anvender i skolen bør etter vår oppfatning harmonisere utdanningspolitiske mål.9
I dette notatet stiller vi spørsmål om digitalisering i skolen er godt nok utviklet med hensyn til lagring og deling av barns persondata på en måte som ivaretar barns interesser. Vi diskuterer også hvilke krav utdanningssektoren bør stille, for å hindre bruk av teknologi som profitterer på barnas personopplysninger.10 Dette er spesielt relatert til undervisningsressurser og læringsanalyse, støtteverktøy for kontakt mellom hjem og skole, eller læringsplattformer som brukes i skolen.
Vi ser behov for en mer offensiv nasjonal politikk, som styrker kommunenes forutsetninger for å tilrettelegge for god bruk av digitale tjenester og som ivaretar barns rett til utdanning, harmonisert med barns rett til vern av personopplysninger - uten at det går på bekostning av kommunalt selvstyre og metodefrihet i skolen.
Datainnsamling i skolen - en oversikt
I denne delen av notatet gir vi en oversikt over hvordan datainnsamling i skolen foregår, hva slags type teknologi som brukes og hvem som leverer løsningene.
Store internasjonale leverandører som Microsoft, Google og Apple dominerer i dag leverandørsiden. Digitaliseringsstrategien for offentlig sektor peker på at disse aktørene kan oppfattes som å representere et eget økosystem i grunnopplæringen i dag, der de også inngår partnerskap med et utvalg leverandører.11
Det innebærer blant annet at vi i liten grad har innsyn i hvilke data som samles inn, og hvordan de lagres og eventuelt selges eller brukes videre. Dette begrenser mulighetene til politisk styring, og til selv å kunne bruke data til å forbedre vårt eget skolesystem. Datainnsamlingen i skolen er svært omfattende og kan deles inn i fire hovedkategorier, se figur 1. Vi skal videre forklare hver enkelt av dem mer inngående.
1. Systemløsninger og hardware
Den første gruppen er systemløsninger og hardware. De brukes av elever, lærere og skoleadministrasjon. Eksempler er overordnede programvarer/operativsystemer, som Google og Microsofts læringsløsninger.
Systemløsninger inkluderer, utover operativsystem (OS) og lagringsløsninger, blant annet kommunikasjonsapper (Gmail, Outlook, Google Meet, Teams, m.m.), skrive- og presentasjon-apper (Google Docs, Word, Powerpoint m.m.), nettnavigasjonsverktøy (Chrome, Safari, YouTube m.m.) og en rekke andre apper som kan samle inn personlig informasjon om elevene. Eksempler på hardware er Apples Ipad og Google Chromebook.
Hva slags data samles inn?
Aktører som Apple, Microsoft og Google har tilgang til data, og særlig metadata om skoleelevers bruk av de digitale løsningene, som selskapene leverer til det norske skolesystemet. Integrerte «system-apper» som Safari, Chrome, YouTube, og Gmail, samler i tillegg inn mer detaljert brukerinformasjon om elevene. Dette kan utgjøre en potensiell sikkerhets- og personvernrisiko.
2. Tredjeparts læringsapper
En annen gruppe er såkalte tredjeparts læringsapper, som lastes ned på elevenes nettbrett, for bruk i undervisning. Eksempler på dette er frittstående læringsapper, som brukes i matte-, skrive- og leseundervisning, samt kreative apper til film, animasjon, tegning eller sosial lek.
Hva slags data samles inn?
Mange av appene ber om tilgang til kamera, mikrofon, billedbibliotek, posisjon, kontakter osv. Det finnes ingen oversikt over hva dette genererer av informasjon om elevene, hos tredjepartsleverandørene. Det foreligger heller ingen systemer for testing og godkjenning av denne type apper, selv om noen av de norske læringsappene skilter med FEIDE-innlogging. FEIDE er en innloggingsportal levert av Uninett, i samarbeid med Utdanningsdirektoratet.
Ved bruk av gratisapper og andre tredjepartsapper i skolen er det stort potensiale for lekkasjer av data, fordi disse har som forretningsmodell å samle og selge brukerdata videre til andre kommersielle aktører.
Det finnes også flere såkalte adaptive læringsapper, som er laget for å gi tilpasset opplæring til elevene. Dette er en ny læringsmetode, som samler inn data om elevenes bruk, for å tilpasse innhold til den enkelte elev. Det er uklart hva disse læringsappene samler inn av metadata, og hvordan data blir lagret og eventuelt brukt videre til andre formål.
3. Evalueringssystemer
En tredje kategori er evalueringssystemer. Skolene har tatt i bruk diverse former for programvareløsninger for å evaluere elever. Dette er for eksempel ulike former for karaktersettingssystemer og elevundersøkelser.12
Hva slags data samles inn?
Dette kan dreie seg om til dels detaljert personlig informasjon om eleven. Det kan være prestasjoner, fravær eller sosiale og helsemessige forhold. Det er usikkert hvor mange slike systemer som er i bruk, og hvor omfattende de er.
4. Ekstern kommunikasjon
En siste kategori er ekstern kommunikasjon. Det en rekke digitale løsninger i bruk, for eksempel for kommunikasjon mellom skole og foreldre, og foreldre imellom. Eksempler på program som benyttes til ekstern kommunikasjon er Visma, Skooler, og Facebook klassegrupper.
Hva slags data samles inn?
Dette er apper som skilter med høye krav til personvern. Hva de egentlig samler inn om bruk og innhold er uklart. Facebook-klassegrupper vil for eksempel være utsatt for Facebooks kommersielle informasjonsinnsamling.
3 Google som eksempel
Google er ett eksempel på en aktør som har fått en sentral plass i utvikling av digitale løsninger for skolen. Omtrent halvparten av danske barneskoler bruker Chromebook, Googles nettbrett. I Danmark har Google en brukeravtale som skal skjerme barn mot reklameannonser, men vi har i liten grad innsyn i hvordan Google nyttiggjør seg av barnas persondata. Selskapet sier selv at de ikke tillater annonser i sine skole-løsninger, men både det danske og det norske Datatilsynet har stilt spørsmål ved om det er tilstrekkelig innsyn i hvordan dette praktiseres.13
I Norge er Googles markedsandel langt lavere enn i Danmark, men det er tatt i bruk flere steder. Om lag 30 prosent av alle elever bruker Chromebook og Google Workspace,. Tallene er høyest på ungdomskolen. I Norge fikk de tre kommunene Sandnes, Strand og Bergen varsel om irettesettelse fra Datatilsynet etter at det ble avdekket betydelige feil ved bruk av Google-løsninger, som kunne gå ut over elevers personvern.14
Denne saken illustrerer imidlertid også mangelen på innsyn og nødvendig kunnskap, i hvordan Google samler inn og bruker persondata. Datatilsynet påpekte at det er svært vanskelig å få en oversikt over alle sidene ved avtalen med Google.15 De refererer til nettsider i avtalen, som igjen viser til andre nettsider. Google har for eksempel også endret navn mellom «Workspace» til «G Suite», noe som gjør det vanskelig å forstå hva avtalene egentlig innebærer. Datatilsynet konkluderte med at det er tilnærmet umulig å få et bilde av dette, og betegner Google som en «krevende databehandler». Spesielt alvorlig er det manglende innsynet i digitale systemer, som regnes som «høy risiko», fordi de er rettet mot skole og barns personopplysninger. Samtidig krever loven at kommunene skal sette seg inn i avtalene og gjøre en risikovurdering.
Datatilsynet har laget retningslinjer for bruk av Google Chromebook og G.Suit for Education.16 Dette inkluderer kjernetjenester som Gmail, Hangouts, Chat, Meet, Docs, Sheets, Slides og Drive. Når det gjelder disse tjenestene, har Google forpliktet seg til å ikke bruke data til markedsføring. Men for andre tjenester, som Chrome Browser, Google Maps, Google Search and Youtube, kan Google fortsatt personrette datainnsamlingen.
Google skal ikke utsette barn for reklame og ikke samle inn data om barna, innenfor Google classroom. Men på selve Chromebook er søkemotoren Chrome installert, og det er heller ikke mulig å installere et alternativ til Chrome . Det utsetter barna for full sporing. Google har i flere sammenhenger uttalt at de ikke samler inn data om barna, men har blitt anklaget, og også tatt flere ganger i USA for brudd på dette løftet.17 Google er også kjent for å sanke store mengder data fra sine brukere. I Googles operativsystem Android, følges brukeren av en såkalt Ad-ID, som bidrar til å identifisere brukeren på tvers av applikasjoner og nettsider. Vi er ikke kjent med at Chromebook har noe lignende, men det er vanskelig å få innsyn i dette, og usikkert om tjenesten de tilbyr i USA skiller seg vesentlig fra den de leverer i Norge og EU-området. Det gjør det vanskelig å feste lit til Google som en tillitsverdig aktør innenfor utdanningssektoren.
Noen land, som Sveits, har gått foran og framforhandlet egne avtaler med Google.18 Nederlandske myndigheter har inngått en egen avtale med Google, når det gjelder bruk av Google-tjenester i offentlig sektor og i skolen. Blant annet har de blitt enige om at nederlandske myndigheter skal kunne overvåke og kontrollere hvordan Google følger opp personvernregler og retningslinjer. Samtidig viser en analyse av den nederlandske avtalen at det er så mye som åtte gjenværende problemer knyttet til bruken av Googles tjenester og persondata, blant annet knyttet til formålsbegrensing og lovhjemler.19
4 Konsekvenser for barna: 5 utfordringer
Skolene har tatt i bruk mange ulike digitale løsninger og undervisningsressurser. Dette kan bidra til bedre læring, god informasjonsdeling, gi en supplerende kanal for kommunikasjon mellom elevene og bidra positivt til læring. At læreren kan følge med på elevenes aktiviteter vil også være med på å effektivisere ordinære oppgaver, som både går på faglig og sosial oppfølgning av elevene. Det er likevel flere utfordringer knyttet til barns personvern. Her skisserer vi noen av dem.
For det første kan teknologien åpne for at skolen og læreren utøver kontroll og overvåker aktiviteter, på måter som kan oppleves som problematiske for barn. Krav om å filme seg selv i forbindelse med skoleoppgaver, eller følelsen av press til å ha kamera på under fjernundervisning er eksempler på det. I tillegg gir audiovisuelle data (bilde og lyd) særdeles sensitive data, fordi de avslører biometriske persondata. Selvlærende algoritmer har de siste årene blitt meget gode til å gjenkjenne særlig lyd og bilde. Andre eksempler kan være registrering av tid brukt på skolearbeid og lekser, undersøkelser av når barna gjør lekser eller registrering av foreldreoppfølging. Teknologien gjør det mulig å registrere for eksempel hvilke nettsteder barna har vært innom, kartlegge barns ferdigheter over tid og sporing og analysere barns kognitive evner.
For det andre må barns personvern beskyttes bedre når det innføres nye evalueringssystemer i norsk skole. Det er mange evalueringssystemer i bruk, og mange av disse leverandørene har et bevisst forhold til dataetikk og personvern. Et tilfeldig eksempel er Hamar kommune som har tatt i bruk klassetrivsel.no, et dansk system som brukes til å evaluere og kartlegge elevene. Det har imidlertid20 også vært utfordringer. Spekter digital er et norskutviklet system som skal brukes til å avdekke mobbing og kartlegge læringsmiljøet i klassen.21 Det har fått kritikk av Datatilsynet for manglende personvern, blant annet fordi de i en undersøkelse oppfordret elever til å navngi mobbere.22 Noen evalueringssystemer er svært omfattende, og dekker alt fra opplæring og evaluering til skoleadministrasjon og rekruttering.23 Det øker behovet for gode retningslinjer og kontroll med data.
For det tredje kan bruken av adaptive undervisningsressurser føre til at algoritmer blir styrende for den informasjonen barna får, og at elevene ikke får den samme informasjonen og grunnlaget for et tema. Vi vet lite om hvordan det kan påvirke fellesskolen, og hvorvidt det påvirker skolen som en arena for læring om demokrati og livsmestring, som er satt som overordnet mål i ny lærerplan.
En fjerde utfordring med bruk av digitale plattformer og tjenester i skolen er at personopplysninger kan komme på avveie. Alle barn går på skolen. Alt som kan spores av barns data om arbeid, preferanser, relasjoner og resultater i skolen, i tillegg vil biometriske data (bilde og lyd) kunne gi et rikt bilde av barnas personlighet, adferd og livssituasjon. Det er mange aktører som potensialt har interesse av elevenes persondata. Kommersielle interesser innenfor utdanningssektoren kan bruke slike data til å målrettet undervisningsopplegg, men det har også stor verdi for andre aktører (for eksempel med politiske hensikter). Et relatert problem er at elevene selv risikerer å miste kontroll over sine egne data, og ikke har makt til å bestemme hvordan de brukes i fremtiden.
For det femte har vi liten debatt om hvordan vi ønsker at dataene skal brukes innenfor offentlig sektor og av myndigheter. Skolen har en rolle i å følge opp og melde inn bekymringer for elever, enten det gjelder frafall i skolen eller forhold i hjemmet. Likevel er det viktig å ha en kritisk debatt om hva som skal lagres og deles og hva som skal slettes, slik at man fanger opp risiko og varsler uten at det går på bekostning av barns rett til personvern.
Dagens situasjon tyder på at barns rett til personvern ikke blir godt nok ivaretatt, og vi stiller spørsmål om krav i lovverk og konvensjoner er godt nok oppfylt.24 Barnekonvensjonen fastslår barns rett til personvern. En ny, såkalt generell kommentar fra FNs barnekomite fastslår videre at myndigheter har ansvar for å ha en aktiv politikk for å beskytte barns persondata i utdanning. De beskriver at staten har følgende forpliktelser:25
Standards for digital educational technologies should ensure that the use of those technologies is ethical and appropriate for educational purposes and does not expose children to violence, discrimination, misuse of their personal data, commercial exploitation or other infringements of their rights, such as the use of digital technologies to document a child’s activity and share it with parents or caregivers without the child’s knowledge or consent (103)
Undervisningsressurser eller læringsplattformer som tar i bruk ulike former for kunstig intelligens er, ifølge EU og UNESCO, rangert som høy-risiko applikasjoner. Det vil si at det er knyttet til store forventninger og muligheter for læring og innovasjon, men samtidig knyttet til store utfordringer og etiske problemstillinger.26 Konsekvensene av å ikke beskytte barns persondata er sammensatte, og det er behov for tiltak for å bedre kunne beskytte barnas persondata. Dette er del av mandatet til personvernkommisjonen som skal levere sin innstilling våren 2022.
5 Rutiner, roller og ansvar
Handlingsplanen for digitalisering i grunnskolen tydeliggjør roller og ansvar mellom nasjonale myndigheter, kommunal sektor og leverandører. Ny lærerplan tydeliggjør også digital kompetanse og digitale ferdigheter som mål i skolen. Kommunenes sentralforbund (KS) startet våren 2020 opp SkoleSec, et forprosjekt som skal vurdere, prøve ut og evaluere ulike innsatser og tiltak som skal sikre det digitale læringsmiljøet til elever.27
Det er imidlertid en klar mangel på felles politikk for å sikre at barn får et likeverdig tilbud, får digitale ressurser som er tilpasset deres alder og modenhet, og at det ikke tas i bruk teknologi som kan true barns personvern og føre til misbruk av deres persondata.
Kommunenes ansvar for å organisere og drifte IKT har ført til store kommunale forskjeller når det gjelder anskaffelser av digitale enheter og digitale læringsressurser, ivaretakelse av personvernet, og ikke minst hvordan det er tilrettelagt for bruk av IKT i utdannelsen. Noen kommuner løser dette likevel bra, noen sliter med å få det til, og noen er ikke engang kommet i gang.
Det er store forskjeller i valg av digitale plattformer, bruk av læringsressurser og i hvilken grad skolen tilrettelegger for bruk som er tilpasset barn og deres pedagogiske behov.28 Alt i alt skaper dette svært store forskjeller, både fra kommune til kommune, men også fra skole til skole. Det gjelder utdanningstilbudet, men mer relevant i denne sammenhengen også sikkerheten rundt barns personvern.
Mange av kommunene i Norge er organisert i en eller annen form for interkommunalt IKT-samarbeid. Det er egentlig disse organisasjonene som styrer det meste av viktige valg rundt anskaffelser.29 Det har blitt oppfordret til denne formen for organisering fra sentrale myndigheter, for å effektivisere innkjøp og drift av alle kommunale IKT-systemer.30
Avgjørelser rundt digitale løsninger til skolene blir derfor tatt på lik linje med alle andre IKT-innkjøp i kommunene. Her er det ofte pris og effektivitet som styrer. Hvilke løsninger som blir valgt preges av tilfeldigheter, samtidig som det er lite som minner om en overordnet plan fra sentrale myndigheter. Kommunene forsøker å organisere dette etter beste evne og gjeldende regelverk.
Det tas i liten grad utgangspunkt i behovene til elever, lærere og skoleansatte i valget av teknologi. De tekniske løsningene anskaffes først og så blir brukerne i stor grad tilpasset systemene. Flere kommuner organiserer seg med fagråd bestående av rektorer og andre fagpersoner, som kommer med viktige innspill til IKT-avdelinger, som igjen står ansvarlig for innkjøp og drift av digitale verktøy til skolen. Ansvaret for personvern er plassert et annet sted, hos kommunenes jurister. Men det reelle ansvaret plasseres på enkeltskolene og deres administrasjon.
Resultatet av denne måten å organisere IKT-anskaffelser på, fører til et ansvarsvakum, hvor ingen egentlig har hverken oversikt eller kompetanse til å følge opp barnas personvern på en tilfredsstillende måte.
Mange skoleeiere støtter seg på forslagene direkte fra leverandørene, uten å gjøre egne risikovurderinger, viser en kartlegging gjort av Traq AS på oppdrag av Pålogga AS.31 Dette stemmer med Datatilsynets vurdering: En fellesnevner ved avvik rundt personvern er knyttet til mangelfulle risikovurderinger i forkant.32 Kartleggingen konkluderer også med at det er et stort mangfold av leverandører, men vanskelig å finne felles vurderingskriterier for avtalene. Det mangler en felles struktur på personvernerklæringer, og som bruker blir man i liten grad informert om vilkårene. Flere spørsmål bør avklares bedre: Hva må man eventuelt ha samtykke til fra foreldre/foresatte? Kan en lærer samtykke til biometri? Hvor går grensen og hva kreves for digital profilering av elever?
Utdanningsdirektoratet har laget en oversikt over digital undervisning under korona-situasjonen.33 Der pekes det på at skoleeier er ansvarlig for behandlingen av persondata, men at en utfordring er manglende rutiner:
Personvernforordningen understreker at skoleeier er ansvarlig for å ivareta personvernet til elever, ansatte og foreldre, noe som kan være problematisk hvis de ikke følger rutiner og standarder, for eksempel bruker eldre nettverk uten passordordsikring eller private datamaskiner som er dårlig sikret mot innbrudd.
Personvernproblematikk er ikke lenger kun forbundet med ulike former for datasikkerhetsbrister. Læringsbrett, Chromebooks og PCer, med tilhørende programvare, samler kontinuerlig inn ulike former for personopplysninger om norske skoleelever. En aktuell problemstilling er i tillegg hvordan bruk av gratisapper kan medføre at personopplysninger kommer på avveie.
Disse utfordringene kan illustreres med et aktuelt eksempel fra Ålesund kommune Ålesund kommune fikk en bot på 50 000 kroner av Datatilsynet for brudd på personvernforordningen.34 Elever ved to skoler hadde brukt treningsappen Strava.35 Kommunen manglet kontroll på bruk av personopplysninger i appen, og dette var grunnlaget for boten kommunen fikk. Etter vår oppfatning er det svært vanskelig for en skoleeier å kunne ha en oversikt over hvordan personvernhensyn ivaretas og hva slags type data som samles inn. Dette eksempelet viser hvor vanskelig det er for lærere, skoler og kommuner å vurdere personvernrisikoen knyttet til tredjepartsapper. Teknisk testing, kombinert med risikovurdering er nødvendig for alle apper som brukes i skole og barnehage.
6 Våre anbefalinger
Denne gjennomgangen har vist behovet for ny regulering og en tydeligere kontroll og styring med hvordan skolen tar i bruk digitale hjelpemidler og systemer, ved eierskap til data og ved beskyttelse av barns personvern og rettigheter.
Ukontrollert innsamling av brukerdata utgjør en betydelig sikkerhets- og personvernrisiko. Samtidig er dette data som, brukt riktig, kan være en ressurs for det norske skolesystemet, men som nå tilfaller private teknologiselskaper. Data i skolen må samles inn og brukes i tråd med barns grunnleggende rett til personvern, og i tråd med elevenes behov. Barns personopplysninger og bruksdata bør forvaltes på lik linje med f.eks. helsedata og andre sentrale personopplysninger.
Notatet konkluderer med at det er behov for en bedre regulering av digitalisering i skolen, som tar utgangspunkt i felles utdanningspolitiske mål og barns rettigheter – og som stiller tydelige krav til at teknologiselskaper ikke bruker en forretningsmodell som profitterer på barns persondata.
Dette er et arbeid som må foregå på flere plan. Her skisserer vi noen helt konkrete forslag til bedre oppfølging:
- Opprette et nasjonalt testsenter (og sertifiseringsinstans) for digitale tjenester som kan teste nye digitale tjenester før de tas i bruk, for eksempel knyttet til personvern, sikkerhet og dataflyt). Et slikt nasjonalt testsenter vil kunne ha en teknisk, juridisk og forretningsmessig ekspertise som gjør det mulig å vurdere apper og andre tjenester som kan brukes i skolen. Skolene kan deretter velge de tjenestene (…)?
- En norsk digital standard som bevisstgjør offentlige myndigheter som innkjøpere og innbyggere som brukere til å stille krav om informasjonssikkerhet, personvern og andre digitale rettigheter. En amerikansk forbrukerorganisasjon har utviklet en slik standard.36 Canadiske myndigheter har også laget en nasjonal standard for digitale tjenester. 37
- Utbedre avtaler for databehandling, spesielt med tanke på eierskap til data og bedre beskyttelse av barns rettigheter. Sveits har utarbeidet felles betingelser for dataavtaler.38 Datatilsynet i Sveits har også utarbeidet en guide for organisatoriske og tekniske tiltak for å beskytte barnas personvern.39 Den innebærer blant annet at det må gjøres et grundig forarbeide før nye digitale skoletjenester innføres. Bruksområde må defineres og det må klargjøres hvilke tjenester og produkter som skal brukes, type og omfang av data som blir bearbeidet, ansvarfordeling, adgangsrettigheter og regler for kryptering, protokollføring, sletting osv. Et annet eksempel er nederlandske myndigheter som har fremforhandlet en egen avtale med Google når det gjelder bruk av Google-tjenester i offentlig sektor og i skolen.40
- Utrede bedre regler for beskyttelse av barns privatsfære. Barn har krav på spesiell beskyttelse når det gjelder persondata. De vil være mindre i stand til se farene, forstå konsekvensene og beskytte seg mot misbruk. EUs personvernforordning (GDPR) slår fast at denne spesielle beskyttelsen er spesielt viktig er det å beskytte barn der hensikten er markedsføring eller der data brukes til å lage brukerprofiler eller samle persondata i digitale tjenester som barn er direkte brukere av.41 Hovedregelen i dag er at barn over 15 år selv kan gi samtykke til innhenting og bruk av personopplysninger. For barn under 15 år må foresatte samtykke på vegne av barnet. Norge bør utrede muligheter for å bedre beskyttelsen av barns personvern og digitale rettigheter. Et slikt arbeid kan bygge videre på Children´s Online Privacy Protection Act Compliance (COPPA).42 COPPA etablerer tydelige retningslinjer for hvordan virksomheter skal ivareta de digitale rettighetene til barn under 13 år. Reglene som er utarbeidet av California skal begrense innsamling av data om barn, og er ment å kunne brukes av alle bedrifter i USA som behandler data om barn. California har også lovregulert beskyttelsen av privatsfæren til barn over 13 år. 43
- En ny digital infrastruktur for utdanning. Det er naturlig at det er et samarbeid mellom private teknologiselskaper og myndighetene om utviklingen av digitale løsninger for skolesektoren. Digitaliseringsstrategien setter som et nasjonalt mål for digitaliseringspolitikken at kommunale og statlige virksomheter, sammen med leverandørene, bygger sine tjenester med utgangspunkt i et felles digitalt økosystem.44 Samtidig må det være norske myndigheter som setter premissene og bestemmer utviklingen av digitaliseringen i skolen. Det bør lages en digital infrastruktur for skolen som tar utgangspunkt i elevers behov for læring, og elever bør ha tilgang til teknologi som er tilpasset dere alder og modenhet, og som samtidig ivaretar barns rett til personvern og vern mot kommersielt press. Den danske teknologikommisjonen anbefaler å frigøre online-undervisning fra tech-giganterne og styrke danske virksomheter som bygger på mål for utdanningen og barns rettigheter – og som ikke bygger på en forretningsmodell som profiterer på barns persondata.45 Dette er en anbefaling vi støtter. Først og fremst vil det innebære å være tydeligere på krav til kvaliteten på de digitale tjenestene, og at disse faktisk gir bedre undervisning i tråd med norske mål og læreplaner. Det er også mulig å hente inspirasjon til å bygge opp alternativer. Tyske data-og personvernaktivister her utviklet en «digital Bildungspakke» som skal peke på alternative digitale infrastrukturer og alternativer til løsningene til de store teknologiselskapene.46
Referanser
Artificial intelligence in education. (u.d.). Hentet fra en.unesco.org:
Barne- og familiedepartementet. (2021). Rett på nett. Oslo: Barne- og familiedepartementet.
Bouvet. (2021, August 16). Bouvet deler. Hentet fra Bouvet.no:
Bøe, H. (2019, Oktober 30). 800 skoler bruker omstridt mobbeundersøkelse. Hentet fra Nrk.no:
Dataethics. (2021, Februar 22). Californian Mid Kids are Better Protected than the Danish... Hentet fra Dataethics.eu:
Datatilsynet. (2020, Desember 11). Bruk av Google Chromebook og G Suite for Education (og andre skytjenester) i grunnskolen. Hentet fra Datatilsynet.no:
Datatilsynet. (2021, Mars 24). Gebyr til Ålesund kommune for bruk av Strava. Hentet fra Datatilsynet:
Datatilsynet. (2021, April 22). Årsrapport 2020. Hentet fra Datatilsynet.no:
Defend digital me. (u.d.). Forside. Hentet fra defenddigitalme.org:
Digital Standard. (u.d.). A framework to evaluate how technologies respect consumers’ interests and needs. Hentet fra thedigitalstandard.org:
(2021). Education Technology Market Size, Share & Trends Analysis Report By Sector (Preschool, K-12, Higher Education), By End User (Business, Consumer), By Type (Hardware, Software), By Region, And Segment Forecasts, 2021 - 2028. Grand View Research.
European Data Protection Board. (2020). Data Protection by Design and by Default. European Data Protection Board.
Google. (u.d.). Hentet fra Educa.ch:
Government of Canada Digital Standards: Promotional posters. (2020, Juni 30). Hentet fra csps-efpc.gc.ca:
Intersoft consulting. (u.d.). Recital 38Special Protection of Children's Personal Data*. Hentet fra gdpr-info.eu:
Klassetrivsel. (u.d.). Om klassetrivsel. Hentet fra Klassetrivsel.no:
Lov om behandling av personopplysninger (personopplysningsloven). (2022, Januar 01). Hentet fra Lovdata.no:
Lov om kontroll med markedsføring og avtalevilkår mv. (markedsføringsloven). (2021, Januar 01). Hentet fra lovdata.no:
Morrison, S. (2020, Februar 21). Google’s education tech has a privacy problem. Hentet fra Vox.com:
Platon. (2018, 09 07). Hentet fra Mennesker i tid:
Principles for digital development. (u.d.). Forside. Hentet fra digitalprinciples.org:
Privacy Company. (2021, Februar 23). Privacy assessment Google Workspace (G Suite) Enterprise : Dutch government consults Dutch Data Protection Authority on high privacy risks. Hentet fra Privacycompany.eu:
Privacy Company. (2021, Februar 23). Privacy assessment Google Workspace (G Suite) Enterprise : Dutch government consults Dutch Data Protection Authority on high privacy risks. Hentet fra privacycompany.eu:
Schifferle, L. W. (2020, April 09). COPPA Guidance for Ed Tech Companies and Schools during the Coronavirus. Hentet fra Federal Trade Commission:
Skywalker, L. (1981). Redistribution of wealth in the Galaxy - an introduction. Tatooine: Welfare Publishing.
Spekter. (2021, August 24). Hentet fra uis.no:
Svendseid, B. S., & Olsen, A. N. (2020, Mai 20). NRK.no. Hentet fra Vigilo-saka: Datatilsynet varslar bot på 3 millionar kroner til Bergen kommune:
TechDK Kommissionen. (u.d.). Uddannelse og tech. TechDK kommissionen.
Termly. (2019, Desember 5). COPPA: Children’s Online Privacy Protection Act Compliance Guide. Hentet fra Termly.io:
Thon, B. E. (2020, Desember 11). Varsel om irettesettelse for feil bruk av Googles løsninger i skolen. Hentet fra Datatilsynet.no:
Tranberg, P. (2020, Desember 13). DPA Slams Norwegian Municipalities In Their Use of Google for Education. Hentet fra Dataethics.eu:
Tranberg, P. (2021, Januar 22). Dataethics.eu. Hentet fra Googlification Of The Elementary School:
Traq AS. (2021). Personvern i digitale. Pålogga.
UN Treaty Body Database. (u.d.). Hentet fra tbinternet.ohchr.org:
Utdanningsdirektoratet. (2017, September 1). Udir.no. Hentet fra Overordnet del – verdier og prinsipper for grunnopplæringen:
Utdanningsdirektoratet. (2020). Utdanningsspeilet 2020. Hentet fra udir.no:
Vader, D. (1977). How to increase your Power. Death Star: Sith Company.
Wawrzyniak, J. (2021, Mars 05). Praxisbericht: Grundrechtewahrende Software in der Schule. Hentet fra digitalcourage.de:
Ålesund kommune. (2020, Desember 22). Ålesund kommune får gebyr av Datatilsynet. Hentet fra alesund.kommune.no:
Fotnoter
GSI tall fra 16 desember
Framtid, fornyelse og digitalisering Digitaliseringsstrategi for grunnopplæringen 2017–2021.
Handlingsplan for digitalisering i grunnopplæringen 2020- 2021, Kunnskapsdepartementet.
En digital offentlig sektor. Digitaliseringsstrategi for offentlig sektor 2019-2025, KMD 2019.
https://www.regjeringen.no/no/dokumenter/rett-pa-nett/id2870086/?ch=1
https://www.grandviewresearch.com/industry-analysis/education-technology-market
«Vigilo-saka: Datatilsynet varslar bot på 3 millionar kroner til Bergen kommune»: https://www.nrk.no/vestland/vigilo-saka_-datatilsynet-varslar-bot-pa-3-millionar-kroner-til-bergen-kommune1.15023978
https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201904_dataprotection_by_design_an d_by_default_v2.0_en.pdf
Verdier og prinsipper for grunnopplæringen: (https://www.udir.no/lk20/overordnet-del-samlet/) og prinsipper om barns rett til utdanning (retten til medvirkning, ikke-diskriminering, hensynet til barnets beste, Barnekonvensjonen).
Personopplysninger er alle opplysninger eller vurderinger som kan knyttes til enkeltpersoner. Barns personopplysninger har i seg selv et særlig vern, ettersom barn kan være mindre bevisste på aktuelle risikoer, konsekvenser og rettighetene de har
En digital offentlig sektor. Digitaliseringsstrategi for offentlig sektor 2019-2025, KMD 2019
Eksempler på evalueringsssystemer: https://klassetrivsel.no/om-klassetrivsel/ https://www.uis.no/nb/spekter https://www.powerschool.com (Ikke i bruk i Norge?)
https://dataethics.eu/googlification-of-the-elementary-school/
https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2020/varsel-om-irettesettelse-for-feil-bruk-avgoogles-losninger-i-skolen/
https://dataethics.eu/dpa-slams-norwegian-municipalities-in-their-use-of-google-for-education/
https://www.datatilsynet.no/personvern-pa-ulike-omrader/skole-barn-unge/bruk-av-google-chromebookog-g-suite-for-education-og-andre-skytjenester-i-grunnskolen/
https://www.vox.com/recode/2020/2/21/21146998/google-new-mexico-children-privacy-schoolchromebook-lawsuit
https://www.educa.ch/de/taetigkeiten/rahmenvertraege/google
https://www.privacycompany.eu/blogpost-en/privacy-assessment-google-workspace-g-suite-enterprisedutch-government-consults-dutch-data-protection-authority-on-high-privacy-risks
https://klassetrivsel.no/om-klassetrivsel/
https://www.uis.no/nb/spekter
https://www.nrk.no/vestfoldogtelemark/datatilsynet-forbyr-kommune-a-bruke-mobbeundersokelse---eleverblir-bedt-om-a-navngi-mobbere-1.14761669
Et eksempel er det canadiske systemer powerschool.com
Lov om behandling av persondata https://lovdata.no/dokument/NL/lov/2018-06-15-38 Lov om markedsføring https://lovdata.no/dokument/NL/lov/2009-01-09-2
General Comment on children’s rights in relation to the digital environment, https://tbinternet.ohchr.org/_la youts/15/treatybodyexternal/Download.aspx?symbolno=CRC/C/GC/25&Lang=en
https://en.unesco.org/artificial-intelligence/education https://unesdoc.unesco.org/ark:/48223/pf0000376709 https://ec.europa.eu/growth/news/europe-fit-digital-age-commission-proposes-new-rules-and-actionsexcellence-and-trust_e
https://www.ks.no/fagomrader/digitalisering/felleslosninger/skolesec/om-skolesec/
https://gsi.udir.no/informasjon/
Eksempler på interkommunale samarbeid i Innlandet: HIKT, SÅTE, FARTT https://www.hedmarkikt.no/hedmark-ikts-historie/ https://www.trysil.kommune.no/organisasjon/enheter/Sider/SÅTE-IKT.aspx https://www.fartt.no/om-fartt-2/
https://www.regjeringen.no/globalassets/upload/kilde/fad/bro/2006/0003/ddd/pdfv/275315-veilder_iktsamarbeid_brosjyre.pdf
https://palogga.no/wp-content/uploads/Oppsummering-av-personvern-i-digitale-laeremidler.pdf
https://www.datatilsynet.no/om-datatilsynet/arsmeldinger/arsrapport-for-2020/spesielt-om-barn-unge-ogutdanning/
https://www.udir.no/tall-og-forskning/finn-forskning/tema/utdanningsspeilet-2020/del-2/digital-undervisningunder-koronastengte-skoler/
https://www.datatilsynet.no/regelverk-og-verktoy/lover-og-regler/avgjorelser-fra-datatilsynet/2021/gebyr-tilalesund-kommune-for-bruk-av-strava/
https://alesund.kommune.no/aktuelt/siste-nytt/alesund-kommune-far-gebyr-av-datatilsynet.11189.aspx
- https://thedigitalstandard.org/
https://www.csps-efpc.gc.ca/tools/jobaids/digital-standards-eng.aspx
https://www.educa.ch/de/taetigkeiten/rahmenvertraege/google
https://www.zh.ch/content/dam/zhweb/bilder-dokumente/themen/politikstaat/datenschutz/publikationen/leitfaeden/leitfaden_g_suite_enterprise_for_education.pdf
https://www.privacycompany.eu/blogpost-en/privacy-assessment-google-workspace-g-suiteenterprise-dutch-government-consults-dutch-data-protection-authority-on-high-privacy-risk
https://gdpr-info.eu/recitals/no-38/
https://termly.io/resources/articles/coppa/
https://dataethics.eu/californian-mid-kids-are-better-protected-than-the-danish/
En digital offentlig sektor. Digitaliseringsstrategi for offentlig sektor 2019-2025, KMD 2019
https://www.djoef.dk/- /media/documents/djoef/t/techdk/techdk_analyse_uddannelse_tech_a4_1120_web.ashx
https://digitalcourage.de/blog/2021/praxisbeispiel-grundrechtewahrende-software-in-der-schule