Personvern i skolen er under press
Passer den offentlige skolen godt nok på barnas personopplysninger?
Snart er det skolestart og igjen tid for å åpne Chromebooken for tusenvis av skolebarn over hele landet.
Om lag 20 prosent av befolkningen er under 18 år. Dagens digitale virkelighet er at persondata samles inn, analyseres, deles, gjenbrukes, selges og kjøpes i et tempo som det er umulig å ha oversikt over – aller minst for barna selv.
Men hvem har ansvaret for hva som skjer med barnas opplysninger i skolen? I utgangspunktet er det den enkelte kommune og skole som er ansvarlig for å vurdere digitale løsninger som tas i bruk. Dette er imidlertid en svært krevende jobb, særlig for små kommuner.
Natalia Kucirkova og Trond Furenes Ingebretsen har mange gode poenger i sin kronikk om behovet for tryggere digitale læremidler i skoler og innebygget personvern. Datatilsynet mener, i likhet med forfatterne, at det er på høy tid med en tydelig strategi og samordning på nasjonalt nivå. Vi løper en stor risiko ved å overlate vurderingene til hver enkelt kommune.
Mange kommuner bruker Googles løsninger i grunnskolen. Foresatte melder stadig inn personvernbekymringer til Datatilsynet. Vi har tidligere sett nærmere på tre kommuner som har tatt i bruk Google Chromebook og Workspace, og det ble avdekket betydelige mangler.
Kommunene fikk en irettesettelse, fordi de ikke hadde god nok oversikt over hvilke data som samles inn, og hva de brukes til. Og informasjonen til foresatte var mangelfull. Etter disse sakene laget vi en veileder med tips og råd til nytte for alle kommuner. Men vi er langt fra i mål. Problemstillingene i disse sakene viser trolig bare toppen av isfjellet.
Vi ser at Helsingør kommune har nedlagt forbud mot bruk av Workspace i skolen. Det danske datatilsynet fant ut at kommunen ikke hadde gjort en grundig nok risikovurdering av hva som ville skje med elevenes personopplysninger ved bruk av løsningen.
Bør kunne gjøres mer samlet
Saken er en betimelig påminnelse om hvor viktig det er å gjøre gode nok vurderinger med tanke på de unges personvern. I dag er det hver enkelt kommune og skoles ansvar å gjennomføre risikovurderinger. Det krever mye ressursbruk. Mye av forarbeidet bør kunne gjøres samlet, og så kan kommunene selv kvalitetssikre og gjøre vurderinger basert på deres situasjon.
Vi er mange som ønsker en sterkere regulering, og i Europa er det bevegelse. Med Digital Service Act innføres et forbud mot å målrette markedsføring til barn basert på profilering av dem. Det kan potensielt påvirke datainnsamlingen i positiv retning. Samtidig er det ikke gitt at dette løser alt. Kanskje virksomhetene fremdeles vil samle inn dataene til andre formål? Eller at dataene lagres til barna fyller 18, og så brukes til markedsføring.
Til sammen bruker skolene mange tusen ulike fagsystemer, digitale læremidler, apper og ulike kommunikasjonsløsninger hver eneste dag. Dette er systemer som samler inn store mengder opplysninger om elevene, og om lærerne. Persondataene blir raskt gjenstand for det enorme annonsemarkedet som flere selskaper baserer sin forretningsmodell på.
Det er et tankekors at det offentlige i så stor grad er med på å sende ut data om barna våre
Det er et tankekors at det offentlige i så stor grad er med på å sende ut data om barna våre til andre aktører og andre land, uten at det er gjort en god nok vurdering av hva som skjer med deres personopplysninger.
Nasjonal strategi
Vi trenger en samlet nasjonal strategi som hever blikket, kartlegger terrenget og aktørbildet, og ansvarliggjør alle de relevante aktørene. Rett før sommeren fikk kunnskapsminister Tonje Brenna (Ap) overlevert en rapport fra en ekspertgruppe om digital læringsanalyse. Rapporten belyser dilemmaer i møtet mellom digitale læremidler og utdanning. Personvern bør komme sterkt inn i bildet i regjeringens videre arbeid med digitale løsninger i skolen.
