Personvernbloggen

Da pandemien først traff, og skoler og samfunnet måtte digitaliseres nærmest over natta, ble kvalitet på undervisning og deltagelse forståelig nok de to viktigste målene i digitaliseringsdugnaden. Nye tjenester for digital undervisning ble tatt i bruk, og lærere samlet seg i Facebookgrupper. Der kunne de stille spørsmål og dele tips om alt fra praktisk undervisning til hvordan man følger opp elever når man ikke i like stor grad kan se dem og følge utviklingen deres. Skoler og lærere burde berømmes for arbeidet og endringsviljen de viste da samfunnet stengte. 

Nå som det verste har lagt seg, er det på tide at vi tar et pust i bakken og tenker på personvernutfordringene knyttet til digitaliseringen. I 2020 flyttet mer enn 800 000 elever i grunnskolen og høyere utdanning seg fra skolepulter og lesesaler og inn i digitale klasserom. Per i dag er det i det store og det hele opp til hver enkelt kommune å vurdere om personvernet ivaretas for den enkelte elev i en digital skolehverdag.

Barn og sårbare grupper har et spesielt vern i personvernforordningen, og det stilles strengere krav til behandling av personopplysninger tilhørende barn og sårbare grupper.

Mange spør seg om for mye av barnas aktiviteter og fritid nå registreres digitalt, selv om hensikten er god. Barn skal også få utfolde seg, uttale seg og oppføre seg fritt uten at det tatoveres inn i deres digitale historie.

Hva er innebygd personvern? 

Innebygd personvern og personvern som standardinnstilling er et krav i personopplysningsloven. Det betyr at nye løsninger og ny teknologi skal ha personvern bygget inn fra starten. Det betyr også at de innebygde tiltakene ivaretar dine og mine rettigheter og friheter på en effektiv måte. Eksempler på dette kan være effektiv ivaretakelse av kommunikasjonsvernet til elevene og at kun nødvendige personopplysninger samles inn.

Ifølge barneloven har barn ned i syvårsalderen rett til selvbestemmelse i saker av personlig karakter. Elektronisk kommunikasjon er også personlig, slik som når eleven bruker chat, sender e-post eller diskuterer med andre elever og lærere. Det er viktig at teknologi som benyttes i skolesammenheng, allerede fra idéstadiet har personvern som et urokkelig produktelement. Men hvordan ser dette ut i et produkt eller en tjeneste?

Når det skal designes og implementeres digitale verktøy i skolen, er det viktig å ha en del tanker i hodet samtidig. Hvilke data lagres? Hvordan fremstår dette for den som bruker produktet? Hvilke tillatelser må gis for at produktet skal fungere optimalt? Hva sier brukervilkårene? Hvem har tilgang på informasjonen? Hvem berøres av produktet utover brukeren?

Personvern i alle ledd

Personvern i praksis er når produkter gir gode svar på disse spørsmålene i alle ledd, og personvern i praksis er noe vi alle må få under huden. Om du lager et produkt for barn, sørg for å ha skreddersydde brukervilkår så de er lettfattelige og oversiktlige. Barns rett til selvbestemmelse kan manifestere seg i en trygg innloggingsfunksjon kun barnet har tilgang på, og man kan sikre seg mot at sensitiv data kommer på avveier ved å kryptere dem, eller ved å sørge for at de kun eksisterer i sanntid, og ikke lagres på servere.

For å belyse dette, har jeg lyst til å trekke fram AV1-roboten  som et eksempel på teknologi som ivaretar personvernet på en ansvarlig måte i digital undervisning.

Innebygd personvern i praksis

Hvert år arrangerer Datatilsynet en konkurranse om innebygd personvern i praksis. I fjor kom No Isolation på andreplass i konkurransen med kommunikasjonsroboten AV1, en løsning som nettopp ivaretar personvernet sett fra barnet og barnets perspektiv i digital undervisning.

I juryens begrunnelse pekte vi i juryen på at No Isolation som leverandør tar stort ansvar for en god løsning selv om ansvaret juridisk sett tilhører de behandlingsansvarlige, som i mange tilfeller er kommuner. No Isolation har skapt en helhetlig løsning, hvor personvern er ivaretatt i nesten alle ledd.  Medgrunnlegger av No Isolation, Matias Doyle, forklarer det slik: “Det er viktig at alle som har en AV1 i klasserommet er helt sikre på hvem som er på andre siden. Det skal aldri være tvil om hvem som er pålogget roboten. Derfor må brukeren skrive inn passord hver gang roboten skal brukes.”

Hva nå?

Det var viktig og bra at vi klarte å omstille oss over natten i mars. Men nå må vi sørge for at denne omstillingen ikke skjer på bekostning av personvernet og rettighetene til barn og unge. Vi har derfor utarbeidet en sjekkliste dere alltid bør gå gjennom før nye digitale hjelpemidler i skolen tas i bruk: 

• Husk at kommunen har ansvar for alle elvenes personopplysninger i den digitale undervisningsplattformen.
• Mengden av innsamlede og prosesserte personopplysninger begrenses til det tillatte og kun det som er absolutt nødvendig (dataminimering). Opplysningene skal slettes når videre lagring ikke er nødvendig for formålet. «Select before you collect».
• Den digitale undervisningsplattformen som skolene benytter må designes slik at elever og foresatte er godt nok informert om hvordan plattformen fungerer og hvordan personopplysningene til eleven behandles.  Bruk gjerne bilder, ikoner og symboler for å gjøre informasjonen tydelig. Animasjon, video og lyd kan også være gode virkemidler.
• Skolene må sørge for at både personopplysningene og den digitale plattformen er sikret godt nok. Sikkerheten skal baseres på risikovurderinger. Bruk gjerne anerkjente sikkerhetsstandarder.
• Kommunen er forpliktet til å benytte systemer, programmer og apper som har innebygd personvern og personvern som standardinnstilling.

Ny konkurranse innebygd personvern

Datatilsynet har utlyst en konkurranse om innebygd personvern i praksis også nå i 2020. Vi inviterer der alle som har en løsning, applikasjon eller et system som er utviklet med prinsippene for innebygd personvern til å melde seg på. Det er også en egen kategori for studenter. Påmeldingsfrist er 1. desember 2020.

Lykke til!