Hva betyr den danske Chromebook-saken for Norge?
Datatilsynet har i lengre tid etterlyst sterkere sentral styring av personvernarbeidet i norsk skole. En avgjørelse fra Datatilsynet i Danmark gir oss enda en mulighet til å løfte opp temaet på den politiske dagsordenen.
Den 30. januar kom det danske datatilsynet med en oppsiktsvekkende avgjørelse om bruk av Google Chromebook og Workspace for education i skolen. Avgjørelsen konkluderer med at behandlingen av personopplysninger i enkelte deler av tjenestene er ulovlig, da det ikke finnes et rettslig grunnlag i personvernforordningen og nasjonal rett.
53 danske kommuner fikk derfor et påbud om å sørge for at alle personopplysningene som behandles i Google-tjenestene har et tilstrekkelig rettslig grunnlag.
Vedtaket tydeliggjør rammene for hva som er en lovlig bruk av personopplysninger i skolen, etter det danske lovverket. Avgjørelsen drøfter imidlertid problemstillinger som også har relevans for norske kommuners bruk av digitale læringsverktøy i skoleopplæringen. Vi mener at vurderingene av lovlighet, rettslig grunnlag og formålsbegrensning er gode. Dette kan vi bygge videre på i vårt arbeid i Norge. Som avgjørelsen understreker, etterlyser også vi i Norge en sterkere sentral styring av personvernarbeidet i skolesektoren. Viktige spørsmål om hvor omfattende innsamling av personopplysninger vi skal tillate i skolen, og til hvilke formål personopplysningene kan brukes til, må opp på den politiske agendaen.
Digital omvelting i skolen
I Norge har det, som i Danmark, skjedd en digital omvelting av skoleundervisningen. På under ti år har nesten alle norske elever fått hver sin digitale enhet, og vi erfarer at stadig flere skoler velger å ta i bruk skyløsninger. Det er opp til hver enkelt kommune å sørge for at personvernregelverket blir ivaretatt ved innføring og bruk av digitale læreverktøy. Dette forutsetter blant annet at kommunen har kontroll på ansvarsforholdene mellom kommune og leverandør, hvilke personopplysninger som behandles i tjenestene, og at uvedkommende ikke får tilgang til personopplysningene. Dette er en krevende jobb. Kommunene blir ofte presentert for omfattende avtalevilkår, som forutsetter inngående kompetanse innenfor informasjonssikkerhet og personvern. I tillegg, er det vanskelig for hver enkelt kommune å stille krav til store markedsaktører som Google, Microsoft eller Apple. Vi mener at etableringen av en helhetlig og offensiv statlig personvernpolitikk i skolesektoren, som anbefalt i Personvernkommisjonens rapport, vil løse noen av disse utfordringene.
Bakgrunn for den danske Chromebook-saken
Allerede i 2022 nedla det danske datatilsynet et forbud mot bruk av Googles skoleverktøy i Helsingør kommune. Tilsynet mente at personvernregelverket ikke var fulgt på en rekke punkter, deriblant manglende risikovurderinger, utilstrekkelig dokumentasjon av dataflyten i tjenesten, og overføring av personopplysninger til tredjeland, uten et tilstrekkelig overføringsgrunnlag.
Disse vurderingene ble fulgt opp i et større tilsyn, som resulterte i et pålegg til 53 danske kommuner i januar.
Hva handler den danske Chromebook-avgjørelsen om?
Det danske datatilsynet gjennomførte en omfattende kartlegging av ansvarsfordelingen mellom Google og kommunene, og formålene personopplysningene behandles for i tjenestene.
Avgjørelsen konkluderer med at kommunene ikke har tilstrekkelig klar lovhjemmel i folkeskoleloven (tilsvarende norsk opplæringslov) for behandling av elevdata til Googles «egne formål». Dette henviser til Googles bruk av elevenes metadata til vedlikehold og forbedring av Googles generelle tjenester, utvikling av nye funksjoner i tjenestene og måling av yteevne. Avgjørelsen understreker at en slik behandling er et pågående lovbrudd, frem til det skjer en lovendring, eventuelt at Google stopper en slik behandling.
Hva skjer i Norge nå?
Vi har fulgt arbeidet til det danske datatilsynet tett, og mener at flere av vurderingene har overføringsverdi til Norge. Vi anser dette som en viktig avgjørelse, både fordi barn er gitt et særlig vern etter forordningen, og som følge av den omfattende innsamlingen av personopplysninger som skjer i skolen i dag. Det gjenstår likevel å vurdere om bruk av opplæringslova som hjemmelsgrunnlag kan føre til det samme resultatet som i Danmark.
Allerede i 2020 ga vi irettesettelser til tre kommuner for bruk av Google Chromebook. Begrunnelsen var at kommunene ikke hadde tilstrekkelig behandlingsprotokoll, foresatte hadde ikke fått god nok informasjon, og det var heller ikke gjennomført tilstrekkelige risikovurderinger. Et behov for mer veiledning til kommunene førte til opprettelsen av informasjonssiden «Bruk av Google Chromebook og G Suite for Education (og andre skytjenester) i grunnskolen» på Datatilsynets nettsider. Denne har til hensikt å bistå kommunene i etterlevelse av kravene til rettslig grunnlag, informasjon, behandlingsprotokoll og vurdering av personvernkonsekvenser (DPIA).
Etterlyser sterkere sentral styring
EUs forordning om digitale tjenester, Digital Service Act (DSA), er nå til vurdering i EØS/EFTA-landene, før den skal implementeres i norsk rett. DSA sikter mot mer åpne, gjennomsiktige og pålitelige digitale plattformer. Nasjonale tilsynsmyndigheter skal etter DSA ha krav på større innsyn i hvordan selskapene bak de internettbaserte plattformene opererer og hvordan de behandler data. Reguleringen vil også inneholde et forbud mot atferdsbasert markedsføring rettet mot barn. Dette mener vi er et skritt i riktig retning.
Det pågår dessuten et viktig samarbeidsprosjekt mellom regjeringen og KS i etablering av en nasjonal støttetjeneste for personvern og universell utforming. Dette skal være et verktøy som skal bistå barnehage- og skoleeiere i vurderingen av digitale læremidler. KS og Bergen kommune har også satt i gang et prosjekt for å gjennomføre og teste ut en nasjonal vurdering av personvernkonsekvenser (DPIA) for Googles tjenester i skolen. Disse verktøyene skal gjøre det lettere for kommunene å anskaffe digitale læremidler som oppfyller personvernregelverket.
Disse initiativene bidrar til en sterkere sentral styring av personvernarbeidet i skolen, som vil komme både kommunene og elevene til gode. Datatilsynet etterlyser samtidig en bred politisk debatt om personvernet i dagens skole. Det er til syvende og sist vi, som samfunn, som bestemmer hvilket omfang, og til hvilke formål, personopplysningene behandles.
Interessert i skole og personvern?
Kolleger har tidligere blogget om dette temaet, se for eksempel:
- En reklamefri skole uten sporing skulle vel bare mangle? (Line Coll, direktør i Datatilsynet)
- Nå er det tid for personvern i skolen (Line Coll, direktør i Datatilsynet)
- Personvern i skolen er under press (Janne Stang Dahl, kommunikasjonsdirektør i Datatilsynet)
Dronenæringen vokser. Hvem tar ansvar for personvernet?
Tidligere denne uka deltok jeg på vegne av Datatilsynet på Unmanned Nordic Conference 2016 (UNC). UNC er den årlige, nordiske dronekonferansen til UAS Norway. Konferansen samler deltakere fra ulike deler av dronenæringen både utviklere, produsenter og statlige...
Digitalisering + personvern = sant
Denne uken deltok vi på Norsk konferanse for IKT i offentlig sektor (NOKIOS) i Trondheim. Det har vært inspirerende og morsomt. I tre dager har snakket med aktører, leverandører og tjenestetilbydere i offentlig sektor om personvern og digitalisering. Kort oppsummert...
Din gamle mobil er en kilde til ID-tyveri
Har du en gammel mobil i skuffen? Jeg også. En mobiltelefon (eller annet elektronisk utstyr) inneholder mange metaller som er sjeldne og som kan gjenbrukes. Derfor er det viktig å levere inn gammel elektronikk til gjenvinning. Mye elektronikk inneholder imidlertid...
Kunstig intelligens, kryptering og annet gøy fra den internasjonale personvernkonferansen i Marokko
Den viktigste personvernarrangementet for datatilsyn finner sted i Marokko denne uka. Rundt 150 delegater fra tilsyn fra hele verden deltar og diskuterer hvordan vi kan samarbeide for å sikre best mulig personvern på tvers av grenser. Kunstig intelligens og roboter...
Hjemmetester gir forbrukeren for dårlig informasjon om personvern
Markedet for utstyr der du selv kan gjøre målinger av egen helse er i vekst og hjemmetester kan gi verdifull informasjon fra pasient til helsetjenesten. Denne typen teknologi får derfor for tiden stor oppmerksomhet. I vår test fikk fem av seks produkter stryk for...
Hvor mye vet de om oss?
Tenk deg at du befinner deg på et kjøpesenter. Kjøpesenteret vet godt hvilke butikker du pleier å gå i og når du liker å handle. Når du går inn i sportsbutikken, vet butikken allerede at du så på treningstøy i en annen filial forrige torsdag. Når du går forbi et...
Godt skolemiljø for alle – ikke stopp krenkelser med nye krenkelser
Kunnskapsdepartementet har fått inn hele 106 høringsuttalelser til sitt lovforslag om hvordan sikre at elever har det bra på skolen. Da er det urovekkende at så få har tatt opp utfordringene ved hvordan man skal oppnå et godt skolemiljø for alle. Også den som mobber....
Pokemon GO – «Hvor er du – her er jeg…….»
Sommerens store farsott Pokemon GO har fått mange ungdommer ut, noe mange anser som positivt. Det er klart det er positivt at spillere heller er ute på farten istedenfor å sitte inne på varme sommerdager. Det har i seg selv ikke noe særlig med personvern å gjøre, men...
Genetiske tester: morsom info om neandertaleren i deg, eller en måte for andre å bruke dine genetiske opplysninger?
Skrevet av Veronica Jarnskjold Buer, teknolog innen informasjonssikkerhet og Christine Dalebø Gjerdevik, juridisk rådgiver Vi lever i dag i et informasjonssamfunn hvor vi i større og større grad ønsker kontroll på, og informasjon om, egen helse. Vi registrerer trening...
Nye regler kommer – er dere klare?
Forberedelsene starter nå I 2018 får Norge nye personvernregler. Da vil EUs forordning for personvern erstatte dagens personopplysningslov. De nye reglene gir flere og strengere plikter enn før, og brudd på pliktene kan få store økonomiske konsekvenser. Alle...