Hva betyr den danske Chromebook-saken for Norge?
Datatilsynet har i lengre tid etterlyst sterkere sentral styring av personvernarbeidet i norsk skole. En avgjørelse fra Datatilsynet i Danmark gir oss enda en mulighet til å løfte opp temaet på den politiske dagsordenen.
Den 30. januar kom det danske datatilsynet med en oppsiktsvekkende avgjørelse om bruk av Google Chromebook og Workspace for education i skolen. Avgjørelsen konkluderer med at behandlingen av personopplysninger i enkelte deler av tjenestene er ulovlig, da det ikke finnes et rettslig grunnlag i personvernforordningen og nasjonal rett.
53 danske kommuner fikk derfor et påbud om å sørge for at alle personopplysningene som behandles i Google-tjenestene har et tilstrekkelig rettslig grunnlag.
Vedtaket tydeliggjør rammene for hva som er en lovlig bruk av personopplysninger i skolen, etter det danske lovverket. Avgjørelsen drøfter imidlertid problemstillinger som også har relevans for norske kommuners bruk av digitale læringsverktøy i skoleopplæringen. Vi mener at vurderingene av lovlighet, rettslig grunnlag og formålsbegrensning er gode. Dette kan vi bygge videre på i vårt arbeid i Norge. Som avgjørelsen understreker, etterlyser også vi i Norge en sterkere sentral styring av personvernarbeidet i skolesektoren. Viktige spørsmål om hvor omfattende innsamling av personopplysninger vi skal tillate i skolen, og til hvilke formål personopplysningene kan brukes til, må opp på den politiske agendaen.
Digital omvelting i skolen
I Norge har det, som i Danmark, skjedd en digital omvelting av skoleundervisningen. På under ti år har nesten alle norske elever fått hver sin digitale enhet, og vi erfarer at stadig flere skoler velger å ta i bruk skyløsninger. Det er opp til hver enkelt kommune å sørge for at personvernregelverket blir ivaretatt ved innføring og bruk av digitale læreverktøy. Dette forutsetter blant annet at kommunen har kontroll på ansvarsforholdene mellom kommune og leverandør, hvilke personopplysninger som behandles i tjenestene, og at uvedkommende ikke får tilgang til personopplysningene. Dette er en krevende jobb. Kommunene blir ofte presentert for omfattende avtalevilkår, som forutsetter inngående kompetanse innenfor informasjonssikkerhet og personvern. I tillegg, er det vanskelig for hver enkelt kommune å stille krav til store markedsaktører som Google, Microsoft eller Apple. Vi mener at etableringen av en helhetlig og offensiv statlig personvernpolitikk i skolesektoren, som anbefalt i Personvernkommisjonens rapport, vil løse noen av disse utfordringene.
Bakgrunn for den danske Chromebook-saken
Allerede i 2022 nedla det danske datatilsynet et forbud mot bruk av Googles skoleverktøy i Helsingør kommune. Tilsynet mente at personvernregelverket ikke var fulgt på en rekke punkter, deriblant manglende risikovurderinger, utilstrekkelig dokumentasjon av dataflyten i tjenesten, og overføring av personopplysninger til tredjeland, uten et tilstrekkelig overføringsgrunnlag.
Disse vurderingene ble fulgt opp i et større tilsyn, som resulterte i et pålegg til 53 danske kommuner i januar.
Hva handler den danske Chromebook-avgjørelsen om?
Det danske datatilsynet gjennomførte en omfattende kartlegging av ansvarsfordelingen mellom Google og kommunene, og formålene personopplysningene behandles for i tjenestene.
Avgjørelsen konkluderer med at kommunene ikke har tilstrekkelig klar lovhjemmel i folkeskoleloven (tilsvarende norsk opplæringslov) for behandling av elevdata til Googles «egne formål». Dette henviser til Googles bruk av elevenes metadata til vedlikehold og forbedring av Googles generelle tjenester, utvikling av nye funksjoner i tjenestene og måling av yteevne. Avgjørelsen understreker at en slik behandling er et pågående lovbrudd, frem til det skjer en lovendring, eventuelt at Google stopper en slik behandling.
Hva skjer i Norge nå?
Vi har fulgt arbeidet til det danske datatilsynet tett, og mener at flere av vurderingene har overføringsverdi til Norge. Vi anser dette som en viktig avgjørelse, både fordi barn er gitt et særlig vern etter forordningen, og som følge av den omfattende innsamlingen av personopplysninger som skjer i skolen i dag. Det gjenstår likevel å vurdere om bruk av opplæringslova som hjemmelsgrunnlag kan føre til det samme resultatet som i Danmark.
Allerede i 2020 ga vi irettesettelser til tre kommuner for bruk av Google Chromebook. Begrunnelsen var at kommunene ikke hadde tilstrekkelig behandlingsprotokoll, foresatte hadde ikke fått god nok informasjon, og det var heller ikke gjennomført tilstrekkelige risikovurderinger. Et behov for mer veiledning til kommunene førte til opprettelsen av informasjonssiden «Bruk av Google Chromebook og G Suite for Education (og andre skytjenester) i grunnskolen» på Datatilsynets nettsider. Denne har til hensikt å bistå kommunene i etterlevelse av kravene til rettslig grunnlag, informasjon, behandlingsprotokoll og vurdering av personvernkonsekvenser (DPIA).
Etterlyser sterkere sentral styring
EUs forordning om digitale tjenester, Digital Service Act (DSA), er nå til vurdering i EØS/EFTA-landene, før den skal implementeres i norsk rett. DSA sikter mot mer åpne, gjennomsiktige og pålitelige digitale plattformer. Nasjonale tilsynsmyndigheter skal etter DSA ha krav på større innsyn i hvordan selskapene bak de internettbaserte plattformene opererer og hvordan de behandler data. Reguleringen vil også inneholde et forbud mot atferdsbasert markedsføring rettet mot barn. Dette mener vi er et skritt i riktig retning.
Det pågår dessuten et viktig samarbeidsprosjekt mellom regjeringen og KS i etablering av en nasjonal støttetjeneste for personvern og universell utforming. Dette skal være et verktøy som skal bistå barnehage- og skoleeiere i vurderingen av digitale læremidler. KS og Bergen kommune har også satt i gang et prosjekt for å gjennomføre og teste ut en nasjonal vurdering av personvernkonsekvenser (DPIA) for Googles tjenester i skolen. Disse verktøyene skal gjøre det lettere for kommunene å anskaffe digitale læremidler som oppfyller personvernregelverket.
Disse initiativene bidrar til en sterkere sentral styring av personvernarbeidet i skolen, som vil komme både kommunene og elevene til gode. Datatilsynet etterlyser samtidig en bred politisk debatt om personvernet i dagens skole. Det er til syvende og sist vi, som samfunn, som bestemmer hvilket omfang, og til hvilke formål, personopplysningene behandles.
Interessert i skole og personvern?
Kolleger har tidligere blogget om dette temaet, se for eksempel:
- En reklamefri skole uten sporing skulle vel bare mangle? (Line Coll, direktør i Datatilsynet)
- Nå er det tid for personvern i skolen (Line Coll, direktør i Datatilsynet)
- Personvern i skolen er under press (Janne Stang Dahl, kommunikasjonsdirektør i Datatilsynet)
En oppsummering av personvernåret 2015
Dette innlegget er skrevet som en innledning til Datatilsynets årsmelding for 2015 Det mest spennende med å være leder i Datatilsynet er at det alltid dukker opp store saker som gjør at vi må snu opp ned på prioriteringene våre. Noen opplever kanskje dette som...
Tilpasset reklame – irriterende eller faktisk ganske praktisk?
Hvis folk kunne velge, ville de valgt å se reklame som er tilpasset deres adferd og interesser, eller «dum» reklame som viser tilfeldige produkter? Svaret fra undersøkelsen vi gjennomførte overrasket oss. Tilpasset reklame? Nei, takk Det store flertallet i vår...
Ønsker vi økt lagring av opplysninger om barnehagebarn?
Dette innlegg er skrevet sammen med Steffen Handal, som er leder i Utdanningsforbundet. Det har også blitt publisert på www.utdanningsnytt.no Kunnskapsdepartementet har lagt frem et forslag til endring i barnehageloven. Mange aktører, deriblant vi i Datatilsynet og...
Klasse 10B sjekket personvernet i apper på Safer Internet Day
Onsdag 10. februar sjekket klasse 10B ved Fyrstikkalleen skole i Oslo (F21) personvernet i appene de bruker mest. Målet var å gi elevene en forståelse av hva personopplysninger er, og skape en bevissthet om hvordan og hvorfor appene samler inn opplysninger om dem. Det...
Safe Harbor 2.0 er her og heter EU-U.S. Privacy Shield
EU-kommisjonen har kommet til en politisk løsning med USA som en erstatning for Safe Harbor som ble kjent ugyldig av EU-domstolen i oktober i fjor. EUs arbeidsgruppe for personvern, Artikkel 29-gruppen, var samlet i Brussel da enigheten mellom EU og USA var et faktum....
Gratis nettjenester i bytte mot personopplysninger: et bytteforhold vi er komfortabel med?
Personopplysninger mot gratis tilgang til nettjenester: Det kan se ut som et lykkelig bytteforhold. Store deler av internettøkonomien er basert på dette bytteforholdet og folk er blitt vant til å bruke «gratis» tjenester på nett. Men er folk egentlig komfortable med...
Personverndagen 2016: Overvåkingsøkonomien – høydepunkter fra debatten
I går feiret vi den internasjonale personverndagen med et frokostseminar om overvåkingsøkonomien i et stappfullt lokale på Litteraturhuset i Oslo. Tore Tennøe fra Teknologirådet innledet med å vise til påstanden om at «når noe er gratis på nett, så er du ikke kunden,...
Vi stoler ikke på appene våre
Forbrukerrådet har spurt folk om mobilapper og personvern. Kun halvparten av de spurte har tillit til at appene behandler personopplysningene deres på en god måte. Hele seks av ti svarer at de har latt være å laste ned eller ta i bruk apper, fordi appene krever...
Googling av jobbsøkere
Mange arbeidsgivere googler jobbsøkere før ansettelse. «Å google» vil si å søke etter informasjon om kandidaten på Internett ved bruk av en søkemotor. Googling kan gi informasjon om kandidaten som ikke har fremkommet i jobbsøknaden, under intervjuet eller i...
Sterkere lut må til – mener EU
Lut er i hvert fall delt ut. Som direktøren vår har skrevet om, kom endelig teksten til en etterlengtet personvernforordning 15. desember 2015. Det er en del formelle runder som gjenstår før forordningen er helt ferdig, men vi har nå oversikt over hva som kommer til å...