Barn og unges personopplysninger på agendaen

Torsdag 16. januar samlet Datatilsynet nok en gang representanter fra offentlig og privat sektor til et rundebordsmøte. Tema var utfordringer rundt flyten av og sikkerheten rundt barn og unges personopplysninger i barnehage og skole, og var en oppfølging av et tilsvarende møte i mars 2019.

Direktør i Datatilsynet, Bjørn Erik Thon, innledet møtet med å skissere et bilde av situasjonen:

– Vi opplever en stadig økning i saker som handler om barn og unges personopplysninger. Særlig mengden avvikssaker, saker der personopplysningene har kommet på avveier, er økende. Hele 10 prosent av avvikssakene vi får inn gjelder barns personopplysninger, og det spenner fra systemsvikt til menneskelige feil. Dette gir et sterkt signal om at disse utfordringene må tas på alvor, understreket Thon.

Bred enighet om at dette må prioriteres

Tilstede på møtet var blant annet statssekretær Paul Chaffey fra Kommunal- og moderniseringsdepartementet (KMD) og statssekretær fra Julie Midtgarden Remen fra Kunnskapsdepartementet (KD). Begge holdt innlegg der de fremhevet hvor viktig det er å ta disse utfordringene på alvor og at dette er et arbeid som må prioriteres, i alle ledd.

For å få tillit i befolkningen til digitaliseringen av skolen og samfunnet forøvrig, må personvern og informasjonssikkerhet være på plass.

- Paul Chaffey, KMD.

Remen påpekte at regelverket stiller høye krav til kunnskap og kompetanse om personvern i hele skolesektoren, fra leverandører og helt ned på brukernivå. Hun sa videre at spørsmål knyttet til informasjonssikkerhet oppleves som utfordrende for både ansatte og ledere i skoler og barnehager. Kunnskapsdepartementet jobber derfor nå med en handlingsplan for å blant annet ta tak i flyten av data og bestillingskompetanse.

Enighet om utfordringene og bredt ønske om hjelp

Tilstede på møtet var også representanter fra skoler og kommuner. De var unisone i sin beskrivelse av en utfordrende hverdag der det mangler kompetanse i og forståelse for personvern, der personopplysningene ikke forvaltes på en god nok måte, og der det også mangler kapasitet til å ta skikkelig tak i utfordringene. Dette gir også utslag i at det blir svært ulikt fra kommune til kommune hva man kan og ikke kan gjøre, og hvordan personopplysningene behandles.

Det ble understreket at det trengs hjelp og støtte fra sentralt hold til alt fra bestillingskompetanse og godkjenning av systemer og digitale læremidler, til innføring av sikkerhetskultur og opplæring av ansatte. Dette må bli mer ensartet.

Det blir dessuten misbruk av ressurser når hver og en kommune sitter og gjør den samme jobben. Det var derfor et sterkt ønske om tilrettelegging av delingsarenaer – både formelle og uformelle – der kommunene kan få mer hjelp av hverandre i arbeidet.

Hva nå?

I møtet ble det altså gitt et enhetlig bilde av en sektor med store utfordringer knyttet til personvern og informasjonssikkerhet. Datatilsynet har tematikken som en av sine hovedsatsinger i 2020, og vil kalle inn til et nytt rundebordsmøte i løpet av høsten for å fortsette å løfte frem disse problemstillingene.