Oppsummering
Gjennom saksbehandlingen vår avdekket vi som nevnt flere mangler hos kommuner som hadde tatt i bruk Google Chromebook og G Suite for Education. I denne veiledningen har vi derfor forsøkt å peke på kommunenes plikter i lys av manglene vi har funnet.
Vi håper dette kan være til hjelp både for kommunene vi har sett nærmere på og for andre kommuner som ønsker å ta i bruk skytjenester i grunnskolen. Veiledningen må som nevnt ses i sammenheng med det som finnes av generell veiledning ellers på nettsiden vår, ettersom forordningen inneholder flere krav som vi ikke dekker her.
Et sammendrag
- Rettslig grunnlag: Når kommuner skal pålegge elevene å bruke maskinvare og systemløsninger regner vi dette som offentlig myndighetsutøvelse. Korrekt rettslig grunnlag finner vi derfor i forordningen artikkel 6 nr. 1 bokstav e. Dette rettslige grunnlaget er imidlertid ikke gyldig for behandling som innebærer profilering av elevene. Vi anbefaler at kommunene ikke tar i bruk tjenester som innebærer profilering. Om slike tjenester likevel tas i bruk må kommunene basere behandlingen på samtykke, se artikkel 6. nr. 1 bokstav a, jf. artikkel 7.
- Databehandler: Kommunene må ha full oversikt over avtalene som tjenestene de benytter omfattes av, uansett hvor omfattende avtaleverket er. Vi anbefaler også at kommunene vurderer å gjennomføre revisjon av databehandleren, gjerne i samarbeid med andre kommuner eller via andre uavhengige tredjeparter.
- Informasjon: Kommunene må gi tilstrekkelig informasjon til elever og foresatte om løsningene de skal ta i bruk. Det holder ikke å kun henvise til databehandleren sin nettside. Det er kommunens ansvar å sammenstille den relevante informasjonen, slik at de registrerte kan ivareta sine rettigheter på en effektiv måte. Kommunene må også gi informasjonen på en hensiktsmessig måte, og gi de registrerte nok tid til å innta informasjonen og eventuelt stille spørsmål. Kommunene må ha så god kjennskap til både avtalene og løsningene at de kan svare på spørsmål fra elevene og de foresatte.
- Innebygd personvern: Kommunene må forsikre seg om at alle løsninger som skal benyttes til behandling av personopplysninger har innebygd personvern. Det vil blant annet si at løsningene er bygget på en måte som gjør at det er mulig å ivareta brukernes personvern, og at alle innstillinger som kan påvirke personvernet er stilt på det mest personvernvennlige alternativet.
- Protokoll over behandlingsaktiviteter: Kommunene må føre protokoll over behandlingsaktivitetene, og den må være så detaljert at hensikten med den kan oppnås. Protokollen skal blant annet bidra til at virksomhetene får oversikt over all deres behandling av personopplysninger. Formålene som oppgis i protokollen må spesifiseres tilstrekkelig, slik at behandlingsansvarlige har en reell mulighet til å vurdere hvilke opplysninger som er nødvendige å behandle, og kan beskytte de registrerte mot formålsutglidning.
- Informasjonssikkerhet: All behandling av personopplysninger forutsetter at det gjennomføres risikovurderinger i forkant av behandlingen. Kommuner som tar i bruk skytjenester i grunnskolen må sette seg inn i de særlige utfordringene som gjelder for bruk av slike, og ha et realistisk forhold til risikoene bruk av skytjenester kan medføre. Tilnærmingen deres for ivaretagelse av informasjonssikkerhet må tilpasses de tjenestene de benytter. Styringssystemet må være utarbeidet slik at kommunene kan sikre at tiltak blir iverksatt og at informasjonssikkerheten vedvarer over tid.
- Vurdering av personvernkonsekvenser: Kommunene må vurdere personvernkonsekvenser når de skal behandle barns personopplysninger i gjennom nye teknologier og løsninger. Vurderingen skal gjøres på bakgrunn av de registrertes interesser, ikke kommunens. Hensikten med en slik vurdering er blant annet at behandlingsansvarlige skal kunne identifisere risikoer for de registrertes personvern som de ikke ville identifisert gjennom en alminnelig risikovurdering. Vurderingen er med på å danne grunnlag for iverksetting av tiltak for ivaretagelse av de registrertes rettigheter og friheter.