Spesielt om barn, unge og utdanning
Barn og unge i omsorgs- og utdanningsløp blir i omfattende og stadig økende grad registrert og vurdert i digitale løsninger. Personopplysninger registreres og lagres på helsestasjonen, barnehagen og skolen. Gjennom atferdsanalyser, læringsplattformer og -ressurser, PC-er og andre nettilkoblede enheter samles personopplysninger inn av ulike aktører med forskjellige hensikter.
Fra et personvernperspektiv reiser dette problemstillinger knyttet særlig til hvilke muligheter barn og unge har for å skape og opprettholde ulike roller i ulike sammenhenger, muligheten de egentlig har til å starte med blanke ark den dagen de får samtykkekompetanse, og faren for at det i stadig større grad lagres unødvendig overskuddsinformasjon som skulle vært slettet.
I tillegg er det særskilte utfordringer som oppstår når all aktivitet, vurdering og kommunikasjon skal skje gjennom digitale løsninger. Trygg bruk av slike verktøy forutsetter kunnskap på mange nivåer, fra de som utvikler og tilbyr systemer og tjenester, kommuner som skal kjøpe inn systemer og tjenester og sitter med det overordnede ansvaret, til skoler, lærere, elever og foreldre som skal bruke disse løsningene. Vi ser dessverre et økende antall avvik som følger av manglende kunnskap og manglende risikoforståelse knyttet til digitale verktøy.
En annen problemstilling som har aktualisert seg er der hvor store aktører tilbyr gratisapper til bruk i skolen. Problemet er imidlertid gjerne at dette ikke er helt «gratis», men apper som forutsetter at brukeren gir noe tilbake. For barn og unge har dette materialisert seg ved at selskapene vil registrere personopplysninger om brukeren, for så å bruke denne informasjonen senere. Hovedspørsmålet her er om kommunen/skolen skal kunne ta i bruk denne type apper uten at den enkelte elev eller foresatte selv kan bestemme hvorvidt den kommersielle aktøren skal få registrere personopplysninger om eleven. Det handler om at eleven skal ha kontroll på personopplysninger om seg selv.
Kommunen har også plikt til å ha en plan for å forebygge mobbing, og noen ender opp med ferdiglagede undersøkelser som ikke nødvendigvis tilfredsstiller kravene i personvernregelverket. Noen undersøkelser gir inntrykk av at elevene kan svare anonymt, mens de i realiteten kan gjenkjennes på svaret eller ved bakgrunnsinformasjonen som gis. Andre undersøkelser går langt i å oppfordre elevene til å navngi medelever som de mener har en uakseptabel oppførsel. Når informasjonssikkerheten ved gjennomføringen av undersøkelsene i tillegg er utilfredsstillende, og det gis liten eller ingen informasjon til de foresatte, så er dette i sum undersøkelser som i liten grad ivaretar barnas personvern.
Sentrale høringsuttalelser
NOU 2019: 3 «Nye sjanser – bedre læring»
I 2017 satte regjeringen ned et utvalg (Stoltenbergutvalget) som skulle se på forskjellene mellom kjønn i skoleprestasjoner og utdanningsløp, samt foreslå tiltak for å motvirke slike forskjeller. I utredningen «Nye sjanser – bedre læring» er det blant annet foreslått å opprette et nasjonalt register for personentydige forløpsdata for barnehagen og grunnopplæringen.
Datatilsynet var svært tydelig i vårt høringssvar og støttet ikke forslaget. Vi mente at utvalget gjennom rapporten demonstrerte en mangelfull kompetanse hva gjelder personvern. I den grad personvern var nevnt, var det ensidig knyttet til informasjonssikkerhet og risiko for at personopplysninger kunne komme på avveger. I uttalelsen la vi blant annet frem hvilke vurderingstema et forslag om et slikt register må inneholde for å sikre en balansert avveining mellom flere hensyn. Vi mente at registeret hverken var nødvendig eller proporsjonalt. Videre ga vi heller ikke støtte til forslaget om å standardisere kartlegginger av alle fire- og seksåringers ferdigheter.
Innføring av regler om psykososialt barnehagemiljø
Kunnskapsdepartementet la fram et forslag om å innføre reglene som er innført i skolen for å forebygge mobbing, også i barnehagene. Datatilsynet påpekte at alle parter i en mobbesak har krav på at deres rettssikkerhet blir ivaretatt, også den som regnes som mobber. Vi mente at hensynet til denne partens personvern i for liten grad ble omhandlet i høringen. Vi understreket også at det er viktig å skille forebygging av mobbing fra håndtering av enkeltsaker, og at det er problematisk å bruke samme verktøy (Spekter) for begge disse prosessene. Vi trakk også frem viktigheten av felles retningslinjer for håndtering av dokumentasjon i denne typen saker.
Saksbehandling
Vi har gjennom avviksmeldingene som har kommet inn sett at det er en rekke hendelser som berører barn og unge i skolen. Vi har blant annet sett flere tilfeller knyttet til mangelfull tilgangsstyring til informasjonssystem med opplysninger om elever, blant annet i læringsplattformer og skoleadministrative system, men også manglende tofaktorautentisering, menneskelig svikt og manglende rutiner går igjen. En særskilt problemstilling vi ser er at opplysninger som er overført fra Folkeregisteret til de digitale skoleløsningene ikke gjenspeiler reelle ansvars- og omsorgsforhold, og det er flere innmeldte avvik som viser at beskyttelsesverdige adresser (kode 6 og 7) blir avslørt. I noen tilfeller ser vi at avvikene kunne vært unngått dersom løsningene hadde blitt tilstrekkelig testet ut på forhånd. Datatilsynet har per januar 2020 flere alvorlige avvikssaker som berører barn og unge under behandling.
I 2019 ble det gitt overtredelsesgebyr i to saker som berørte barn og unges personopplysninger:
Bergen kommune
I den første saken fikk Bergen kommune et overtredelsesgebyr på 1,6 millioner kroner. Grunnen var at personopplysningssikkerheten i datasystemene som ble brukt i grunnskolen i kommunen, var mangelfull. Datafiler med brukernavn og passord til over 35 000 brukere – i hovedsak barn – hadde ligget tilgjengelige for elever og ansatte i grunnskolen. Det var dermed mulig å logge seg inn på skolens ulike informasjonssystemer som elev, ansatt eller administrator på skolen, og slik få tilgang til personopplysninger om andre elever og ansatte.
Oslo kommune
Oslo kommune fikk et overtredelsesgebyr på 1,2 millioner kroner for å ha brutt reglene om personopplysningssikkerheten i forbindelse med behandling av personopplysninger i mobilapplikasjonen «Skolemelding». I denne appen kan foresatte og elever sende meldinger til ansatte i skolen. På grunn av manglende sikkerhetstiltak kunne uvedkommende logge seg inn som autoriserte brukere, og dermed få tilgang til personopplysninger om andre elever, foresatte og ansatte gjennom appen.
Øvrige aktiviteter
Rundebordskonferanse om personvern i skolen
Datatilsynet sto i mars som arrangør av en rundebordskonferanse der informasjonssikkerhet og personvern i skolen var tema. Bakgrunnen for konferansen var vår erfaring gjennom tilsyn og innkomne avviksmeldinger, og en generell bekymring knyttet til barns personvern.
I konferansen kom det fram mange utfordringer og det ble pekt på flere muligheter for å gjøre skolens etterlevelse av kravene i personvernlovgivningen enklere. På møtet ble særlig tre problemstillinger fremhevet:
- Gratis programvare er et nyttig og verdifullt supplement i norsk skole, men gratis programvare har også ulike utfordringer knyttet til informasjonssikkerhet og personvern. Hvordan skal man høyne bevisstheten om disse utfordringene før gratis programvare tas i bruk?
- Hvordan kan man forbedre bestillerkompetansen på nye digitale løsninger? Hva kan ulike aktører gjøre for å bidra til å heve denne kompetansen?
- Hvordan skal man jobbe frem en god kultur for informasjonssikkerhet i skolen?
Representanter fra kommunene trakk frem at det brukes mye ressurser på å gjennomgå og å utarbeide gode databehandleravtaler, vurdere løsninger, gjennomføre risikovurderinger, gi riktig opplæring til lærere og så videre. De har behov for hjelp i dette arbeidet og etterlyser tilgang til gode maler, gode eksempler og «oppslagsverk». Det ble også tydelig at IKT-sikkerhet i skolen er et nedprioritert område. Det er viktig å jobbe med dette feltet på en måte som gjør at skoleeiere, skoleledere og lærere opplever at det er relevant og viktig. Det er viktig at sentrale myndigheter bidrar til at dette området blir opprioritert.
Konferansen vil bli fulgt opp med et nytt rundebord i 2020.
Du Bestemmer
Vi har i meldingsåret fortsatt vårt formelle samarbeid med Utdanningsdirektoratet om å heve barn og unges kompetanse om personvern, nettvett og digital dømmekraft. Nettressursen dubestemmer.no er her en viktig kanal for å nå frem til elevene med informasjon om personvern og rettigheter.
Prosjektet innebærer løpende arbeid med nettsidene, foredragsvirksomhet og mediearbeid. I løpet av 2018 ble det satt i gang et større kartleggingsarbeid for å lage et godt kunnskapsgrunnlag for videre utvikling av tjenesten. Dette arbeidet ble avsluttet våren 2019 og har gitt et godt grunnlag for videre arbeid med tjenesten. Høsten 2019 ble så arbeidet med å lage en plan for de nye nettsidene satt i gang. Dette innebærer blant annet å få på plass tydeligere målgrupper, ny interaksjonsdesign og designprofil.
I løpet av året ble det dessuten produsert en ny film i samarbeid med Sølvsuper. Filmen handler om konsekvensene av å ikke ha god nok digital kompetanse, i dette tilfellet hvordan kjenne igjen og håndtere scam-mailer og utpressing. Filmen vil lanseres på et frokostseminar på Safer Internet Day 2020 i Tromsø i samarbeid med Utdanningsdirektoratet og NorSIS. Temaet for arrangementet vil være hvordan vi kan heve hånderingskompetansen blant ungdom og voksne.