Flere kommuner har tatt i bruk Google sine løsninger i grunnskolen. Datatilsynet har på bakgrunn av bekymring hos flere foresatte sett nærmere på tre kommuner som har tatt i bruk Google Chromebook og G Suite for Education. Det ble avdekket betydelige mangler og kommunene har nå fått varsel om irettesettelse.
– Det ble avdekket betydelige mangler, og flere av dem var felles for de kommunene som ble undersøkt. De har derfor fått varsel om irettesettelse, sier Bjørn Erik Thon, direktør i Datatilsynet.
– De som tar i bruk Google eller andre tjenester må vite hva dette innebærer for elevenes personvern. De må ha oversikt over hvilke data som samles inn, og hva de brukes til. Først da har du full oversikt over hva som står på spill for elevene. Det har kommunen ikke gjort i dette tilfellet.
Det er kommunene Sandnes, Strand og Bergen som har fått varselet på grunn av brudd på sentrale artikler i personvernforordningen. Disse artiklene skal verne elevenes personvern. Vi har påpekt at de ikke ga informasjon om riktig rettslig grunnlag, og anbefaler at de ikke tar i bruk tjenester som innebærer profilering.
Kommunene har heller ikke gitt tilstrekkelig informasjon til elever og foresatte om løsningene de skal ta i bruk.
Et viktig krav i personvernregelverket er at alle løsninger har innebygd personvern.
– Det vil blant annet si at personvernet er bygd inn i teknologien, og og at alle innstillinger som kan påvirke personvernet er stilt inn på det mest personvernvennlige alternativet, forklarer Thon.
Kommunene må også ha oversikt over alle personopplysninger de samler inn om elevene, og hva disse opplysningene brukes til.
– En slik detaljert oversikt er essensiell for at kommunene skal kunne vurdere hvilke opplysninger som er nødvendige å behandle. Det skal også verne mot at opplysningene brukes til nye formål, sier Thon.
All behandling av personopplysninger forutsetter at det gjennomføres risikovurderinger før tjenestene tas i bruk. Det var ikke gjort godt nok i disse sakene. Kommuner som tar i bruk skytjenester i grunnskolen må sette seg inn i de særlige utfordringene som gjelder for bruk av slike, og ha et realistisk forhold til risikoene bruk av skytjenester kan medføre.
Kommunene må også vurdere personvernkonsekvenser når de skal behandle barns personopplysninger gjennom nye teknologier og løsninger.
– Vurderingen skal gjøres på bakgrunn av elevenes og brukernes interesse, ikke kommunens, understreker Thon. – Hensikten med en slik vurdering er blant annet at kommunene skal kunne identifisere risikoer for elevenes personvern som de ikke ville identifisert gjennom en alminnelig risikovurdering.
For å hjelpe kommuner som benytter eller ønsker å benytte Google Chromebook og G Suite for Education (eller andre skytjenester), har Datatilsynet nå laget en utfyllende veiledning på bakgrunn av funnene.
– Temaene vi har valgt å inkludere i veiledningen er basert på de feilene vi fant i de tre sakene vi har behandlet, forteller Thon.
I veiledningen går vi kort gjennom hva «Google-pakken» inneholder og Datatilsynets forståelse av hvordan kommunene benytter den. Deretter tar vi for oss de ulike kravene i regelverket hvor vi har funnet avvik hos kommunene.
– Store deler av denne veiledningen vil også være overførbar til andre skytjenester, sier Thon, som håper den vil være et godt støtteverktøy for kommunene.
Les veiledningen vår om Google Chromebook og G Suite for Education
Varsel om irettesettelse til Sandnes kommune (pdf)