Torsdag 4. februar arrangerte Datatilsynet sin tredje rundbordskonferanse om personvern i skolen. Tema var som tidligere sentrale aktørers strategiske arbeid for å ivareta personopplysningssikkerheten til elever i grunn- og videregående skole i Norge, og det er grunn til en viss optimisme.
Det har vært en krevende tid for alle under pandemien, og elever har måtte tilbringe mange timer med hjemmeundervisning via skjerm. Kommunene, skolene, rektorer, lærere og elever har vist omstillingsevne og kreativitet i denne perioden.
Samtidig opplever Datatilsynet en økning i henvendelser fra bekymrede foreldre, elever og det sivile samfunn med spørsmål om hvem som har ansvaret for elevenes personvern og hvilke rettigheter man har etter personvernregelverket. Det er også fremdeles alvorlige saker knyttet til informasjonssikkerheten i denne sektoren. Det er derfor viktig å fortsatt ha fokus på dette området og sørge for at sentrale aktører snakker sammen så alle kan dra i samme retning.
Konferansen ble åpnet av statsråd Guri Melby i Kunnskapsdepartementet. Hun presiserte at kommunene har vist en formidabel innsats under pandemien. Det har likevel vært utfordrende for kommunene å ha oversikt over personvernrisikoer knyttet til anskaffelsen av digitale verktøy, og tiden er inne for å styrke personvernet og informasjonssikkerheten i skolen.
Bruk av elevdata reiser både etiske, moralske og juridiske dilemmaer og problemstillinger. Kunnskapsdepartementet vil derfor opprette en ekspertgruppe som skal utrede dette nærmere, og komme med en strategi for hvordan slik data skal behandles.
Direktør i Utdanningsdirektoratet, Hege Nilssen, fortalte at de blant annet vil arbeide med å gi bedre informasjon om personvern i skolesektoren. Direktoratet kommer til å ha en sterkere rolle i arbeidet med personvern og informasjonssikkerhet i året som kommer. De vil blant annet se nærmere på personvernkonsekvenser ved spesialundervisning, samt hvilken betydning personvernet får i arbeidet med å sørge for et trygt og godt skolemiljø for elevene.
Selv om det er kommunene og den enkelte skoleeier som har ansvaret for å sikre elevenes personvern, trenger de hjelp og støtte i dette arbeidet. Paul Chaffey, statssekretær i Kommunal- og moderniseringsdepartementet fortalte om det pågående samarbeidet med Kommunesektorens organisasjon (KS) for å utvikle felles arenaer hvor kommunene kan reise spørsmål om personvern og finne gode løsninger sammen. Det må jobbes for en felles digitaliseringsstrategi, felles samstyringsmodeller og for å ha et godt samarbeid med de private leverandørene.
Statssekretæren viste også til det viktige mandatet til Personvernkommisjonen:
Kommisjonen skal kartlegge hvordan barn og unges personvern ivaretas i Norge, herunder ivaretakelse av barns personvern i barnehage- og skolesektorene og skolenes bruk av "gratis" applikasjoner der det betales med barnas personopplysninger. Kommisjonen må i arbeidet se hen til oppfølgingen av NOU 2019: 23 Ny opplæringslov.
Nesteleder i Kommunenes organisasjon (KS) Gunn Marit Helgesen var også klar i sin tale:
– Norge trenger større nasjonalt og regionalt samarbeid om personvern og informasjonssikkerhet i skolen med målrettet fokus på kompetanseutveksling, understreket hun og viste til at mange kommuner vegrer seg for å adressere personvernproblematikk i skolen, fordi de ikke klarer å løse disse på egen hånd. – Selv om kommunene er behandlingsansvarlige etter personvernforordningen så følger ikke elevdata kommunegrensene, men flyter over i hverandre. Vi trenger et rammeverk som ser på hele verdikjeden.
Hun dro frem SkoleSec som er et prosjekt hvor de nettopp ser på hvordan kommunene kan forvalte sitt behandlingsansvar. Prosjektet har som mål å utvikle verktøy og maler som kommunene kan bruke i sitt arbeid med personvern. Prosjektet har en aktiv dialog med kommunene om hvilke utfordringer de møter på i arbeidet med personvern, for deretter å utvikle verktøy som de kan bruke i det videre arbeidet.
Administrerende direktør i IKT- Norge, Øyvind Huseby, fremhevet viktigheten av å fortsette arbeidet med å sikre digital tillit. Han sa det er sentralt å se nærmere på leverandørkjeden og sørge for økonomisk støtte fra staten til å utvikle nye undervisningsmetoder.
Han understreket behovet for å skaffe rett kompetanse slik at vi får bærekraftige verdikjeder. Han mente det i dag er et ubalansert forhold mellom offentlig og privat sektor ved at for eksempel programmerere i offentlig sektor får ubegrensede midler fra staten og at private programmerere taper i konkurranseløpet. Det offentlige går for tungt inn på enkelte områder og forstyrrer balansen.
Divisjonsdirektør i Utdanningsetaten i Oslo kommune, Trond Ingebretsen, tok opp behovet for klare og entydige regler for hva skoleeiere og skoler skal gjøre for å sikre elevenes personvern. Det må være et tydelig samspill mellom opplæringsloven og personopplysningsloven slik at kommunene ikke praktiserer reglene forskjellig, og det er viktig å stille like betingelser til leverandører av digitale læremidler slik at personvernet til elevene blir ivaretatt uavhengig av hvilken kommunen de bor i.
– Det går riktig vei i skolesektoren, sier direktør i Datatilsynet Bjørn Erik Thon. – Det er tatt mange gode initiativer, og personvern i skolen tas på mye større alvor nå enn for bare noen år siden. Vi vil derfor innkalle til en ny rundebordskonferanse tidlig på høsten 2021 og ser med forventning fram til både å få en status på det arbeidet som er satt i gang, og til å høre om nye initiativer.
Han understreker også at Datatilsynet vil fortsette å prioritere barn og unges personvern i skolen høyt.
– Det er et bredt lerret å bleke, fra sikker kommunikasjon mellom hjem og skole, til å bygge digital kompetanse om personvern hos dagens unge. Men det er meningsfullt, og vi ser at det nytter, avslutter Thon.