Logo og hjelpeverktøy

Hovedmeny

Funn fra tilsyn med personvernet i skolen

Datatilsynet har gjennomført tilsyn med kommuners ivaretakelse av elevenes personvern i digitale læringsverktøy i skolen. – Vi ser at hundrevis av digitale læringsverktøy ikke blir vurdert godt nok, sier direktør Line Coll.   

Illustrasjon av elever i et digitalt klasserom
Illustrasjon av elever i et digitalt klasserom

Denne våren gjennomførte vi brevtilsyn med 50 kommuner der tema var hvordan de ivaretar personvern ved bruk av digitale læringsverktøy i opplæringen. Det overordene formålet med tilsynsarbeidet er å forbedre personvernet i skolen gjennom å lage relevant og praktisk veiledning for kommunene

Nå er samlerapporten klar. Blant hovedfunnene er at flere digitale læringsverktøy ikke vurderes av kommunene sentralt, men besluttes av rektor eller den enkelte lærer.

- Flere kommuner uttrykker et stort ønske om en sterkere koordinering og en nasjonal støttetjeneste for vurdering av personvernet i digitale læringsverktøy. Dette har vi tatt til orde for i mange år, sier Line Coll.

I tilsynsarbeidet vårt har vi lagt til grunn en forståelse av at digitale læringsverktøy omfatter både læringsressurser og læringsplattformer som brukes til undervisningsformål. Dette omfatter både betalte og gratisverktøy (f.eks. Google søk, digitale lærerbøker fra forlag, Strava, Campus Matte, youtube m.m.), applikasjoner som er installert lokalt i datasystemene (f.eks i iPader) og bruk av webapplikasjoner.

- Gratistjenester innebærer ofte en høy personvernrisiko ved at elevene eksponeres for reklame og selskapet samler inn personopplysninger til kommersielle formål. Barns personvern er under press, sier Coll.

Tilsyn og rapport

Tilsynsarbeidet bestod av to faser. I den første fasen gjennomførte vi en brevkontroll hvor kommunene ble bedt om å svare på spørsmål om etterlevelse av konkrete plikter etter personvernregelverket. I den andre fasen ble det gjennomført stedlige tilsyn med fire kommuner der formålet var å kontrollere etterlevelse av kommunens plikter i praksis. I samlerapporten (se lenger ned i artikkelen) oppsummerer vi funnene fra brevkontrollen og gir konkret og praktisk veiledning om kravene i personvernregelverket.

Noen hovedfunn fra brevkontrollene:

  • Flere digitale læringsverktøy vurderes ikke av kommunen sentralt, men besluttes av rektor eller den enkelte lærer.
  • Mange kommuner legger til grunn en for snever forståelse av hva en personopplysning er. Konsekvensen er at hundrevis av digitale læringsverktøy ikke blir vurdert og omfattes ikke av kommunens samlede oversikt over behandlingsaktiviteter.
  • Mange kommuner har ikke egnede rutiner for å ivareta personvernet ved bruk av digitale læringsverktøy. Vi ser at gjennomføringen av disse forpliktelsene derfor ofte er vilkårlig og personavhengig.
  • At et digitalt læringsverktøy har Feide-innlogging blir av mange kommuner oppfattet som at personvernet er ivaretatt. Kommunene er imidlertid selvstendig ansvarlig for å gjøre nødvendige vurderinger av personvernet.
  • Mange kommuner har delegert teknisk ansvar til roller uten tilstrekkelig IKT-kompetanse, eksempelvis til lærere og rektorer.
  • Kommuner som er en del av et interkommunalt IKT-samarbeid har i større grad skriftlige rutiner og kvalifiserte personer som utfører oppgaver av teknisk karakter. 
  • Det er lite bevissthet om problemstillingen knyttet til behandling av personopplysninger for leverandørenes egne formål. Et flertall av kommunene har derfor heller ikke iverksatt tilstrekkelige tiltak for å unngå dette.
  • Det uttrykkes et stort ønske fra kommunene om at det etableres en sentralisert støttetjeneste for vurdering av personvernet i digitale læringsverktøy.

Anbefalte tiltak og veien videre

  • 28 kommuner ga uttrykk for et stort ønske om at det etableres en sentralisert støttetjeneste for vurdering av personvernet i digitale læringsverktøy. Videre var det over 20 kommuner som skrev at de etterlyser veiledning, retningslinjer, praktiske eksempler og maler for å styrke deres eget vurderingsarbeid i kommunen.
  • Det overordene formålet med tilsynsarbeidet har vært å forbedre personvernet i skolen gjennom å lage relevant og praktisk veiledning for kommunene knyttet til arbeidet med personvern i skolen. Datatilsynet anbefaler sterkt at arbeidet med personvern i skolen samordnes og effektiviseres på nasjonalt plan i fremtiden. Vi mener det ikke er hensiktsmessig at hver kommune skal gjennomføre de samme vurderingene for hvert enkelt læringsverktøy som tas i bruk. Blant anbefalingene fra Personvernkommisjonen i 2022 var en mer helhetlig politikk for sektoren og opprettelse av en nasjonal tjenestekatalog over godkjente, personvernvennlige læringsverktøy (regjeringen.no).

Last ned

Funn fra skoletilsynet: Samlerapport fra Datatilsynets brevkontroll med skolesektoren (pdf).

Se direkte eller i opptak: rapportlansering med funn fra skoletilsynet

Du kan se rapportlanseringen direkte torsdag 15. mai fra kl. 09.00. 

Vi vil også legge ut opptak i etterkant.

Illustrasjonsbilde av digitale skolebarn (Foto: Getty)

Relatert innhold