Årsrapport for 2020

Spesielt om barn, unge og utdanning

Barn og unge i omsorgs- og utdanningsløp blir i omfattende og stadig økende grad registrert og vurdert i digitale løsninger. Personopplysninger registreres og lagres på helsestasjonen, barnehagen og skolen, og det er et stort ønske å bruke og dele opplysningene til mange, ulike formål.

Økt digitalisering og registrering øker også faren for at det behandles overskuddsinformasjon om barn.

Barn er gitt rett til særskilt beskyttelse gjennom personvernregelverket. Det er blant annet begrunnet med at behandlingene av deres opplysninger oftest besluttes av andre enn dem selv. I tillegg anses de ikke å fullt ut kunne vurdere konsekvensene av hva behandlingen av deres personopplysninger medfører i de tilfellene der de selv kan bestemme.

I tillegg er det spesielle utfordringer som oppstår når all aktivitet, vurderinger og kommunikasjon skal skje gjennom digitale løsninger. Trygg bruk av slike verktøy forutsetter kunnskap på mange nivåer, fra de som utvikler og tilbyr systemer og tjenester, kommuner som skal kjøpe inn systemer og tjenester og sitter med det overordnede ansvaret, til skoler, lærere, elever og foreldre som skal bruke disse løsningene. Vi ser dessverre et økende antall avvik som følger av manglende kunnskap og manglende risikoforståelse knyttet til digitale verktøy.

Et eksempel som har aktualisert seg er store dataaktører som tilbyr gratisapper til bruk i skolen. Ofte forutsetter slike løsninger at brukeren gir noe tilbake. For barn og unge har dette materialisert seg ved at selskapene vil registrere personopplysninger om brukeren, for så å bruke denne informasjonen senere. Hovedspørsmålet her er om kommunen/skolen skal kunne ta i bruk denne typen apper uten at den enkelte elev eller foresatte selv kan bestemme om den kommersielle aktøren skal få registrere personopplysninger om eleven.

Kommunen har plikt til å ha en plan for å forebygge mobbing, og det tas i den sammenheng i bruk løsninger som ikke alltid tilfredsstiller kravene i personvernregelverket. Dette gjelder blant annet spørreundersøkelser. Enkelte undersøkelser gir for eksempel inntrykk av at elevene kan svare anonymt, mens barna i realiteten kan gjenkjennes på svaret eller ved bakgrunnsinformasjonen som gis. Andre undersøkelser går langt i å oppfordre elevene til å navngi medelever som de mener har en uakseptabel oppførsel. Når informasjonssikkerheten ved gjennomføringen av disse undersøkelsene i tillegg er utilfredsstillende, og det gis liten eller ingen informasjon til de foresatte, er dette i sum undersøkelser som i liten grad ivaretar barnas personvern.

Datatilsynet har i 2020 videreført arbeidet med å styrke personvernet til barn og unge i offentlig sektor. Vi har sett nærmere på flere saker som berører de utfordringene vi ser innen blant annet skolesektoren og barnevernsektoren. Utfordringsbildet i sakene vi har behandlet er at det fortsatt er liten kompetansen blant ansatte i stat, kommune og fylkeskommune om barns særskilte beskyttelsesvern etter personvernregelverket.

Samtidig mangler fortsatt de sentrale aktørene oversikt over, og kontroll med, prosessering av personopplysninger og særlige kategorier personopplysninger om barn og unge slik personvernforordningen krever.

Koronasituasjonen skapte dessuten nye problemstillinger for skolesektoren når det gjelder personvern. Nedstengningen av landet innebar etablering av en rekke nye løsninger for å kunne gjennomføre hjemmeundervisning. Anskaffelsene og iverksettelsen av nye metoder for å kommunisere og drive undervisning ble gjort på ekstremt kort tid. Dette ga negative utslag som viste seg gjennom mange innmeldte avvik knyttet til selve teknologien, men også manglende kunnskap og opplæring hos de som skulle ta løsningene i bruk.

Sentrale høringsuttalelser

I 2020 har vi prioritert arbeidet med å gi høringsinnspill til lovforslag som påvirker barn og unges personvern. Kunnskapsdepartementet har sendt ut en rekke høringsforslag som gjelder barnehage- og skolesektoren. I Datatilsynets høringsinnspill til ny opplæringslov etterlyste vil blant annet forholdsmessighetsvurderinger av hvilken innvirkning digitale læringsverktøy i undervisningen har for barn og unges personvern.

Kunnskapsdepartementet la også frem forslag til samarbeidshjemler som gir offentlig sektor adgang til å dele personopplysninger, inkludert særlige kategorier personopplysninger, om barn og unge på tvers av sektorene. Datatilsynet ser dette behovet for deling av opplysninger. Samtidig erfarer vi at det er nærmest er umulig å tilbakekalle eller få slettet personopplysninger som er samlet inn ulovlig eller som er feil om barn og unge. Derfor presiserte vi overfor Kunnskapsdepartementet at det må gjennomføres en personvern­konsekvens­vurdering av forslaget om samarbeidshjemler. Barn og unges særskilte beskyttelsesvern i personvernforordningen krever at også lovgiver utviser aktsomhet når det utformes lover og forskrifter som vil påvirke barn og unges rettigheter og friheter.

Saksbehandling og sentrale nemndavgjørelser

Avvik og mangelfulle risikovurderinger

Datatilsynet har hatt et særlig blikk på skolesektoren i 2020. Flere kommuner har hatt betydelige brudd på personopplysningssikkerheten (avvik) ved bruk av digitale verktøy i skolen. En fellesnevner for disse sakene er at det er gjort mangelfulle risikovurderinger i forkant.

Flere av bruddene har vært knyttet til dårlige rutiner ved behandling av beskyttet adresse (kode 6 og 7). Hvis uvedkommende får tilgang til disse adressene kan det i de alvorligste tilfeller stå om liv og helse.

Det ble blant annet gitt et overtredelsesgebyr til Bergen kommune på 3 millioner kroner. I denne saken understreket Datatilsynet at kommunen ikke hadde etablert og kommunisert nødvendige retningslinjer for opplysninger om barn ved etablering av kommunikasjonsmodulen Vigilo.

I en annen sak ble en kommune ilagt et overtredelsesgebyr på 500 000 kroner for ikke å ha risikovurdert applikasjonen Showbie før den ble brukt til å kommunisere helserelaterte personopplysninger mellom skole og hjem. Overtredelsen omfattet elever ved en tilrettelagt avdeling ved skolen. Mangelfull sikkerhet ved innlogging i applikasjonen har blant annet gjort det mulig å få tilgang til andre elever i gruppen.

Google Chromebook

Flere kommuner har tatt i bruk Google sine løsninger i grunnskolen. På bakgrunn av bekymring hos flere foresatte, valgte Datatilsynet å se nærmere på tre kommuner som hadde tatt i bruk Google Chromebook og G Suite for Education. Undersøkelsen avdekket betydelige mangler og resulterte i at det ble reist sterk kritikk overfor disse kommunene.

For å hjelpe kommuner som ønsker å benytte disse eller andre skytjenester, valgte vi å lage utfyllende veiledning på bakgrunn av funnene. I veiledningen går vi kort gjennom hva «Google-pakken» inneholder og Datatilsynets forståelse av hvordan kommunene kan benytter den. Deretter tar veiledningen for seg de ulike kravene i regelverket hvor det ble funnet avvik hos kommunene. Veiledningen er slik tenkt å være et godt støtteverktøy for kommunene.

Spekter-saken

Personvernnemnda omgjorde vedtaket vårt om forbud mot bruk av kartleggingsverktøyet Spekter. Nemnda konkluderte med at den aktuelle kommunen hadde rettslig grunnlag i personvern­forordningen artikkel 6 nr. 1 bokstav c. Den understreket samtidig at kommunen må, for lovlig å kunne benytte Spekter i framtiden, etablere internkontrolldokumentasjon og rutiner som sikrer etterlevelse av personvernforordningen.

Øvrige aktiviteter

Rundebordskonferanse om personvern i skolen

Datatilsynet arrangerte i februar 2020 den andre rundebordskonferansen med tema informasjons­sikkerhet og personvern i skolen. Konferansen fulgte opp konferansen som ble arrangert i 2019, og hovedtema var behovet for samarbeid mellom kommuner, interesseorganisasjoner og myndigheter. Videre ble behovet for sentrale føringer og styring med personvern i skolesektoren diskutert, og dette har i etterkant av konferansen blitt gjentatt i flere relevante sammenhenger.

Det kom frem, i likhet med konferansen i 2019, at personvern og informasjonssikkerhet er kompliserte tema som kommunene bruker mye ressurser på, og at de har behov for bistand fra hverandre og de sentrale myndighetene.

Konferansene blir fulgt opp med en tredje rundebordskonferanse i februar 2021.

Du Bestemmer

Vi har i meldingsåret fortsatt vårt formelle samarbeid med Utdanningsdirektoratet om å heve barn og unges kompetanse om personvern, nettvett og digital dømmekraft. Nettressursen dubestemmer.no er her en viktig kanal for å nå frem til elevene med informasjon om personvern og rettigheter.

I 2018 og 2019 ble det gjort et større grunnlagsarbeid for videre utvikling av tjenesten. I 2020 gjennomførte vi et større arbeid sammen med Sopra Steria der vi jobbet med tydeligere målgrupper og ny interaksjonsdesign til de nye nettsidene. Vi gjennomførte også et mindre prosjekt med designbyrået Nano som utviklet en ny fargeprofil, nye logoer og en illustrasjonspakke basert på dette. Høsten 2020 begynte så arbeidet med å bygge de nye nettsidene sammen med CapGemini. Alt det gamle innholdet skal revideres og mye nytt innhold produseres. Ved årsskiftet er Dubestemmer-prosjektet midt i dette arbeidet. Det har vært en del forsinkelser knyttet til utfordringene fra koronasituasjonen, men en lansering er forventet i løpet av våren 2021.

I februar arrangerte vi et frokostseminar på Safer Internet Day 2020 i Tromsø sammen med Utdanningsdirektoratet og NorSIS. Temaet for arrangementet var hvordan vi kan heve hånderingskompetansen blant ungdom og voksne, særlig knyttet til uheldige hendelser på nett slik som ulike former for svindel. Vi lanserte også prosjektets nyeste film Porn scam.

Fremtidige utfordringer

Selv om utviklingen er positiv, gjenstår mye arbeid før sektoren kan friskmeldes. Mange kommuner mangler kompetanse for å digitalisere riktig, og selv kommuner med betydelig ressurser gjør feil.   Det er derfor stort behov for veiledere, selvhjelpsverktøy og bistand for å gjøre arbeidet riktig.  Trusselbildet er også utfordrende, og fiendtlige angrep må antas å øke både i omfang og kompleksitet. 

Sektoren er dessuten fragmentert. Vårt inntrykk er at viljen til og ønsket om å dele kunnskap på tvers av kommunegrensene er økende, men fortsatt sitter for mange alene, på sin egen tue, og har liten oversikt over hvem som kan hva, og hvem som kan bidra. Bedre samordning og koordinering er derfor viktige stikkord. Det er også behov for fortsatt politisk innsats og engasjement for å «holde trykket oppe».

Datatilsynet ønsker fortsatt å spille en viktig rolle – både som diskusjonspartner, tilrettelegger for dialog, pådriver, og ved å behandle enkeltsaker og avviksmeldinger og gjennomføre tilsyn. Vi opplever dialogen med sektoren som veldig god, og at våre bidrag oppfattes som positive. Vi er opptatt av å opprettholde denne posisjonen.