Denne våren har Datatilsynet gjennomført brevtilsyn med 50 kommuner der tema var hvordan de ivaretar personvern ved bruk av digitale læringsverktøy i opplæringen. Det overordene formålet med tilsynsarbeidet er å forbedre personvernet i skolen gjennom å lage relevant og praktisk veiledning for kommunene.
Blant hovedfunnene er at flere digitale læringsverktøy ikke vurderes av kommunene sentralt, men besluttes av rektor eller den enkelte lærer.
Blant hovedfunnene er at flere digitale læringsverktøy ikke vurderes av kommunene sentralt, men besluttes av rektor eller den enkelte lærer.
Tilsynsarbeidet bestod av to faser. I den første fasen gjennomførte Datatilsynet en brevkontroll hvor kommunene ble bedt om å svare på spørsmål om etterlevelse av konkrete plikter etter personvernregelverket. I den andre fasen ble det gjennomført stedlige tilsyn med fire kommuner der formålet var å kontrollere etterlevelse av kommunens plikter i praksis.
I samlerapporten (pdf) oppsummerer Datatilsynet funnene fra brevkontrollen og gir konkret og praktisk veiledning om kravene i personvernregelverket.
- Se også: Opptak av rapportlansering med funn fra tilsyn med skolesektoren (Datatilsynet)
Noen hovedfunn fra brevkontrollene:
- Flere digitale læringsverktøy vurderes ikke av kommunen sentralt, men besluttes av rektor eller den enkelte lærer.
- Mange kommuner legger til grunn en for snever forståelse av hva en personopplysning er. Konsekvensen er at hundrevis av digitale læringsverktøy ikke blir vurdert og omfattes ikke av kommunens samlede oversikt over behandlingsaktiviteter.
- Mange kommuner har ikke egnede rutiner for å ivareta personvernet ved bruk av digitale læringsverktøy. Datatilsynet ser at gjennomføringen av disse forpliktelsene derfor ofte er vilkårlig og personavhengig.
- At et digitalt læringsverktøy har Feide-innlogging blir av mange kommuner oppfattet som at personvernet er ivaretatt. Kommunene er imidlertid selvstendig ansvarlig for å gjøre nødvendige vurderinger av personvernet.
- Mange kommuner har delegert teknisk ansvar til roller uten tilstrekkelig IKT-kompetanse, eksempelvis til lærere og rektorer.
- Kommuner som er en del av et interkommunalt IKT-samarbeid har i større grad skriftlige rutiner og kvalifiserte personer som utfører oppgaver av teknisk karakter.
- Det er lite bevissthet om problemstillingen knyttet til behandling av personopplysninger for leverandørenes egne formål. Et flertall av kommunene har derfor heller ikke iverksatt tilstrekkelige tiltak for å unngå dette.
- Det uttrykkes et stort ønske fra kommunene om at det etableres en sentralisert støttetjeneste for vurdering av personvernet i digitale læringsverktøy.
Anbefalte tiltak og veien videre
- 28 kommuner ga uttrykk for et stort ønske om at det etableres en sentralisert støttetjeneste for vurdering av personvernet i digitale læringsverktøy. Videre var det over 20 kommuner som skrev at de etterlyser veiledning, retningslinjer, praktiske eksempler og maler for å styrke deres eget vurderingsarbeid i kommunen.
- Det overordene formålet med tilsynsarbeidet har vært å forbedre personvernet i skolen gjennom å lage relevant og praktisk veiledning for kommunene knyttet til arbeidet med personvern i skolen. Datatilsynet anbefaler sterkt at arbeidet med personvern i skolen samordnes og effektiviseres på nasjonalt plan i fremtiden. Datatilsynet mener det ikke er hensiktsmessig at hver kommune skal gjennomføre de samme vurderingene for hvert enkelt læringsverktøy som tas i bruk. Blant anbefalingene fra Personvernkommisjonen i 2022 var en mer helhetlig politikk for sektoren og opprettelse av en nasjonal tjenestekatalog over godkjente, personvernvennlige læringsverktøy.
Kilde: Datatilsynet