Publisert: 01.02.2023
Vi vet at det er utfordrende for kommunene å gjennomføre vurderinger knyttet til personvern og informasjonssikkerhet i løsninger som tas i bruk
Den teknologiske utviklingen i oppvekstsektoren, og bruken av digitale tjenester i undervisningen, har økt betraktelig de siste årene. Data om elevene samles inn og prosesseres i flere digitale tjenester, både administrative og pedagogiske. Microsoft, Apple og Google er de store plattformleverandørene til norsk skole.
Ifølge Utdanningsdirektoratet (GSI, 2021) har 21 prosent av elevene i norsk skole egen Google Chromebook. I tillegg benytter flere skoler Googles tjenester på andre digitale enheter.
Utfordrende for kommunene å ivareta behandlingsansvaret
Hver enkelt skoleeier er behandlingsansvarlig for løsningene som brukes i opplæringen, og skal ifølge Personopplysningsloven blant annet gjennomføre risiko- og sårbarhetsanalyse (ROS), vurdere personvernkonsekvenser (DPIA), inngå databehandleravtale med leverandøren og gjøre vurderinger knyttet til tredjelandsproblematikk (leverandører utenfor EU/EØS, virkeområdet til GDPR). Alle kommuner er pålagt de samme lovkravene, men har svært ulike forutsetninger for å overholde regelverket, noe også Personvernkommisjonen påpeker i NOU 2022:11 fra september 2022.
- Vi vet at det er utfordrende for kommunene å gjennomføre vurderinger knyttet til personvern og informasjonssikkerhet i løsninger som tas i bruk i norsk skole i dag. Det er lite effektivt at hver enkelt kommune gjør de samme vurderingene for de samme løsningene. Det fører til betydelig dobbeltarbeid på et område hvor kommunene allerede har varierende kapasitet og kompetanse. Vi håper at pilotprosjektet for Google kan være et foregangsprosjekt for hvordan sektoren i større grad kan samordne disse prosessene fremover, sier Asbjørn Finstad, avdelingsdirektør for Strategisk IKT og digitalisering i KS.
Et bedre utgangspunkt for kommunene
Det siste året har det pågått saker i både Nederland og Danmark knyttet til bruk av Google i skolen. Bergen kommune har på bakgrunn av dette startet et arbeid med en omfattende oppdatering av deres DPIA. De erkjenner samtidig at det er en formidabel oppgave som det ikke er hensiktsmessig at den enkelte kommune gjør på egen hånd.
- Bergen kommune foreslo derfor at KS bidrar til å realisere en overordnet nasjonal DPIA for Googles tjenester for kommunene i Norge. En overordnet nasjonal DPIA vil gi kommunene et bedre utgangspunkt for forhandlinger med Google som leverandør, og den enkelte kommune vil i tillegg få et godt grunnlag for å gjøre sine individuelle DPIA-er knyttet til sin spesifikke bruk av Google-produkter og tjenester, sier Are Andreassen, seksjonssjef digitalisering og virksomhetsstyring, byrådsavdeling for barnehage, skole og idrett i Bergen kommune.
Overføringsverdi for andre løsninger og fagområder
- Prosjektet er nå i planleggingsfasen, og vil skalere opp sine aktiviteter utover våren. Målet er å ha på plass en overordnet nasjonal DPIA innen utgangen av året. I tillegg til den overordnede nasjonale DPIA-en vil det utarbeides en tilhørende veileder for hvordan kommunene kan ta i bruk den overordnede nasjonale DPIA-en for å tilpasse og forankre DPIA-en til den enkelte kommune. Prosjektet vil også dokumentere og evaluere prosessen, da erfaringene vil ha overføringsverdi for nasjonale vurderinger av andre tilsvarende løsninger og tjenester, eksempelvis Microsoft 365. Erfaringene vil også være relevant for tilsvarende prosesser på andre løsninger og tjenester i bruk i skole og oppvekst, men også på andre fagområder som for eksempel universell utforming, sier Asbjørn Finstad.