Google og Apples applikasjoner og produkter brukes flittig som læringsverktøy i norske skoler. Ingen har gjort en sentral vurdering av risikoen; det er opp til de enkelte kommunene å vurdere risikoen for at elevenes personopplysninger, sporingsdata og annen informasjon ikke havner på avveie eller utnyttes kommersielt.
I fjor skrev Datatilsynet tilsynsrapporter mot Bergen, Sandnes og Strand kommune, etter å ha sett nærmere på kommunenes bruk av Google Chromebook og G Suite for Education. Alle tre fikk en mild korreks for at de ikke hadde gjort gode nok vurderinger, blant annet av hva slags data som samles inn og hva de brukes til.
– Kunne vært bare blåbær
Direktør Bjørn Erik Thon i Datatilsynet mener det er altfor ressurskrevende og meningsløst at kommunene skal sitte hver for seg og gjøre den jobben.
– Dette kunne vært gjort av Utdanningsdirektoratet, eller KS for den saks skyld. Det viktigste er at det blir gjort en sentral grunnvurdering av de verktøyene. Apple og Google er bare to eksempler, og det kunne godt vært flere. Men i og med at de er så innmari dominerende i skolen, tror jeg det hadde vært lurt, sier Thon, som tok opp problemstillingen under flere av arrangementene om sikkerhet og personvern under Arendalsuka nylig.
Han understreker overfor Digi.no at selv om risikovurderingen hadde blitt gjort av et direktorat, er det fortsatt den enkelte skole som er ansvarlig:
– De måtte fortsatt gjort jobben med å vurdere risiko ved egen bruk, men da snakker vi om en ressursinnsats som er bare blåbær sammenlignet med det de har måttet gjøre nå. Eller det vil si: det de ikke gjorde, men som de burde ha gjort nå, sier han og refererer til kommuner som har tatt i bruk disse verktøyene uten tilstrekkelig risikovurdering.
– Tror du en sentral risikovurdering kunne resultert i forbud?
– Nei, det kan godt hende at det kunne ført til at man ikke kunne brukt noen tjenester, men det er ikke vi så veldig opptatt av. Vi er opptatt av at man risikovurderer tjenester, og så er det virksomhetene selv eller kommunene som må ta vurderingen om de skal ta det i bruk eller ikke. Så kommer vi og kontrollerer.
– Det er ikke så ofte vi forbyr en tjeneste, men vi informerer og sier at noen ting må vurderes og gjøres annerledes. Man kan komme til at dette har en for stor risiko til å brukes, men vi har ikke sagt at man ikke må bruke Google- og Apple-verktøy i skolen. Vi har sagt at man må vurdere risikoen ved å gjøre det og hva slags informasjon foreldrene og elevene skal få om hva dataene brukes til, legger Thon til.
Udir: – Ikke rett frem
Avdelingsdirektør Anne Magdalena Solbu Kleiven i Utdanningsdirektoratet (Udir) skriver i en e-post til Digi.no at dette er en problemstilling de kjenner godt til – og at de ser utfordringene ved at alle kommuner selv skal gjøre risikovurderinger av digitale verktøy i skolene.
– Samtidig er det slik at det er kommunene som er ansvarlig for egen informasjonssikkerhet, og sentrale myndigheter kan ikke uten videre vurdere og godkjenne risikoen til systemene på deres vegne, skriver hun.
– Risiko- og sårbarhetsanalyser og personvernkonsekvensanalyser må ses i sammenheng med både teknisk oppsett og manuelle rutiner, som kan variere mellom kommuner. Det er derfor ikke rett frem å gjennomføre en slik vurdering på tvers av kommunene.
Hun legger til at de heller ikke kan vurdere Apples produkter eller andre enkelte aktørers løsninger fremfor andre uten å favorisere noen i markedet.
– Kommunene bruker mange ulike tilsvarende løsninger på en rekke områder. Problemstillingen er derfor mye bredere enn kun Apples produkter. I tillegg er mange av løsningene, blant annet flere av Apples, tverrsektorielle og favner bredere enn kun utdanningsfeltet.
Vil kartlegge sektoren
Digi.no omtalte nylig en fersk rapport fra Bouvet om personvern i skolen, en kartlegging av blant annet bruk av usikre gratisverktøy og skyggesystemer. Rapporten konkluderer blant annet med at elevers personopplysninger kan utnyttes kommersielt med dagens praksis.
En av anbefalingene Bouvet gir i rapporten, er å etablere en felles tjenestekatalog, en oversikt over læringsverktøy og applikasjoner som er sikre og ikke bryter med elevenes personvern. I tillegg foreslår Bouvet tydelige kjøreregler og praktisk veiledning for lærere, samt bedre samordning på statlig nivå.
Kleiven i Utdanningsdirektoratet forteller at de i høst vil gjennomføre en kartlegging av prosessene ute i skolesektoren og vurdere flere tiltak for å koordinere arbeidet på tvers av sektoren på best mulig måte.
– Her tror vi det kan gjøres mye for både å heve kvaliteten og gjøre arbeidet mer effektivt og forhåpentligvis løse deler av den problemstillingen dere peker på, skriver hun.
– Vi jobber også med å lage en veileder om personvern og risikovurderinger, legger hun til.
