Bruken av digitale verktøy og apper i undervisningen har eksplodert i den norske skolen de siste årene, ikke minst med pandemi og hjemmeskole over natten. Og en fersk rapport fra konsulentselskapet Bouvet viser nå at elevenes personvern blir utfordret i en rekke situasjoner i skolen.
– Jeg ble litt bekymret og litt sjokkert, fordi det står ikke så bra til. (...) Skolen ivaretar personopplysninger for mange av de mest sårbare av innbyggerne våre, og de har lite muligheter til å gjøre det bra, sa teknologidirektør Simen Sommerfeldt i Bouvet Norge da han presenterte funnene under et arrangement på Arendalsuka tirsdag denne uken.
Dataene i undersøkelsen er hentet inn gjennom dybdeintervjuer med lærere, skoleledere og skoleeiere i syv store og små kommuner.
– Vi spurte egentlig flere, og det er litt urovekkende at noen lot være å svare, for da er det kanskje et verre bilde hos dem, sier Sommerfeldt til Digi.no.
Salgsvare
I tillegg har Bouvet sett nærmere på noen av de gratisverktøyene som lærere har tipset hverandre om under pandemien, eksempelvis den reklamefinansierte språkappen Duolingo.
– Noe av det skumleste vi har funnet er at disse gratisverktøyene egentlig gjør at barna blir salgsvarer i mørke profiler. Det er useriøse aktører man aldri blir kvitt. Det kan være ganske skummelt, for eksempel for minoritetselever som finner ut at de er homofile, eller er kritiske til et regime eller lignende, sier Sommerfeldt, og refererer til at informasjon og sporingsdata kan bli hentet fra slike apper og bli sammenstilt med informasjon fra andre apper og solgt i annonsenettverk.
– Lærerne kan faktisk risikere å uforvarende gjøre barna til salgsvare, legger han til.
«Skyggeløsninger»
Blant funnene i rapporten er at håndtering av sensitive personopplysninger er tungvint og gjør at ansatte tar i bruk sårbare skyggesystemer. Med skyggesystemer menes løsninger det ikke er gjort noen sikkerhetsvurdering av, til å håndtere informasjon det kan være veldig farlig om kommer ut.
– Når det er prekære situasjoner som mobbing eller mishandling i hjemmet eller lignende, så må man bare agere, og da har det vært eksempler på å dette. Det er jo egentlig veldig farlig og ulovlig, men de må jo redde den ungen, så du skal ikke være sinna på dem for det. Men de har ikke fått gode nok forutsetninger, understreker Sommerfeldt.
Se liste over Bouvet-rapportens hovedfunn nederst i saken.
– Folk må snakke sammen
En av anbefalingene Bouvet gir i rapporten er å etablere en felles tjenestekatalog, en oversikt over læringsverktøy og applikasjoner som er sikre og ikke bryter med elevenes personvern.
– Den løsningen ligger faktisk allerede i regjeringens handlingsplan, men det er ikke gjort. Vi tok derfor kontakt med Udir og fikk beskjed om at det ikke er startet på og at det skulle gjøre en ny utredning, sier Sommerfeldt.
Han mener at det er altfor dyrt for kommuner å gjøre tilstrekkelige sikkerhetsvurderinger av læringsverktøy selv, og dessuten bortkastet arbeid at det ikke samkjøres.
– Folk må jo snakke sammen: Kunnskapsdepartementet, Udir, KS, og ikke løpe i beina på hverandre, oppfordrer Sommerfeldt.
– Et felles register gir også muligheten for et stort antall applikasjoner, og det vil også kunne stramme leverandørmarkedet litt opp, siden de vet at det faktisk stilles krav, sier han.
I tillegg foreslår Bouvet tydelige kjøreregler og praktisk veiledning for lærere, samt bedre samordning på statlig nivå.
Enighet
Hovedfunnene i rapporten og behovet for bedre samkjøring nasjonalt, ble bekreftet av paneldeltakerne Bjørn Erik Thon, direktør i Datatilsynet, prosjektleder Christian Sørbye-Larsen for forprosjektet Skolesec i KS, og leder Steffen Handal i Utdanningsforbundet, under arrangementet på Arendalsuka.
– Det som gjør at jeg ikke blir så pessimistisk, er at disse partene faktisk er ganske enige i hva som er problemet og de kom med de samme løsningsforslagene som vi også har kommet til, sier Sommerfeldt til Digi.no etter arrangementet.
Senere kom også politikerne Siv Henriette Jacobsen (AP) og Mathilde Tybring-Gjedde (H) på scenen og debatterte temaet.
(Saken fortsetter under bildet)

– Ikke kjangs til å gjøre jobben
Ifølge Bjørn Erik Thon, direktør i Datatilsynet, bygger rapporten ut og forsterker det inntrykket de har om hvordan ståa er i skolen.
– Når vi vet at det finnes tusen ulike fagsystemer, digitale læremidler, apper, kommunikasjonsløsninger som brukes hver eneste dag, og at dette hverken er kommunalt godt styrt eller sentralt godt styrt, så har vi vel kanskje pekt på hovedutfordringen: Det er for stort, det er for uklart hvem som har ansvar, og hvem som skal gjøre jobben som trengs å gjøres for å få personvernet godt og skikkelig, sa han under arrangementet.
– Det er hver enkelt kommune som har ansvar for å bruke fagsystemer eller apper som er i overensstemmelse med personvernregelverket. Men det er en jobb de nå ikke har sjans til å gjøre. Spriket fra dem som sitter med det formelle ansvaret til de som tar beslutningene, er for stort, sa han.
Usikkerhet og likegyldighet
Steffen Handal, leder i Utdanningsforbundet, poengterte i likhet med de andre at pekefingeren ikke bør rettes mot lærerne for funnene i rapporten:
– Vi skal være glade for at lærerne tok veldig raske avgjørelser da pandemien smalt. En del av de var nok ikke gode, men det må vi bare leve med. Det måtte gjøres, og det var ingen som hadde grunnlag for å ta andre beslutninger akkurat da, sa han.
– En del av disse tingene må gjøres nasjonalt, og en del må gjøres kommunalt. Men hvis de tingene tar for lang tid og bremser den pedagogiske utviklingen for lærerne, for eksempel muligheten til å drive god deling, så kommer lærere til å finne andre løsninger, sa forbundslederen, og la til:
– Elevene lærer av hvordan skolen håndterer dette. Og hvis det er lemfeldig, så vil det sette seg både som en usikkerhet og med et inntrykk av at «dette er ikke så nøye».
Hovedfunn i rapporten «Digitalisering i skolen – Har vi glemt personvernet?»:
- Bruk av gratisverktøy innebærer en stor risiko for at informasjon om elevene kommer på avveie.
- Elever får ikke så gode læringsverktøy som de kunne fått. Dette er særlig et problem i mindre kommuner. Det er fordi hver eneste kommune må gjøre risikoanalyser og skrive databehandleravtaler for hvert verktøy, noe som er svært ressurskrevende.
- Elevenes e-postadresser kan brukes til svindelforsøk.
- Ansatte i skolen kjenner ikke rutinene for hva som skal gjøres dersom informasjon om elevene kommer på avveie.
- Håndtering av sensitive personopplysninger er tungvint og gjør at ansatte tar i bruk sårbare skyggesystemer.
- Innføring og bruk av læringsplattformer og skoleadministrative systemer har blitt bedre med hensyn til personvern, men innebærer fortsatt personvernrisiko dersom ansatte bruker verktøyene feil.
- Å få foreldrene til å bruke trygge applikasjoner for dialog med skolen er vanskelig. Det hjelper ikke om systemene i seg selv er sikre dersom de brukes feil eller personinformasjon legges i feil system. Kompetansen og bevisstheten blant ansatte om trygg håndtering av personinformasjon er svært varierende.
- Etter 2018 har det vært en kraftig økning i antall bøter og irettesettelser Datatilsynet har gitt (se faktaboks).
Personverngebyr til skoleeiere i Norge:
I 2019 skrev Datatilsynet ut de første gebyrene til skoleeiere for brudd på personopplysningsloven. Siden da har Datatilsynet gitt følgende gebyrer til ulike skoleeiere:
- Gebyr på 1,2 millioner kroner for overtredelse av personopplysningssikkerheten imobilapplikasjonen Skolemelding. (2019)
- Gebyr på 1,6 millioner kroner for mangelfull personopplysningssikkerhet idatasystemene brukt i grunnskolen. Brukernavn og passord for 35 000 bruker låtilgjengelig for ansatte og elever. (2019)
- Gebyr på 3 millioner kroner for mangelfull sikring av personopplysninger i kommunikasjon mellom skole og hjem. (2020)
- Gebyr på 500 000,- kroner etter at helseopplysninger om barn ble behandlet ilæringsplattformen Showbie. (2020)
- Gebyr på 50 000,- kroner til kommune for deres bruk av treningsapplikasjonen Strava iundervisningen. (2021)
Kilde: «Digitalisering i skolen» (rapport), hentet fra Datatilsynet.