De siste årene har det skjedd en stor teknologisk utvikling i skole– og barnehagesektoren. Borte er håndskrevne meldingsbøker og innleveringer på slutten av timen. Nå blir anmerkninger for dårlig oppførsel lagret digitalt og besvarelser innlevert elektronisk. Det er selvsagt veldig positivt at skolen tar i bruk ny teknologi. Samtidig har Datatilsynet avdekket store mangler i hvordan skolene registrerer, bruker og lagrer personopplysninger.
Det siste året har vi gjennomført 20 tilsyn med hvordan personopplysninger om barn håndteres ved skoler og barnehager. Grunnen er at skolen har vært gjennom en endring vi har sett i mange andre sektorer: Billigere og mer brukervennlig teknologi har blitt tilgjengelig. Samtidig som det offentliges ønske om å registrerer ulike typer opplysninger for å forbedre kvaliteten på skolen har blitt større.
Det er ingen ende på hva som kan registreres og lagres. Karakterer, orden, oppførsel, adferd og språkutvikling er noen eksempler. Det finnes også verktøy som gjør det mulig å logge hvilke nettsteder elevene har besøkt i skoletiden.
Det kan være gode grunner for å registrere alle disse opplysningene. Det krever imidlertid svært gode rutiner, god informasjonssikkerhet og ikke minst en gjennomtenkt holdning til hvorfor man skal lagre de ulike opplysningene, hva de skal brukes til og hvor lenge de skal lagres. Det er viktig å presisere at det er eierne av skoler og barnehager som er ansvarlig for å gjøre skolene og barnehagene i stand til dette. For offentlige skoler og barnehager er skoleeier kommune og fylkeskommune. For private skoler og barnehager er det øverste leder i virksomheten.
«Skoleeier trenger digital kompetanse og forståelse for personvern»
Vi har nå oppsummert tilsynene i en samlerapport; Personvern i barnehager og skoler. Blant hovedfunnene er:
- Skoleeier og skolene mangler oversikt over hvilke personopplysninger de faktisk har lagret
- Manglende risikovurderinger – skoleeier har med andre ord ikke vurdert sannsynligheten for at personopplysningene kan komme på avveier, hvilke konsekvenser det vil få, og hvilke sikkerhetstiltak som må på plass for å forhindre at det skal skje
- Deling av personopplysninger med tredjeparter, som for eksempel skyleverandører
- Uklarhet om hvem som egentlig har ansvar for at personopplysningene behandles skikkelig
- Logging av elevenes bruk av IKT
Selv om funnene er mange og alvorlige, har vi opplevd en sektor som helt klart ser at de har en utfordring, og som vil gjøre noe med den. Men kommunene, fylkeskommunene og virksomhetslederne trenger hjelp. Regelverket er ikke særlig enkelt å forstå, og mange eiere mangler kompetanse til å gjøre ting riktig. Derfor tar Datatilsynet nå initiativ til at det lages en norm for hvordan skolene skal behandle og sikre personopplysninger. Vi ser for oss en selvhjelpspakke til skoleeierne og skolene som blant annet kan inneholde huskelister, sjekklister, veiledere og annet materiale de kan bruke for å få hjelp til å følge reglene.
Mange må bidra for å få dette til. Vi skal så absolutt gjøre vårt. Men også vi trenger hjelp, først og fremst fra regjeringen gjennom et tydelig signal om at barnehagebarn og skoleelevers personvern skal ivaretas bedre. Da finner vi forhåpentligvis ikke feil neste gang vi kommer på tilsyn, men en skole som har nettopp det de skal lære elevene; solid digital kompetanse og forståelse for personvern.