Det nærmer seg skolestart og snart vender mange tusen elever forventningsfulle tilbake til skolebenken. Datatilsynet frykter at de vender tilbake til en skole som mangler kompetanse og ressurser til å sikre deres personopplysninger. (Denne kronikken er skrevet i samabeid med juridisk seniorrådgiver Charlotte Bayegan.)
Bekymrede foreldre opplever at skolen ikke har oversikt og kontroll med hvordan deres barns personopplysninger blir brukt. Vi i Datatilsynet deler denne bekymringen og har ved flere anledninger etterlyst en nasjonal strategi som kan veilede kommunene i et utfordrende digitalt landskap.
Mangelfull kompetanse om personvern
I Norge er den obligatoriske skolegangen for barn 10 år. I denne perioden samles det inn betydelige mengder personopplysninger om elevene slik som navn, fødselsnummer, faglige prestasjoner og ferdigheter, familierelasjoner, livshendelser og helseopplysninger. Opplysningene behandles i ulike administrative systemer og digitale verktøy som skolen og kommunen bruker. De brukes i opplæringen og i kommunikasjonen med hjemmet og deles med andre offentlige instanser som Nav, barnevernet, helseforetak og politiet når det er nødvendig. Sannsynligheten er også stor for at de opplysningene som samles inn om en skolestarter i 2020, vil bli brukt til helt nye formål når eleven avslutter grunnskolen i 2030.
Dessverre erfarer Datatilsynet at kompetansen i skolevesenet ikke holder tritt med bruken av de teknologiske verktøyene. Risikoen for at personopplysninger og sensitiv informasjon om enkeltelever kommer på avveie er høy. Det store antallet brudd på personopplysningssikkerheten bekrefter nettopp hvordan mangelfull kompetanse fører til at opplysningene kommer på avveier. I løpet av 2019 fikk vi inn nesten 2000 meldinger om avvik, og om lag en av ti gjaldt avvik som berørte barn og unge.
Ny opplæringslov
Opplæringsloven pålegger ansatte i kommunen og fylkeskommunen å samle inn betydelige mengder personopplysninger om den enkelte elev – også sensitive personopplysninger. Elevene har dermed plikt til å gi fra seg disse opplysningene dersom de skal kunne gjennomføre den obligatoriske skolegangen.
Datatilsynet er overrasket over at lovforslaget til ny opplæringslov ikke er tydelig nok på hvordan personvernet til elevene skal ivaretas.
Her er det mye komplisert juss der personvernforordningen og forvaltningsloven krysser hverandre. I lovforslaget er personopplysningssikkerhet så å si ikke nevnt. Dette til tross for at skoler i dag laster ned og bruker applikasjoner i ordinær undervisning, uten at det er gjennomført en risikovurdering av sikkerheten i forkant av denne bruken. Det viser en bekymringsfull utvikling. Ansvaret for personopplysningssikkerheten må bli tydeliggjort i regelverket.
Alvorlige konsekvenser
Det kommunale selvstyret står sterkt i Norge, og med rette. Det er den enkelte kommune som kjenner lokale forhold best. De er også ansvarlig for at personopplysninger behandles lovlig. Digitaliseringen gir kommunene og den enkelte skole et stort ansvar for personvern og personopplysningssikkerhet.
To saker mot Bergen kommune er illustrerende. I den første saken ble personopplysninger om elever på hemmelig adresse delt med uvedkommende. Slike opplysninger er av svært sensitiv karakter og krever høyeste grad av teknisk sikkerhet og vanntette rutiner. Når slike opplysninger kommer på avveier kan det innebære at de involverte må flytte, og i verste fall kan det være livstruende. Overtredelsesgebyret på tre millioner kroner gjenspeiler alvorligheten i saken.
I den andre saken ble filer med brukernavn og passord til over 35 000 brukere i kommunen tilgjengeliggjort for elever og ansatte i grunnskolen. Dermed kunne elever, ansatte og administrator på skolen logge seg inn på skolens ulike informasjonssystemer og få tilgang til personopplysninger om andre elever og ansatte. Denne avvikssaken er av så alvorlig karakter at Bergen kommune ble gitt et overtredelsesgebyr på 1.6 millioner kroner for mangelfull personopplysningssikkerhet i datasystemene.
Kommunene trenger hjelp
Dagens regelverket er ganske komplisert, og det å ta i bruk digitale verktøy, apper og skoleadministrative systemer kan ikke overlates til de enkelte kommune alene. Når Norges nest største kommune med en relativt stor IT-avdeling og lovavdeling gjør alvorlige feil, sier det seg selv at dette er et svært komplekst område
Mange kommuner gjør en god jobb med personvern og sikkerhet og leder an i digitaliseringen. Dersom en kommunen har risikovurdert en app, bør andre kommuner få vite at de kan bruke den samme appen. KS har tatt flere gode initiativer for å få de flinke til å dra de andre med seg, og vil utvikle verktøy som den enkelte kommune kan bruke. Kommunene selv arbeider også iherdig med å sette seg inn i regelverket og få gode rutiner på plass.
Det er likevel viktig og helt nødvendig med en sentral, overordnet styring fra høyeste hold.
Datatilsynet mener det haster med å få på plass en nasjonal strategi for personvern og sikkerhet i grunnskolen og videregående skole i Norge. Vi har ingen tid å miste. Et godt læringsmiljø og en trygg skolehverdag i 2020 betyr også at våre barns personopplysninger behandles på en forsvarlig og trygg måte, i tråd med regelverket.