get_queried_object(); $id = $cu->ID; ?>

Hva betyr den danske Chromebook-saken for Norge?

Datatilsynet har i lengre tid etterlyst sterkere sentral styring av personvernarbeidet i norsk skole. En avgjørelse fra Datatilsynet i Danmark gir oss enda en mulighet til å løfte opp temaet på den politiske dagsordenen.

Den 30. januar kom det danske datatilsynet med en oppsiktsvekkende avgjørelse om bruk av Google Chromebook og Workspace for education i skolen. Avgjørelsen konkluderer med at behandlingen av personopplysninger i enkelte deler av tjenestene er ulovlig, da det ikke finnes et rettslig grunnlag i personvernforordningen og nasjonal rett.

53 danske kommuner fikk derfor et påbud om å sørge for at alle personopplysningene som behandles i Google-tjenestene har et tilstrekkelig rettslig grunnlag.

Vedtaket tydeliggjør rammene for hva som er en lovlig bruk av personopplysninger i skolen, etter det danske lovverket. Avgjørelsen drøfter imidlertid problemstillinger som også har relevans for norske kommuners bruk av digitale læringsverktøy i skoleopplæringen. Vi mener at vurderingene av lovlighet, rettslig grunnlag og formålsbegrensning er gode. Dette kan vi bygge videre på i vårt arbeid i Norge. Som avgjørelsen understreker, etterlyser også vi i Norge en sterkere sentral styring av personvernarbeidet i skolesektoren. Viktige spørsmål om hvor omfattende innsamling av personopplysninger vi skal tillate i skolen, og til hvilke formål personopplysningene kan brukes til, må opp på den politiske agendaen.  

Digital omvelting i skolen

I Norge har det, som i Danmark, skjedd en digital omvelting av skoleundervisningen. På under ti år har nesten alle norske elever fått hver sin digitale enhet, og vi erfarer at stadig flere skoler velger å ta i bruk skyløsninger. Det er opp til hver enkelt kommune å sørge for at personvernregelverket blir ivaretatt ved innføring og bruk av digitale læreverktøy. Dette forutsetter blant annet at kommunen har kontroll på ansvarsforholdene mellom kommune og leverandør, hvilke personopplysninger som behandles i tjenestene, og at uvedkommende ikke får tilgang til personopplysningene. Dette er en krevende jobb. Kommunene blir ofte presentert for omfattende avtalevilkår, som forutsetter inngående kompetanse innenfor informasjonssikkerhet og personvern. I tillegg, er det vanskelig for hver enkelt kommune å stille krav til store markedsaktører som Google, Microsoft eller Apple. Vi mener at etableringen av en helhetlig og offensiv statlig personvernpolitikk i skolesektoren, som anbefalt i Personvernkommisjonens rapport, vil løse noen av disse utfordringene.

Bakgrunn for den danske Chromebook-saken

Allerede i 2022 nedla det danske datatilsynet et forbud mot bruk av Googles skoleverktøy i Helsingør kommune. Tilsynet mente at personvernregelverket ikke var fulgt på en rekke punkter, deriblant manglende risikovurderinger, utilstrekkelig dokumentasjon av dataflyten i tjenesten, og overføring av personopplysninger til tredjeland, uten et tilstrekkelig overføringsgrunnlag.

Disse vurderingene ble fulgt opp i et større tilsyn, som resulterte i et pålegg til 53 danske kommuner i januar.

Hva handler den danske Chromebook-avgjørelsen om?

Det danske datatilsynet gjennomførte en omfattende kartlegging av ansvarsfordelingen mellom Google og kommunene, og formålene personopplysningene behandles for i tjenestene.

Avgjørelsen konkluderer med at kommunene ikke har tilstrekkelig klar lovhjemmel i folkeskoleloven (tilsvarende norsk opplæringslov) for behandling av elevdata til Googles «egne formål». Dette henviser til Googles bruk av elevenes metadata til vedlikehold og forbedring av Googles generelle tjenester, utvikling av nye funksjoner i tjenestene og måling av yteevne. Avgjørelsen understreker at en slik behandling er et pågående lovbrudd, frem til det skjer en lovendring, eventuelt at Google stopper en slik behandling.

Hva skjer i Norge nå?

Vi har fulgt arbeidet til det danske datatilsynet tett, og mener at flere av vurderingene har overføringsverdi til Norge. Vi anser dette som en viktig avgjørelse, både fordi barn er gitt et særlig vern etter forordningen, og som følge av den omfattende innsamlingen av personopplysninger som skjer i skolen i dag. Det gjenstår likevel å vurdere om bruk av opplæringslova som hjemmelsgrunnlag kan føre til det samme resultatet som i Danmark.

Allerede i 2020 ga vi irettesettelser til tre kommuner for bruk av Google Chromebook. Begrunnelsen var at kommunene ikke hadde tilstrekkelig behandlingsprotokoll, foresatte hadde ikke fått god nok informasjon, og det var heller ikke gjennomført tilstrekkelige risikovurderinger. Et behov for mer veiledning til kommunene førte til opprettelsen av informasjonssiden «Bruk av Google Chromebook og G Suite for Education (og andre skytjenester) i grunnskolen» på Datatilsynets nettsider. Denne har til hensikt å bistå kommunene i etterlevelse av kravene til rettslig grunnlag, informasjon, behandlingsprotokoll og vurdering av personvernkonsekvenser (DPIA).

Etterlyser sterkere sentral styring

EUs forordning om digitale tjenester, Digital Service Act (DSA), er nå til vurdering i EØS/EFTA-landene, før den skal implementeres i norsk rett. DSA sikter mot mer åpne, gjennomsiktige og pålitelige digitale plattformer. Nasjonale tilsynsmyndigheter skal etter DSA ha krav på større innsyn i hvordan selskapene bak de internettbaserte plattformene opererer og hvordan de behandler data. Reguleringen vil også inneholde et forbud mot atferdsbasert markedsføring rettet mot barn. Dette mener vi er et skritt i riktig retning.

Det pågår dessuten et viktig samarbeidsprosjekt mellom regjeringen og KS i etablering av en nasjonal støttetjeneste for personvern og universell utforming. Dette skal være et verktøy som skal bistå barnehage- og skoleeiere i vurderingen av digitale læremidler. KS og Bergen kommune har også satt i gang et prosjekt for å gjennomføre og teste ut en nasjonal vurdering av personvernkonsekvenser (DPIA) for Googles tjenester i skolen. Disse verktøyene skal gjøre det lettere for kommunene å anskaffe digitale læremidler som oppfyller personvernregelverket.

Disse initiativene bidrar til en sterkere sentral styring av personvernarbeidet i skolen, som vil komme både kommunene og elevene til gode. Datatilsynet etterlyser samtidig en bred politisk debatt om personvernet i dagens skole. Det er til syvende og sist vi, som samfunn, som bestemmer hvilket omfang, og til hvilke formål, personopplysningene behandles.

Interessert i skole og personvern?

Kolleger har tidligere blogget om dette temaet, se for eksempel:

Datatilsynets rapport fremmer samfunnets verdier

Dette innlegget ble først publisert på kom24.no og er skrevet av Janne Stang Dahl, kst. direktør, og Tobias Judin, seksjonssjef. Ståle Lindblad sparker i alle retninger i innlegget sitt mot Datatilsynet og Facebook-rapporten vi publiserte. Ikke bare er han...

les mer

Høring i EU-parlamentet

I dag var jeg invitert til å delta i en høring i EU-parlamentets LIBE-komité, altså "Committee on Civil Liberties, Justice and Home Affairs". Temaet for høringen var håndhevingen av GDPR, hvor vi i Datatilsynet mener det er rom for forbedringer. Nedenfor følger...

les mer

En strutsebasert tilnærming til personvern

Når strutser møter utfordringer, stikker de hodet i sanden eller sparker. Det kan forklare Wiersholms sleivspark til Datatilsynet. (Dette innlegget ble publisert på DN.no 21. februar 2022.) Tre jurister i Wiersholm skriver om at Google Analytics er i...

les mer

For et ansvarlig og bærekraftig næringsliv

Datatilsynet, Amnesty International Norge og Forbrukerrådet jobber for et forbud mot overvåkingsbasert markedsføring. I den forbindelse hadde vi i dag et møte med næringsminister Jan Christian Vestre. Her er momentene Datatilsynet fremla i møtet. Personopplysninger...

les mer

Cyberkriminelle styrer ikke Datatilsynets gebyrer

Vi undersøker også andre aktører enn de som er meldt inn til oss og kontrollerer om personvernregelverket er ivaretatt. I et innlegg mener informasjonssikkerhetsrådgiver Simen Bakke at det i dag er trusselaktørenes aktivitet som påvirker hvem Datatilsynet gir...

les mer

IKT-Norge i egen snubletråd

IKT-Norge går høyt ut mot Datatilsynets lovtolkning, og desto hardere blir mageplasket når de avslører manglende juridisk forståelse. Samtidig er demokratiske spilleregler truet. På lørdag skrev Øyvind Husby at Datatilsynet bommer om felles behandlingsansvar ved bruk...

les mer

Tanker ved reisens slutt

I de 12 årene jeg har vært direktør i Datatilsynet har personvernet endret seg dramatisk. Fra å være et spørsmål for litt spesielt interesserte, er personvern i dag noe alle må forhold seg til. Jeg vil peke på fire drivere som har gitt personvern sin velfortjente...

les mer

Forklar, ferdig, gå

Hva skjuler seg i den svarte boksen? Det har lenge vært det store spørsmålet, og en av de største utfordringene, knyttet til kunstig intelligens. Black box-problematikk, kalles det. Det går kort fortalt ut på at når kunstig intelligens gir oss et svar, er det fundert...

les mer

GDPR: Materielt eller prosessuelt vern?

(Denne teksten ble først publisert på Rett24.no den 14. desember 2021.) Perspektivene på hva personvern er og bør være, varierer. Fersk praksis illustrerer at det kanskje er mer enn skattereglene som lokker teknologigantene til Irland. I EØS har vi strenge...

les mer

Arkiv