Hva betyr den danske Chromebook-saken for Norge?
Datatilsynet har i lengre tid etterlyst sterkere sentral styring av personvernarbeidet i norsk skole. En avgjørelse fra Datatilsynet i Danmark gir oss enda en mulighet til å løfte opp temaet på den politiske dagsordenen.
Den 30. januar kom det danske datatilsynet med en oppsiktsvekkende avgjørelse om bruk av Google Chromebook og Workspace for education i skolen. Avgjørelsen konkluderer med at behandlingen av personopplysninger i enkelte deler av tjenestene er ulovlig, da det ikke finnes et rettslig grunnlag i personvernforordningen og nasjonal rett.
53 danske kommuner fikk derfor et påbud om å sørge for at alle personopplysningene som behandles i Google-tjenestene har et tilstrekkelig rettslig grunnlag.
Vedtaket tydeliggjør rammene for hva som er en lovlig bruk av personopplysninger i skolen, etter det danske lovverket. Avgjørelsen drøfter imidlertid problemstillinger som også har relevans for norske kommuners bruk av digitale læringsverktøy i skoleopplæringen. Vi mener at vurderingene av lovlighet, rettslig grunnlag og formålsbegrensning er gode. Dette kan vi bygge videre på i vårt arbeid i Norge. Som avgjørelsen understreker, etterlyser også vi i Norge en sterkere sentral styring av personvernarbeidet i skolesektoren. Viktige spørsmål om hvor omfattende innsamling av personopplysninger vi skal tillate i skolen, og til hvilke formål personopplysningene kan brukes til, må opp på den politiske agendaen.
Digital omvelting i skolen
I Norge har det, som i Danmark, skjedd en digital omvelting av skoleundervisningen. På under ti år har nesten alle norske elever fått hver sin digitale enhet, og vi erfarer at stadig flere skoler velger å ta i bruk skyløsninger. Det er opp til hver enkelt kommune å sørge for at personvernregelverket blir ivaretatt ved innføring og bruk av digitale læreverktøy. Dette forutsetter blant annet at kommunen har kontroll på ansvarsforholdene mellom kommune og leverandør, hvilke personopplysninger som behandles i tjenestene, og at uvedkommende ikke får tilgang til personopplysningene. Dette er en krevende jobb. Kommunene blir ofte presentert for omfattende avtalevilkår, som forutsetter inngående kompetanse innenfor informasjonssikkerhet og personvern. I tillegg, er det vanskelig for hver enkelt kommune å stille krav til store markedsaktører som Google, Microsoft eller Apple. Vi mener at etableringen av en helhetlig og offensiv statlig personvernpolitikk i skolesektoren, som anbefalt i Personvernkommisjonens rapport, vil løse noen av disse utfordringene.
Bakgrunn for den danske Chromebook-saken
Allerede i 2022 nedla det danske datatilsynet et forbud mot bruk av Googles skoleverktøy i Helsingør kommune. Tilsynet mente at personvernregelverket ikke var fulgt på en rekke punkter, deriblant manglende risikovurderinger, utilstrekkelig dokumentasjon av dataflyten i tjenesten, og overføring av personopplysninger til tredjeland, uten et tilstrekkelig overføringsgrunnlag.
Disse vurderingene ble fulgt opp i et større tilsyn, som resulterte i et pålegg til 53 danske kommuner i januar.
Hva handler den danske Chromebook-avgjørelsen om?
Det danske datatilsynet gjennomførte en omfattende kartlegging av ansvarsfordelingen mellom Google og kommunene, og formålene personopplysningene behandles for i tjenestene.
Avgjørelsen konkluderer med at kommunene ikke har tilstrekkelig klar lovhjemmel i folkeskoleloven (tilsvarende norsk opplæringslov) for behandling av elevdata til Googles «egne formål». Dette henviser til Googles bruk av elevenes metadata til vedlikehold og forbedring av Googles generelle tjenester, utvikling av nye funksjoner i tjenestene og måling av yteevne. Avgjørelsen understreker at en slik behandling er et pågående lovbrudd, frem til det skjer en lovendring, eventuelt at Google stopper en slik behandling.
Hva skjer i Norge nå?
Vi har fulgt arbeidet til det danske datatilsynet tett, og mener at flere av vurderingene har overføringsverdi til Norge. Vi anser dette som en viktig avgjørelse, både fordi barn er gitt et særlig vern etter forordningen, og som følge av den omfattende innsamlingen av personopplysninger som skjer i skolen i dag. Det gjenstår likevel å vurdere om bruk av opplæringslova som hjemmelsgrunnlag kan føre til det samme resultatet som i Danmark.
Allerede i 2020 ga vi irettesettelser til tre kommuner for bruk av Google Chromebook. Begrunnelsen var at kommunene ikke hadde tilstrekkelig behandlingsprotokoll, foresatte hadde ikke fått god nok informasjon, og det var heller ikke gjennomført tilstrekkelige risikovurderinger. Et behov for mer veiledning til kommunene førte til opprettelsen av informasjonssiden «Bruk av Google Chromebook og G Suite for Education (og andre skytjenester) i grunnskolen» på Datatilsynets nettsider. Denne har til hensikt å bistå kommunene i etterlevelse av kravene til rettslig grunnlag, informasjon, behandlingsprotokoll og vurdering av personvernkonsekvenser (DPIA).
Etterlyser sterkere sentral styring
EUs forordning om digitale tjenester, Digital Service Act (DSA), er nå til vurdering i EØS/EFTA-landene, før den skal implementeres i norsk rett. DSA sikter mot mer åpne, gjennomsiktige og pålitelige digitale plattformer. Nasjonale tilsynsmyndigheter skal etter DSA ha krav på større innsyn i hvordan selskapene bak de internettbaserte plattformene opererer og hvordan de behandler data. Reguleringen vil også inneholde et forbud mot atferdsbasert markedsføring rettet mot barn. Dette mener vi er et skritt i riktig retning.
Det pågår dessuten et viktig samarbeidsprosjekt mellom regjeringen og KS i etablering av en nasjonal støttetjeneste for personvern og universell utforming. Dette skal være et verktøy som skal bistå barnehage- og skoleeiere i vurderingen av digitale læremidler. KS og Bergen kommune har også satt i gang et prosjekt for å gjennomføre og teste ut en nasjonal vurdering av personvernkonsekvenser (DPIA) for Googles tjenester i skolen. Disse verktøyene skal gjøre det lettere for kommunene å anskaffe digitale læremidler som oppfyller personvernregelverket.
Disse initiativene bidrar til en sterkere sentral styring av personvernarbeidet i skolen, som vil komme både kommunene og elevene til gode. Datatilsynet etterlyser samtidig en bred politisk debatt om personvernet i dagens skole. Det er til syvende og sist vi, som samfunn, som bestemmer hvilket omfang, og til hvilke formål, personopplysningene behandles.
Interessert i skole og personvern?
Kolleger har tidligere blogget om dette temaet, se for eksempel:
- En reklamefri skole uten sporing skulle vel bare mangle? (Line Coll, direktør i Datatilsynet)
- Nå er det tid for personvern i skolen (Line Coll, direktør i Datatilsynet)
- Personvern i skolen er under press (Janne Stang Dahl, kommunikasjonsdirektør i Datatilsynet)
Hvordan skal personopplysninger behandles i valgkamp?
I valgkamp konkurrerer politiske partier om velgernes gunst og makten til å styre samfunnet vårt. Moderne politiske partier kan bruke store mengder personopplysninger for å nå velgergruppene sine – for eksempel når de målretter annonser på sosiale medier, eller...
En personvernguide til Arendalsuka 2021
Etter et års ufrivillig koronapause er tiden igjen inne for en fysisk Arendalsuke. Også i år er Datatilsynet aktivt tilstede, både med egne arrangementer og deltagelse i andres. Vi skal diskutere personvern og klima, personvern i skolen, kommersiell overvåkning,...
Jeg er på ferie, men e-posten din er videresendt sjefen min. God sommer!
Det er sommer, og mange arbeidstakere der ute skal avvikle ferie. Noen arbeidsgivere tenker kanskje at det ville vært praktisk hvis de kunne fått videresendt innkommende e-post i ferien, slik at de ikke går glipp av noe viktig? Datatilsynet har den siste tiden varslet...
GDPR feirer tre år. Er vi i rute?
Det er nå tre år siden GDPR begynte å gjelde i EU. Mye spennende har skjedd, og vi har enda mer i vente. Nå spør Europa seg selv: Var GDPR riktig medisin? GDPR, eller personvernforordningen som det heter på norsk, trådte egentlig i kraft i EU den 24. mai 2016. Det var...
Testing for dummies
Første gang jeg fikk spørsmål om å snakke for det vi litt upresist kan kalle testmiljøet, måtte jeg tenke meg grundig om. Jeg takket selvsagt ja, men jeg grunnet på hva i all verden jeg skulle si. Min første refleksjon var at testing var mindre utfordrende enn vanlig...
En trygg digital oppvekst
Dette innlegget ble holdt på oppstartsmøtet til Barne- og familiedepartementets strategi for trygg digital oppvekst 13. april 2021 En trygg digital oppvekst har vært en viktig satsing for Datatilsynet i mange år. Vi var initiativtaker og er fortsatt aktiv deltager i...
Jeg – en personvernets paternalist
Dette innlegget står på trykk i Morgenbladet 16. april 2021, og er et svar til Kyrre Wathnes kommentar «Personvernentusiastene må tøyles» i samme avis 9. april. Den 9. april fyrer gründer og evolusjonspsykolog Kyrre Wathne av en bredside mot personvernet. Det er...
Kredittvurderinger til besvær
Datatilsynet har den siste tiden ilagt og varslet flere overtredelsesgebyrer for ulovlige kredittvurderinger. Ulovlige kredittvurderinger kan få store økonomiske konsekvenser, og gebyrene varierer i størrelsesordenen 100 000 kroner til 1 000 000,...
Glemmeboken som forsvant
Da jeg gikk på barne- og ungdomskolen, ja på videregående med, både sa og gjorde mine medelever og jeg ukloke, merkelige og dumme ting. For eksempel var «bråtabrann» nærmest en tradisjon hver vår, en tradisjon som nesten satt fyr på skolen. Det var slåsskamper,...
Godt personvern eller kunstig intelligens som kjenner deg godt?
Det kan virke som en umulig oppgave. Men da Datatilsynets nyopprettede regulatoriske sandkasse stilte spørsmålet, var det gledelig mange i det norske KI-miljøet som svarte som Ole Brumm. Ja takk, begge deler! Vi fikk inn 25 søknader til den regulatoriske sandkassen...