Hva betyr den danske Chromebook-saken for Norge?
Datatilsynet har i lengre tid etterlyst sterkere sentral styring av personvernarbeidet i norsk skole. En avgjørelse fra Datatilsynet i Danmark gir oss enda en mulighet til å løfte opp temaet på den politiske dagsordenen.
Den 30. januar kom det danske datatilsynet med en oppsiktsvekkende avgjørelse om bruk av Google Chromebook og Workspace for education i skolen. Avgjørelsen konkluderer med at behandlingen av personopplysninger i enkelte deler av tjenestene er ulovlig, da det ikke finnes et rettslig grunnlag i personvernforordningen og nasjonal rett.
53 danske kommuner fikk derfor et påbud om å sørge for at alle personopplysningene som behandles i Google-tjenestene har et tilstrekkelig rettslig grunnlag.
Vedtaket tydeliggjør rammene for hva som er en lovlig bruk av personopplysninger i skolen, etter det danske lovverket. Avgjørelsen drøfter imidlertid problemstillinger som også har relevans for norske kommuners bruk av digitale læringsverktøy i skoleopplæringen. Vi mener at vurderingene av lovlighet, rettslig grunnlag og formålsbegrensning er gode. Dette kan vi bygge videre på i vårt arbeid i Norge. Som avgjørelsen understreker, etterlyser også vi i Norge en sterkere sentral styring av personvernarbeidet i skolesektoren. Viktige spørsmål om hvor omfattende innsamling av personopplysninger vi skal tillate i skolen, og til hvilke formål personopplysningene kan brukes til, må opp på den politiske agendaen.
Digital omvelting i skolen
I Norge har det, som i Danmark, skjedd en digital omvelting av skoleundervisningen. På under ti år har nesten alle norske elever fått hver sin digitale enhet, og vi erfarer at stadig flere skoler velger å ta i bruk skyløsninger. Det er opp til hver enkelt kommune å sørge for at personvernregelverket blir ivaretatt ved innføring og bruk av digitale læreverktøy. Dette forutsetter blant annet at kommunen har kontroll på ansvarsforholdene mellom kommune og leverandør, hvilke personopplysninger som behandles i tjenestene, og at uvedkommende ikke får tilgang til personopplysningene. Dette er en krevende jobb. Kommunene blir ofte presentert for omfattende avtalevilkår, som forutsetter inngående kompetanse innenfor informasjonssikkerhet og personvern. I tillegg, er det vanskelig for hver enkelt kommune å stille krav til store markedsaktører som Google, Microsoft eller Apple. Vi mener at etableringen av en helhetlig og offensiv statlig personvernpolitikk i skolesektoren, som anbefalt i Personvernkommisjonens rapport, vil løse noen av disse utfordringene.
Bakgrunn for den danske Chromebook-saken
Allerede i 2022 nedla det danske datatilsynet et forbud mot bruk av Googles skoleverktøy i Helsingør kommune. Tilsynet mente at personvernregelverket ikke var fulgt på en rekke punkter, deriblant manglende risikovurderinger, utilstrekkelig dokumentasjon av dataflyten i tjenesten, og overføring av personopplysninger til tredjeland, uten et tilstrekkelig overføringsgrunnlag.
Disse vurderingene ble fulgt opp i et større tilsyn, som resulterte i et pålegg til 53 danske kommuner i januar.
Hva handler den danske Chromebook-avgjørelsen om?
Det danske datatilsynet gjennomførte en omfattende kartlegging av ansvarsfordelingen mellom Google og kommunene, og formålene personopplysningene behandles for i tjenestene.
Avgjørelsen konkluderer med at kommunene ikke har tilstrekkelig klar lovhjemmel i folkeskoleloven (tilsvarende norsk opplæringslov) for behandling av elevdata til Googles «egne formål». Dette henviser til Googles bruk av elevenes metadata til vedlikehold og forbedring av Googles generelle tjenester, utvikling av nye funksjoner i tjenestene og måling av yteevne. Avgjørelsen understreker at en slik behandling er et pågående lovbrudd, frem til det skjer en lovendring, eventuelt at Google stopper en slik behandling.
Hva skjer i Norge nå?
Vi har fulgt arbeidet til det danske datatilsynet tett, og mener at flere av vurderingene har overføringsverdi til Norge. Vi anser dette som en viktig avgjørelse, både fordi barn er gitt et særlig vern etter forordningen, og som følge av den omfattende innsamlingen av personopplysninger som skjer i skolen i dag. Det gjenstår likevel å vurdere om bruk av opplæringslova som hjemmelsgrunnlag kan føre til det samme resultatet som i Danmark.
Allerede i 2020 ga vi irettesettelser til tre kommuner for bruk av Google Chromebook. Begrunnelsen var at kommunene ikke hadde tilstrekkelig behandlingsprotokoll, foresatte hadde ikke fått god nok informasjon, og det var heller ikke gjennomført tilstrekkelige risikovurderinger. Et behov for mer veiledning til kommunene førte til opprettelsen av informasjonssiden «Bruk av Google Chromebook og G Suite for Education (og andre skytjenester) i grunnskolen» på Datatilsynets nettsider. Denne har til hensikt å bistå kommunene i etterlevelse av kravene til rettslig grunnlag, informasjon, behandlingsprotokoll og vurdering av personvernkonsekvenser (DPIA).
Etterlyser sterkere sentral styring
EUs forordning om digitale tjenester, Digital Service Act (DSA), er nå til vurdering i EØS/EFTA-landene, før den skal implementeres i norsk rett. DSA sikter mot mer åpne, gjennomsiktige og pålitelige digitale plattformer. Nasjonale tilsynsmyndigheter skal etter DSA ha krav på større innsyn i hvordan selskapene bak de internettbaserte plattformene opererer og hvordan de behandler data. Reguleringen vil også inneholde et forbud mot atferdsbasert markedsføring rettet mot barn. Dette mener vi er et skritt i riktig retning.
Det pågår dessuten et viktig samarbeidsprosjekt mellom regjeringen og KS i etablering av en nasjonal støttetjeneste for personvern og universell utforming. Dette skal være et verktøy som skal bistå barnehage- og skoleeiere i vurderingen av digitale læremidler. KS og Bergen kommune har også satt i gang et prosjekt for å gjennomføre og teste ut en nasjonal vurdering av personvernkonsekvenser (DPIA) for Googles tjenester i skolen. Disse verktøyene skal gjøre det lettere for kommunene å anskaffe digitale læremidler som oppfyller personvernregelverket.
Disse initiativene bidrar til en sterkere sentral styring av personvernarbeidet i skolen, som vil komme både kommunene og elevene til gode. Datatilsynet etterlyser samtidig en bred politisk debatt om personvernet i dagens skole. Det er til syvende og sist vi, som samfunn, som bestemmer hvilket omfang, og til hvilke formål, personopplysningene behandles.
Interessert i skole og personvern?
Kolleger har tidligere blogget om dette temaet, se for eksempel:
- En reklamefri skole uten sporing skulle vel bare mangle? (Line Coll, direktør i Datatilsynet)
- Nå er det tid for personvern i skolen (Line Coll, direktør i Datatilsynet)
- Personvern i skolen er under press (Janne Stang Dahl, kommunikasjonsdirektør i Datatilsynet)
Kriselov i koronatider: Blir viktige hensyn ivaretatt?
Under pandemien innførte Stortinget en kriselov som sidesatte vanlige demokratiske prosesser og lot regjeringen innføre nye midlertidige tiltak i ekspressfart. Men kan midlertidige løsninger gi varige konsekvenser? Stortinget innførte kriseloven i mars 2020. Formålet...
Trenger hjernen egne rettigheter?
Denne bloggen er basert på et innlegg som jeg holdt på lanseringen av Dag Hareides bok «Mennesket og teknomakten» i september, og er derfor muntlig i formen. Mennesket, hjernen og teknologi er et interessant, skummelt og fortsatt litt science fiction-aktig tema. Det...
Influensatrender
Koronapandemien avdekker hvor mye verden har endret seg det siste tiåret. Kampen mot koronaviruset foregår over hele verden og på mange fronter samtidig. En viktig frontlinje er forsøkene på å etablere systemer som kan spore smitte og bryte smittekjeder mer effektivt...
Koronasvindlerne
Koronapandemien har vist at også cyberkriminelle vet å omfavne en god krise. Mange forbinder cyberkriminalitet utelukkende med tradisjonell hacking – å utnytte tekniske sårbarheter i datasystemene for å bryte seg inn i dem. Av den grunn er det også mange som knytter...
Hardere fronter i arbeidslivet? Kontroll og sporing i en krisesituasjon
Arbeidstakere har rett til personvern og privatliv også når de er på jobb. Denne retten har blitt utfordret av koronapandemien, hvor arbeidsgivere har hatt et legitimt behov for å innføre kontrolltiltak for å redusere smitterisiko på arbeidsplassen. Et viktig spørsmål...
Digitaliseringen av skolesektoren krenker elevenes personvern
Det nærmer seg skolestart og snart vender mange tusen elever forventningsfulle tilbake til skolebenken. Datatilsynet frykter at de vender tilbake til en skole som mangler kompetanse og ressurser til å sikre deres personopplysninger. (Denne kronikken er skrevet i...
Koronaskolen: alt nytt på hjemmeskolefronten
Da samfunnet stengte ned i mars, ble vi alle kastet ut i ukjent territorium. Arbeidsplasser og restauranter skalket lukene. Å vandre gatelangs i Oslo på kveldstid minnet om å bevege seg i et dystopisk framtidsscenario. Den levende byen ble over natten nærmest...
Pandemi og personvern
I en tid hvor pandemier dominerer folks bevissthet har personvern aldri vært mer aktuelt. Følg med på vår bloggserie om pandemi og personvern til høsten. Da de siste dagene av 2019 ebbet ut og vi entret et nytt tiår, kunne vi se tilbake på et år hvor personvern hadde...
Ny lov om etterretningstjenesten: Hva er egentlig vedtatt?
Torsdag 11. juni ble forslaget til ny lov om etterretningstjenesten (e-lov) vedtatt i Stortinget. Sjelden har et overvåkningstiltak vært gjenstand for så mye debatt og kritikk. Det er selvsagt en tid for alle, også for oss i Datatilsynet, å sette punktum. Men vi må...
Personvern i en krisetid
Hvilke tiltak vi iverksetter i dag vil ikke bare påvirke hvordan pandemien utvikler seg, men også hvilket samfunn vi skal leve i når sykdommen har rast fra seg. Den viktigste oppgaven i verden nå er å håndtere koronapandemien. Det er så viktig at vi setter nesten alt...