Datatilsynet avslører svikt i personvernet i skolene

Hundrevis av læringsverktøy blir ikke vurdert godt nok for personvern. Dette sa Janne Stang Dahl fra Datatilsynet innledningvis da deres rapport om personvern i skolene ble lagt frem 15. mai 2025.

Datatilsynet har sendt brev til 50 kommuner og bedt dem redegjøre for personvernet i de lokale skolene. Dette var en kontroll som kommunene var pliktige å svare på.

Spørsmålene gjaldt både apper og plattformer som blir brukt i undervisningen. Dataprogrammer for administrasjon ble holdt utenfor denne gangen.

På bildet over ser du Fredrik Christensen, Knut André Sande og Kristin Skolt som gjennomførte tilsynet og som står bak rapporten.

Avslørte svakheter i personvernet i skolene

Dette tilsynet viste dessverre at arbeidet med personvern for elever har mange svakheter.

• Kommuner har feil forståelse av hva som er personopplysninger.
• Man tror at personvernreglene ikke gjelder gratistjenester.
• Man tror at personvernreglene ikke gjelder tjenester som ikke krever innlogging.
• Det er mangelfulle rutiner.
• Man mangler oversikt over hvem som har ansvar for hva i kommunen og i skolene.
• Dataverktøyene blir ikke grundig sjekket av kommunen, men av for eksempel rektor eller lærer.
• Mange kommuner tror at så lenge elevene logger inn via Feide, så er alt trygt når det gjelder personvernet. Men Feide er ikke en godkjenningsordning, det er kun en innloggingsordning.
• IKT-oppgaver ivaretas av roller uten tilstrekkelig kompetanse
• Mange forholder seg ikke til om leverandører bruker personopplysninger til sine egne formål.
• Læringsverktøy kan ha som utgangspunkt en forretningsmodell som er basert innsamling, bruk og deling av personopplysninger.

En av kommunene som deltok i brevtilsynet uttrykte at personvern blir stadig vanskeligere, på grunn av kunstig intelligens.

I 2021 ga Datatilsynet et gebyr på 50.000 kroner til en kommune som hadde bedt elevene bruke en treningsapp som kommunen ikke hadde sjekket godt nok for personvern. Men runden med de femti kommunene som ble gjennomført nå i 2025, hadde ikke til hensikt å utstede gebyrer, runden var ment som veiledning og for å få oversikt over tilstanden.

Mangler databehandleravtaler

Datatilsynets kontroll viser at de pålagte databehandleravtalene noen ganger kan mangle helt. Kontrollen avslørte også at i noen kommuner var oversikten over digitale læringsverktøy svært kort, rapporten sier: «For disse kommunene er det dermed sannsynlig at databehandleravtaler mangler for mange digitale læringsverktøy som i praksis brukes i skolene. Enkelte kommuner anerkjente at de per i dag ikke har oversikt over digitale læringsverktøy og om de har databehandleravtaler.»

En pappa som Barnevakten hadde kontakt med i fjor, var på dette sporet allerede da. Han oppdaget at flere databehandleravtaler manglet signatur og at det var tegn på slurv. Men hverken personvernombudet i kommunen eller statsforvalteren ga ham tilfredsstillende svar. Barnevakten har tidligere foreslått at avtaler bør ligge åpent slik at foreldre kan få innsikt i rammene som barna deres har på skolene.

Man bør være mer skeptisk til gratistjenester

Datatilsynet skriver i rapporten at man bør være mer skeptisk til digitale læringsverktøy som ikke koster penger. Det er nettopp gratisapper som oftere har forretningsmodeller som knytter seg til reklame, profilering og videresalg av personopplysninger.

Vanskelig å ha reelle forhandlinger

Kommunene kan oppleve press fra leverandørene om å ikke forhandle om avtaleteksten, og at dette betyr betingelser som gir dårligere personvern (se side 51 i rapporten). Et annet problem er at en leverandør kan ha mange underleverandører, det gjør personvernet uoversiktelig.

Hver tredje kommune dropper Kripos-filter

Datatilsynet stilte også kommunene noen spørsmål som det var frivillig å svare på. Av de 41 som svarte, opplyste kun 27 at de har innført blokkeringsfilteret fra Kripos.

Inviterte alle kommunene til Datatilsynet

Noen få kommuner hadde i tillegg å sende inn svar per brev, også fått Datatilsynet på besøk. En av kommunene uttrykte at det var skummelt å få tilsyn, men at de ansatte fra Datatilsynet oppførte seg vennlig og profesjonelt, og at det var egentlig var bra å få tilsyn. En slik kommune hadde bare 7000 innbyggere.

Nasjonal tjenestkatalog kommer 22. mai

Da rapporten ble lagt frem, var det til slutt panelsamtale. Også der kom det frem at mange kommuner mener det er for vanskelig for små kommuner å kontrollere alle læremidlene, det er dessuten veldig mye dobbeltarbeid når alle kommunene skal sjekke de samme appene for personvern. Mange kommuner ønsker seg derfor en nasjonal ordning som kan gjøre jobben for alle kommunene.

Kunnskapsminister Kari Nessa Nordtun opplyste at en felles tjenestekatalog for skoleapper kommer 22. mai 2025.

Barnevakten har selv en tjenestekatalog over skoleressurser innen nettvett og tilstøtende temaer. I 2022 hadde vi et pilotprosjekt om hvordan personvernet i den enkelte ressurs først kunne sjekkes og deretter formidles. Les mer om dette pilotprosjektet.

I panelsamtalen deltok:

• Kunnskapsminister Kari Nessa Nordtun
• Maja Lunde, medieviter og forfatter
• Kristin Weidemann Wieland, områdedirektør i KS
• Line Coll, direktør i Datatilsynet

Les rapporten «Funn fra skoletilsynet» fra Datatilsynet.

Les også

Danmark advarer mot Microsoft i skolen