Sviktende personvern da kommuner innførte Googles skoleløsning

Datatilsynet retter pekefinger mot kommunene Bergen, Sandnes og Strand. Det betyr ikke at alle de andre kommunene i Norge har alt på stell ved sine skoleløsninger, for det er bare de tre kommunene som Datatilsynet har undersøkt etter at foreldre klaget dem inn.

Skolene har som regel flere dataløsninger som veves inn i hverandre, man kan ha både administrasjonsløsninger, undervisningsløsninger og enkeltstående apper. I datasystemet som vi gjerne kaller «skoleløsning», kan elevene komme seg på internett eller benytte grunnleggende programmer innen skriving, regning og presentasjon.  Her kan de også chatte med andre elever eller ha videomøter med klassen eller læreren.

I grunnskolen i Norge kjøper man inn skoleløsning fra enten Google, Apple eller Microsoft. De tre kommunene som Datatilsynet sjekket, hadde Googles skoleløsning.

– Det ble avdekket betydelige mangler, og flere av dem var felles for de kommunene som ble undersøkt. De har derfor fått varsel om irettesettelse, sier Bjørn Erik Thon, direktør i Datatilsynet.

Bergen kommune har tidligere hatt Datatilsynet på nakken, i mars 2020 fikk Bergen en gebyr på 1,6 millioner kroner fordi brukernavn og passord til over 35.000 brukere hadde ligget tilgjengelig for elever og ansatte i grunnskolen. En mye brukt dataløsning i skolene er Feide, og via Feide kan man komme inn i Efeide, det var der personopplysningene i Bergen lå tilgjengelig.

 

Kunne se hverandres personopplysninger

I Googles skoleløsning bruker man datamaskiner som kalles Chromebook. Datatilsynet skriver til Strand kommune:

«Ved utdeling av Chromebook til elevene i første og andre klassetrinn, ble det i oppstartsfasen benyttet intuitive brukernavn og felles passord. Det var i tillegg mulig å chatte på andre elevers konto. Som en konsekvens av dette kunne søsken, foresatte og medelever få tilgang til personopplysninger om andre elever.»

Svakt behandlingsgrunnlag

Man skal ha gode grunner for å samle inn hver enkelt personopplysning, slik som adresse, kjønn, porttrettbilde, hobby og så videre, man kan ikke bare vise til noe generelt om at skolen skal drive undervisning.

Datatilsynet skriver til Strand at kommunen har plikt til å føre protokoll og at protokollen fra Strand er mangelfull:

«Datatilsynet har gjennomgått protokollen, og finner at den har flere mangler. Blant annet er behandlingsgrunnlaget for bruk av G suite for Education uklart. Strand kommune angir «avtale»og «samtykke» som behandlingsgrunnlag, men henviser også til hjemmel i opplæringslova. Dette utgjør tre ulike behandlingsgrunnlag, hvor to av dem er ugyldige for den gjeldende behandlingen.»

• Datatilsynets veileder om behandlingsgrunnlag

Kravene i regelverket

I slike skoleløsninger skal personvernet være bygd inn i teknologien. Alle innstillinger som kan påvirke personvernet skal være stilt inn på det mest personvernvennlige alternativet, skriver Datatilsynet på sine nettsider.

Skoleeiere er også pliktige til å gjennomføre risikovurderinger samt vurdere personvernkonsekvenser før man innfører digital skoleløsning, men dette var ikke utført godt nok i de tre kommunene som ble sjekket.

Foreldre er skeptiske til Google

Google lever av å samle inn opplysninger om brukerne, men lover å ikke overvåke elever som benytter Googles skoleløsning. I Sandnes foreslo noen foreldre at elevene burde kunne bruke kallenavn og ikke ekte navn i Google-kontoene, for å redusere risikoen for profilering. De foreslo også at man burde kunne velge å logge seg på skoleløsningen med for eksempel en Ipad og ikke en Google-vennlig maskin, for å unngå at lokasjonsdata skulle bli lagret og delt med Google. I følge klagen har Sandnes kommune avvist denne anmodningen, skriver Datatilsynet.

Loggfører elevenes aktiviteter

I Bergen må elevene underskrive en dataavtale med skolen før de benytter skoleløsningen fra Google. En av påstandene som elevene må erklære seg enig i, er denne:

«Jeg vet at all aktivitet i skolens datanettverk blir loggført og at data kan bli sporet tilbake til den enkelte som har produsert dataene.»

Datatilsynet skriver til Bergen kommune at den ikke skal loggføre innholdet i elevenes kommunikasjon. Kommunen presiserer at det er kun snakk om loggføring av metadata for tjenesten Meet (videomøter).

Dermed er det ikke klinkende klart for en utenforstående å vite hva som egentlig loggføres i Bergen. Hva er forskjellen på «all aktivitet», «metadata» og «kommunikasjon»?

Datatilsynet skriver: «Kommunen må sørge for at elever og foresatte er tilstrekkelig informert om hva som loggføres og hva som ikke loggføres, slik at dere ikke gjør urettmessige inngrep i barnas ytringsfrihet.»

Det er nettopp slike poenger Barnevakten har etterlyst når det gjelder skoleløsninger: Hva loggføres? Hvem har tilgang til loggene? Når slettes loggene? For at foreldrene skal få klarhet i det, har vi etterlyst nasjonale retningslinjer for skoleløsninger og vi har foreslått at foreldre og skole inngår dataavtale.

Følelsen av overvåking svekker demokratiet

Datatilsynet skriver til Bergen kommune:

«Hvis elevene føler seg overvåket kan dette skape en nedkjølingseffekt og forhindre fri meningsutveksling. Fri meningsutveksling er en sentral del av ytringsfriheten og en forutsetning for fri meningsdannelse. Vi legger videre til grunn at kommunen har definert spesifikke og uttrykkelige formål for loggføringen, og at dere har iverksatt tiltak for å hindre snoking i loggene.»

Også dette har Barnevakten vært innom tidligere, i denne artikkelen om overvåking av elever.

Avtalehull i Googles nettleser

Google lover som sagt i vilkårene å ikke lage profiler av elevene. Men ifølge Datatilsynet kan både Google og andre selskaper benytte nettleseren i Googles skoleløsning til å lage markedsføringsprofiler av elevene, for nettleseren er ikke en del av avtalen med skolene.

 

– Digitaliseringen i den norske skolen ble iverksatt før myndighetene hadde laget gode planer og regelverk for å sikre elevenes personvern og hindre at elevene utsettes for skadelig innhold. Vi setter pris på at Datatilsynet dokumenterer at det faktisk har vært en grunnleggende svikt i arbeidet med digitaliseringen. Men det er beklagelig at slik dokumentasjon først kommer når det er foreldre som reagerer og klager til myndighetene, sier Leif Gunnar Vestbøstad Vik som er daglig leder i Barnevakten.

Foreldre som velger at barna ikke benytter seg av de digitale skoleløsningene, for å beskytte barna mot usikkert personvern, kan teoretisk påføre barna sine dårligere avgangskarakterer. For hvis eleven reduserer sin bruk av skoleløsningen, i frykt for at skoleløsningen lekker data, da kan det hende læreren sier at engasjementet til eleven er for svakt eller at eleven ikke får levert inn alle obligatoriske oppgavene på skolen.

Kommunene har også informasjonsplikt

Mangelfull informasjon fra skolen er noe foreldre gjerne kontakter Barnevakten om. Flere skoler henviser foreldrene videre til kommunen sentralt eller til Googles jungel av vilkår.

Datatilsynet skriver til Strand at kommunen bør gi tydelig informasjon om hvor skolens ansvar stopper og foreldrenes ansvar begynner:

«Hvis det er slik at barna kan bruke Chromebook til private formål, og for eksempel kan logge inn med private kontoer gjennom nettleseren, bør kommunen informere tydelig om personvernrisikoene som kan oppstå ved privat bruk. Det er Datatilsynets vurdering at Strand kommune verken har gitt tilstrekkelig informasjon eller sørget for en god nok prosess for informasjon til å tilfredsstille kravene i personvernforordningen artikkel 5 nr. 1 bokstav a og artiklene 12-14. Sakens dokumenter viser at Strand kommune ikke har gjort en god nok kartlegging av behandlingen selv, og dermed heller ikke har vært i stand til å gi de foresatte og elever den informasjonen de har krav på.»

Ny veileder fra Datatilsynet

Etter svakhetene i de tre kommunene ble avdekket, har Datatilsynet laget en veileder til skoler som skal benytte Googles skoleløsning G Suite for Education.

Er elevene pliktige til å bruke skoleløsningen?

Veilederen fra Datatilsynet indikerer at elever er pliktige til å benytte den skoleløsningen kommunen innfører og at samtykke fra foreldrene eller elevene ikke er relevant. Det finnes likevel en sikkerhetsventil. En protest fra en foresatt må i tilfelle være grunnet i en «særlig situasjon» for eleven.

Situasjonen er en annen hvis det er snakk om profilering av elevene, da må kommunene få samtykke, ifølge Datatilsynet som anbefaler at kommunene ikke tar i bruk tjenester som innebærer profilering.

– Elevene har generelt plikt til å benytte de fasiliteter som skolen ber dem å bruke, slik som gymsal, bøker og klasserom. Men dersom disse innebærer fare, for eksempel at bøkene dunster giftig stoff eller at taket i gymsalen er i ferd med falle ned, da må selvsagt foreldrene kunne protestere. Det samme bør gjelde skoleløsninger dersom de er dårlig skrudd sammen. Opplæringsloven legger til grunn at det er foreldrene som har ansvaret for at barna får en forsvarlig opplæring basert på gjeldende læreplaner, sier Leif Gunnar Vestbøstad Vik.

Respons fra kommunene

– Vi er glade for at Datatilsynet nå har laget nettsider med veiledning for innføring skoleløsninger som «G Suite for Education», dette er et nyttig verktøy for oss. I tillegg tar vi nå initiativ til regionalt samarbeid for å lykkes best mulig i dette arbeidet. Bergen Kommune har et stort fokus på personvern og informasjonssikkerhet og jobber løpende og systematisk med risikovurderinger og tiltak knyttet til de datasystemene vi bruker. Dataløsninger for elever er komplekse saker som krever stor innsats, vi vil bruke tilbakemeldingen fra Datatilsynet til å forbedre oss ytterligere, sier Trine Samuelsberg som er kommunaldirektør i byrådsavdeling for barnehage, skole og idrett i Bergen.

– Sandnes kommune har hatt stort fokus på å utbedre de merknader Datatilsynet har hatt i forbindelse med Google sin skoleløsning. Alle avvik er nå lukket, det viser også Datatilsynet til i slutten av sitt brev, forteller Hege Egaas Røen som er konstituert kommunaldirektør for Oppvekst skole i Sandnes.

– Vi er fornøyd med at Strand kommune er blant de første kommunene som fikk tilsyn, det betyr at sannsynligheten for å gjøre store tabber reduseres ved at vi blir bevisst på de smutthullene som Datatilsynet påpeker i sine irettesettelser, sier Guro Harboe Ur som er kommunalsjef i Strand kommune.

Hun forteller at kommunen har høyt fokus på informasjon og personvern og jobber kontinuerlig med kartleggingsarbeid og opplæring på dette området. Etter å ha mottatt henvendelsen fra Datatilsynet er kommunen i gang med en rekke tiltak:

• Nye kontrakter som sikrer at kommunen får beskjed i god tid dersom leverandørens vilkår endres på en slik måte at det går ut over personvernet.
  
• Informativ hjemmeside til innbyggerne og foreldrene: «Den digitale Strandaskolen».
  
• Revidert personvernerklæring og egen personvernerklæringsskjema for skolene.
  
• Registrering i Draftit (personvernhjelp).
  
• Revisjon av risikovurderingen.

Strategien til datagigantene

Mye i disse skoleløsningene er gratis. Strategien fra de globale selskapene er antagelig at det lønner seg å påvirke barn så tidlig som mulig slik at de blir faste brukere gjennom ti års skolegang og velger å betale for tjenester når de blir voksne, eller kanskje tidligere.

– Skoleløsninger er også markedsføringsprosjekter fra de globale gigantene. Samtidig erfarer vi at foreldrene blir mindre aktive i barnas skolehverdag etter digitaliseringen de siste årene, de får ikke svar på spørsmål om skolens digitale praksis og må mase veldig for å få til mikroskopiske endringer lokalt. Vi i Barnevakten ser selvsagt fordelen av å benytte løsninger fra globale selskaper, for de løsningene er gjerne oppe og går svært raskt, har nyeste teknologi og er billige. Alternativet er i tilfelle at staten utvikler en skoleløsning, men det er ikke å foretrekke, for vi har har nok av kostbare dataskandaler i Norge fra før av. Men biter av en skoleløsning kan gjerne staten løse, slik som for eksempel et felles filter mot skadelig innhold. Man hadde også vært en mye sterkere forhandlingspartner overfor Google hvis staten satte felles krav for alle skolene i Norge. Det vi uansett etterlyser, er at man gjør bedre forarbeid før man ruller ut skoleløsninger, og at skolene har strategier for hvordan de kan involvere foreldrene på en god måte, sier Leif Gunnar Vestbøstad Vik.

• Datatilsynets omtale av de tre kommunene som ble sjekket
• Datatilsynets brev til Sandnes kommune
• Datatilsynets brev til Strand kommune
• Datatilsynets brev til Bergen kommune

Les også

Barnevakten har skrevet en rekke artikler om skoleløsninger, vi har pekt på risikoen i løsningene og at det mangler nasjonale retningslinjer som bør komme i tillegg til personvernreglene som allerede finnes for samfunnet generelt.

• Digitale skoleløsninger uten nasjonale retningslinjer
• – Kommunene har ikke kompetanse til å vurdere Googles skoleløsning
• New Mexico til søksmål om Googles skoleløsning
• Barnevakten anbefaler dataavtale
• Klaget Googles skoleløsning inn for Datatilsynet
• Risikoen i de digitale skoleløsningene
• Vet du hvem barnet ditt chatter med i skoleløsningen?
• Er det 13-årsgrense for digitale skoleløsninger?
• Googles skoleløsning – dette bør foreldre vite
• Politiet ber skolene blokkere nettsider
• «Glemte» vi å investere i barnas nettsikkerhet på skolen?
• USA fikk skjermfilter på skolen 20 år før Norge
• Hvor mye elevdata er det ok å samle inn?
• Skolene må skjule skadelig innhold på barnas skjermer
• Nettfilter i skoler og barnehager: Historisk oversikt

---

Tips og råd om nettvett hver uke, samt tilgang til webinarer om nettvett: Bli medlem av Barnevakten.

Lærere, her er undervisningsressurser om nettvett.