Barnevaktens pilotprosjekt om personvern

Norske skoler ber elevene bruke ulike apper og ressurser, en del av disse handler om nettvett. Barnevakten har samlet omtaler av norske nettvettressurser i en oversikt som kan sorteres på ulike måter slik at det blir enkelt for lærere å finne en passende film, quiz eller oppgave. Vi viser hva ressursene går ut på og hvor man kan laste dem ned eller bestille dem. 

Men hva med personvernet i slike ressurser? Det er skoleeieren, som regel kommunen, som har ansvaret for sjekke personvernet før læreren ber elevene ta ressursene i bruk. Men det hadde vært fint om lærere allerede i Barnevaktens oversikt fikk informasjon om personvernet. Og det er nettopp det som er det langsiktige målet vårt.

I vår oversikt viser vi også ressurser som kan være nyttige for foreldre, for eksempel på foreldremøte. I vårt pilotprosjekt om personvern er det kun foreldreressursene som får en personvernsjekk. 

Senere håper vi som sagt å kunne utvide med sjekk av nettvettressurser som skal brukes av elever.

Det er mange som mener at Staten må inn og lage en tjenestekatalog for alle undervisningsressurser og at Staten da samtidig må ta en personvernsjekk av hver enkelt ressurs, noe som i dag er lagt til kommunene å gjennomføre. Det finnes tusenvis av apper og ressurser for undervisning i skolene, det er dobbeltarbeid når hver eneste kommune må ta personvernsjekk av alle ressurser som lærere ønsker å bruke.

Dersom Staten lager en tjenestekatalog, og den inneholder også en personvernsjekk, åpner det for at vi kan vise konklusjonene fra Staten i våre egne oversikter over nettvettressurser. En statlig løsning ligger uansett flere år frem i tid, så la oss nå først konsentrere oss om foreldreressursene, det er det vår pilot handler om: 

Selvrapportering om personvern

Vår personvernsjekk går ut på at vi stiller spørsmål til den som har laget ressursen, det foregår via et selvrapporteringsskjema. Også en eventuelt statlig løsning må foregå på samme måte, man må stille spørsmål og stole på at man får riktige svar. Så kan det være at det på et senere tidspunkt viser seg at svarene enkelte ganger ikke er riktige, og da retter man ganske enkelt opp i det.  

Alternativet til selvrapportering er i tilfelle ganske så utopisk, da må Staten lese gjennom samtlige programkoder i undervisningsressursen (som kan være alt fra en app til en PDF) og videre sjekke alle koder på utgiverens server og nettverk, i tillegg til at staten må plassere en spion i kantinen hos hver eneste utgiver for å finne ut hvordan det egentlig står til med personvernet. Men slike tiltak er enten etisk eller økonomisk uaktuelle. 

Det er nær en utømmelig liste over personvernspørsmål man kan stille en leverandør av skoleressurser eller foreldreressurser. Her er et eksempel på hva vi har utelatt fra skjemaet vi sender til leverandørene av foreldressurser i denne piloten: 

Det er ikke lov til å lagre personopplysninger på servere utenfor EU og EØS. Vel, det finnes noen unntak, men i hovedsak må man holde seg til EU/EØS. Bakgrunnen er at utenfor EU/EØS kan det være dårligere rettigheter ved personopplysninger. I for eksempel USA og Kina har myndighetene rett til å kikke på persondata som bedrifter har samlet inn.

Et naturlig spørsmål i vårt skjema kunne derfor ha vært å ta opp hvor persondataene lagres. Men heller ikke det er nok. Man bør også spørre hvilket selskap som eier serveren. For hvis det for eksempel er et ikke-europeisk selskap som eier en server som ligger i EU, og dine persondata ligger på den serveren, så kan det hende at myndighetene fra det ikke-europeiske landet likevel krever å få innsyn i dine persondata uten at du får vite noe. 

Det tryggeste spørsmålet må i tilfelle være todelt, både om serveren ligger i EU/EØS og om den eies av et selskap som holder til i EU/EØS. Men dette kan være for vanskelig å svare på for små leverandører som bruker kreftene på pedagogikk og som for øvrig ikke er dataeksperter. Dersom vi stiller for mange og for vanskelige spørsmål, vil vi kanskje ikke få inn noen svar. Eller det kan være at leverandøren bare begynner å gjette svar for å komme i mål med «bryderiet».  

Et annet eksempel: Dersom ressursen inneholder åpne felt der brukeren kan skrive inn hva som helst, kan det bety at enkelte brukere legger igjen personopplysninger uten å tenke seg om. Dette er et av spørsmålene vi har fjernet i piloten for å komme ned i en overkommelig skjemalengde. Men vi har ikke fjernet spørsmål om ressursen inneholder oppgaver der brukeren bes fortelle om seg selv eller andre, for i slike tilfeller bidrar ressursen aktivt til at det legges igjen persondata.

Personvern handler altså ikke bare om hva en ressurs samler inn av persondata for eksempel ved innlogging, men også om hvilke oppgaver ressursen ber foreldre, lærere eller elever utføre. En skoleoppgave kan i teorien bety at brukerne blir bedt om å spre personopplysninger, for eksempel ved å ta bilder hverandre og legge disse ut i sosiale medier.

Enda et spørsmål som vi har hoppet over, er om persondataene er krypterte. Noen vil rive seg i håret av at vi ikke har tatt med spørsmål om dette, men vi har ikke som mål å lage en uttømmende sjekk. Vi skal dekke mange områder innen personvern, men ikke alle.

Et spørsmål vi har valgt å ta med, så langt, er om leverandøren har skriftlige bestemmelser over hvem i virksomheten som har anledning til å behandle eller kikke på persondata. Vi har vurdert den interne risikoen hos leverandøren som større enn om dataene er krypterte eller ikke på veien mellom brukeren og leverandøren. Men vi tar gjerne i mot råd og tips til våre vurderinger, hvilke spørsmål bør med og hvilke kan kappes i personvernskjemaet vårt?

Et spørsmål i skjemaet handler om man i ressursen kan kjøpe noe eller bestille noe. Vi spør om dette fordi ressursen kommer da til å samle inn personopplysninger, man må jo kunne sende varene til en e-postadresse eller gateadresse. Det kan altså hende at ressursen ikke samler inn personopplysninger i det ressursen tas i bruk, men så samles det inn personopplysninger dersom brukeren velger å kjøpe noe inne i ressursen. 

Siden vi ikke stiller tusen spørsmål, er det lett å kritisere oss for å ikke dekke et bestemt område innen personvern. Men som sagt må også et eventuelt skjema fra Staten måtte sette strek et sted.  Staten har for øvrig makt til å sette ufravikelige krav, og kan kreve at leverandørene må svare på svært mange spørsmål. Vi i Barnevakten kan kun spille på motivasjon hos leverandørene.

Foreldre har ansvaret selv

Barnevaktens har ikke plikt til å sjekke personvernet i de ressursene som foreldre ønsker å ta i bruk på foreldremøte, vi yter kun litt ekstra service i denne piloten. Ved ressurser som skal brukes av elever, er det som nevnt skoleeier som har ansvaret for å sjekke personvernet.

Barnevakten har i flere år etterlyst statlige retningslinjer for digitale skoleløsninger. Når nå mange etter hvert mener at staten skal overta personvernsjekken for skoleeierne, i form av en tjenestekatalog, da tvinger man samtidig Staten til å ta stilling til hvor bra personvernet skal være i appene som elevene bruker. Skal det være nulltoleranse for innsamling av personopplysninger? Eller setter man strek etter at navn og bilde er samlet inn?

Så langt vi forstår, mangler det tydelige retningslinjer, derfor kan to ulike kommuner konkludere ulikt. En kommune kan si ja til en app mens nabokommunen sier nei.

Når det gjelder ressurser som foreldrene tar i bruk på foreldremøter, kan det hende at barna blir involvert. Da har ikke skoleeieren noe ansvar for å sjekke personvernet, for det hele foregår utenfor skoletid og det er foreldrene som har tatt initiativet. Da vil vår personvernsjekk være til hjelp for foreldrene.

Konklusjonen er enten grønn, gul eller rød

Opplegget i vår pilot går altså ut på at vi ber leverandøren svare på en rekke spørsmål om personvern. Finner vi svakheter, gir vi merknader som foreldre kan lese og selv gjøre seg opp en mening om de likevel synes det er greit å ta ressursen i bruk. Det er ikke slik at enhver innsamling av personopplysninger betyr at man ikke bør bruke en ressurs. Personopplysninger, profilering og algoritmer kan gjøre ressursen mer pedagogisk å bruke. 

Når Barnevakten skal gi en oppsummering av personvernet i den enkelte ressurs, vil det komme til uttrykk i tre hovedkonklusjoner:

• Grønt lys: Barnevaktens personvernsjekk gir grønt lys til ressursen. Den samler ikke inn personopplysninger. Dette gjelder «flate» produkter som video, papirark eller lignende som ikke har interaktivitet.
  
• Gult lys: Barnevaktens personvernsjekk utløser én eller flere merknader. De aller fleste ressurser får gult lys. Husk at persondata kan gjøre ressursen mer pedagogisk og morsom å bruke, så gult lys er ikke i seg selv grunn til å droppe ressursen. Men les hva merknadene går ut på før du eventuelt inviterer foreldre eller barn til å ta i bruk ressursen. Ofte kan en muntlig beskjed fra deg til barnet være nok til at ressursen i praksis har grønt lys.
  
• Rødt lys: Barnevaktens personvernsjekk har oppdaget at ressursen samler inn mange personopplysninger eller har en mulig alvorlig svakhet angående personvernet, se Barnevaktens forklaring. Pass på å ikke forhåndsdømme før du har lest forklaringen. Det kan hende litt veiledning fra en voksen gjør at ressursen likevel ikke samler inn personopplysninger.
  

Etter å ha fått en rask konklusjon i form av trafikklyset, kan foreldrene klikke seg videre for å lese merknadene vi har til den enkelte ressurs. Vi planlegger også å vise hele skjemabesvarelsen fra leverandøren, eller store deler av den, men vi må la leverandørene bli godt kjent med skjemaet først og hva hver avkrysning betyr.

Skjemaet som leverandørene skal fylle ut, finner du her: Selvrapporteringsskjema

Illustrasjonsbilde øverst: Foto: Shutterstock / GaudiLab.