Foto: Shutterstock / nimito. Bildet viser to jenter som er elever, i et klasserom, med en datamaskin på pulten.

Personvernet i skoleapper må løses med selvrapportering

Personvernet i skoleappene er en plage for lærere, for kommunene har ikke kapasitet til å sjekke om alt er på stell i hver eneste app. Løsningen er å be app-produsentene fylle ut selvrapportering. Barnevakten arbeider med en personvernsjekk for nettvettressurser.

Barn har personvernrettigheter enten de er elever der skolen har ansvaret eller de er hjemme der foreldrene har ansvaret. Det er kommunene som har ansvaret for elevenes personvern på skolen. Det er så vanskelig med personvern at stadig flere, blant annet lærerorganisasjoner, mener at hver enkelt kommune ikke klarer jobben alene og at staten må inn.

Norge har kopiert GDPR-reglene fra EU og latt disse bli en den av norsk lovverk. Nå har EU gått videre med blant annet DSA-regler, disse nye rettighetene kommer ganske sikkert til Norge. Da blir det svært mange rettigheter som skolene må sjekke er oppfylt i appene og undervisningsressursene som barna tar i bruk.

Må satse på selvrapportering

Den eneste praktiske løsningen, etter Barnevaktens syn, ser ut til å være at produsentene av apper og undervisningsressurser selv rapporterer inn hvordan det står til med personvernet i produktene som de leverer.

Det er slik selvrapportering som lenge har vært løsningen for å sette anbefalte aldersgrenser på apper og spill. Leverandørene rapporterer inn graden av vold, grovt språk og seksuelle skildringer før ulike bransjeorganisasjoner setter en anbefalt aldersgrense.

Så stoler man på at app-leverandørene har rapportert riktig. Før eller siden vil en eventuell feilrapportering bli avslørt og da får app-leverandøren en ripe i lakken og merkeordningene endrer den anbefalte aldersgrensen.

Med både GDPR og DSA, samt enda flere regler som EU utarbeider, vil skjemaet for selvrapportering innen personvern og andre rettigheter nesten bli en utømmelig liste. For på et eller annet vis, teknisk eller pedagogisk, kan det være et sikkerhetshull som kanskje ikke engang leverandøren kjenner til. Og hvis rapporteringsskjemaet ikke har stilt spørsmål om akkurat den vesle detaljen, da rapporteres ikke hullet.

Skolene har delvis unntak innen personvern

Du kjenner kanskje til 13-årsgrensen for innsamling av personopplysninger. Det er ulovlig for apper og undervisningsressurser å samle inn personopplysninger for barn under 13 år, i tilfelle må man få samtykke fra foreldrene.

Skolene har på en måte unntak fra 13-årsregelen, for norsk lov sier at skolen har såkalt behandlingsgrunnlag for å samle inn personopplysninger. Skolene må jo vite hvilke barn som møter opp til undervisning og som de har ansvar for, og da må navnene på barna samles inn.

Datatilsynet sier at i de digitale undervisningsløsningene som elevene benytter til å chatte, surfe og levere oppgaver, gjelder tillatelsen til å samle inn personopplysninger kun for kjernetjenestene. Det finnes ingen felles liste over hva som defineres som kjernetjenester, men man kan tenke seg at det betyr en regne-app, en skrive-app, en presentasjons-app, en chatte-app samt lignende apper for å kunne utføre de mest grunnleggende oppgavene på skolen.

Hvis læreren finner en app som ikke er en av kjernetjenestene i skoleløsningen, for eksempel en app om antikken eller universet, og denne appen samler inn personopplysninger, da må læreren få samtykke fra foreldrene før elevene tar appen i bruk – dersom elevene er under 13 år.

Lærere har derfor behov for å vite om en app samler inn personopplysninger. Og siden barn også kommer til å få andre digitale rettigheter, har læreren også behov for om appen bryter disse rettighetene.

Noen må løse personvernsjekken

Det er altså behov for et omfattende system som kan gi lærere og foreldre informasjon om den enkelte app er trygg når det gjelder personvern og alle andre digitale rettigheter.

Personopplysninger er for eksempel navn, adresse, e-post-adresse, ansiktsbilde eller annet som kan knyttes til eleven som person, for eksempel seksuell legning, religion, politisk syn og helseopplysninger.

Det at en ressurs samler inn personopplysninger, behøver ikke å være negativt. Personopplysninger kan bety at ressursen blir morsommere og mer pedagogisk å bruke. Men før en app tas i bruk, må man kjenne til personvernkvaliteten i appen, og så må lærere og foreldre ta stilling i hvert tilfelle.

Enda flere digitale rettigheter

De nye DSA-reglene, som ganske sikkert kommer til Norge om et par år, sier for eksempel at det ikke er lov å spore barn eller gi den persontilpasset reklame.

Når folk får svært mange rettigheter, betyr det samtidig at risikoen øker for at en app eller en undervisningsressurs ikke har maktet å følge opp alle rettighetene.

Spørsmålet blir da: Hvor lite skal til før en app ikke bør brukes i skolen? Må appen være perfekt? Eller holder det at appen oppfyller de viktigste rettighetene?

Spørsmålet blir da: Hvor lite skal til før en app ikke bør brukes i skolen?

Ser vi på de digitale skoleløsningene, så er det altså hver enkelt kommune som har ansvaret for å gjøre avtale med en stor leverandør, for eksempel Google, Microsoft eller Apple. I 2020 undersøkte Datatilsynet tre kommuner og fant ut at de all tre hadde gjort for dårlig jobb med personvernet.

I 2022 har det pågått en sak mellom det danske datatilsynet og flere kommuner der, heller ikke i Danmark makter kommunene å gjøre en skikkelig jobb. Også flere norske rapporter viser at kommunene sliter med personvernet til elevene (se lenker nederst).

Når selv store kommuner ikke makter å skrive vanntette avtaler eller å ha et opplegg for å se under panseret i de tusenvis av apper som lærere ønsker å benytte i undervisningen, så er det altså stadig flere som mener at staten må inn.

Løsningen, etter Barnevaktens syn, er selvrapporting fra leverandrenes side. Skal selvrapportering fungere, må noen, for eksempel staten, KS eller en bransjeorganisasjon opprette og drifte en database der man kan søke i selvrapporteringene for å finne ut om appen er trygg.

Hva bør selvrapporteringen avsløre?

Her er noen personverneksempler som et rapporteringsskjema i tilfelle må fange opp:

Tenk deg en undervisningsressurs som befinner seg på en nettside der man må logge seg inn. Vips, der samles det inn personopplysninger. For i innloggingen legger man igjen navn og e-postadresse, og kanskje mye mer.

Et opplagt spørsmål til leverandøren av undervisningsressursen er altså: “Må eleven logge seg inn for benytte ressursen?”

Samles det inn geolokasjon? Ber undervisningsressursen om at eleven skal legge igjen en selfie? Er ressursen knyttet sammen med andre apper eller skoleløsninger? Benytter ressursen statistikktjeneste? Sender ressursen ut reklame til elevene i etterkant?

Det er svært mange spørsmål som leverandørene må svare på.

Er det i det hele tatt mulig å stille spørsmål om samtlige GDPR-rettigheter, samtlige DSA-rettigheter og alle tenkelige og utenkelige sikkerhetshull? Neppe. Man må finne et akseptabelt nivå med spørsmål til leverandørene og deretter satse på at brukerne vil varsle om eventuelle svakheter som ikke avdekkes av spørsmålene.

Man må godta et akseptabelt nivå på personvernapporteringen, og ikke søke det fullkomne.

Det er slik man har ordnet det andre steder, for eksempel med Datatilsynets kontroll av kommunenes personvernkvalitet eller Mattilsynets kontroll av restauranter. Tilsynene kontrollerer enkelte virksomheter, men overlater til brukerne, for eksempel lærere, foreldre eller kunder, å varlse dersom de oppdager svakheter.

Barn har rettigheter. De har for eksempel rett til å slippe å se skadelig innhold på skoleskjermene. Kommunen kan da installere et datafilter som stanser mye, men ikke alt. Man har også en lærer i klasserommet, men læreren makter ikke å passe på alle skjermene hele tiden. Selv om barn har rettigheter, godtar man å lande på et akseptabelt nivå for innsatsen som gjøres for å oppfylle rettighetene, man går ikke inn for en fullkommen løsning.

Slik må det også bli med personvernkontrollen og rettighetskontrollen av alle apper og skoleressurser som elevene skal benytte. Man må kreve at leverandørene svarer på en rekke spørsmål, men man kan ikke sende dem en uttømmende liste, for en uttømmende liste er heller ikke mulig å lage.  Man er nødt til å sette strek et sted i alle spørsmålene.

I Danmark var det en pappa som varslet om en svakhet i den digitale skoleløsningen som hans sønn benyttet, personopplysninger ble spredd via en Youtube-konto. Det danske datatilsynet presser nå kommunen til å tette hullene.

Man kan altså ha en kultur der man kun bruker apper som har utført selvrapportering og der resultatet er akseptabelt. Dersom lærere vil benytte undervisningsressurser som ikke har utført selvrapportering, må enten læreren eller kommunen ta en manuell sjekk av ressursen. Enkelte ganger er den manuelle sjekken plankekjøring, for eksempel videoer samler ikke inn personopplysninger.

Barnevaktens rapporteringsskjema for undervisningsressurser om nettvett

Barnevakten arbeider nå med å utforme et selvrapporteringsskjema som leverandører av skoleressurser innen nettvett kan svare på. Når det kommer på plass, vil foreldre og lærere få et raskt svar om personverntilstanden i den enkelte nettvettressursen.

Skal man være helt sikker på at personopplysninger ikke samles inn, kan man lage monologer, for eksempel video, en PDF uten lenker og utfyllingsfelt, en podkast eller bare ren tekst der man gir elevene noen oppgaver. Da er man helt sikker på at ingen personopplysninger samles inn. Det eneste man da må passe på, er hva oppgavene går ut på. Selv om ressursen ikke samler inn personopplysninger, kan det hende oppgaven sier at eleven skal dele bilder av sine medelever i sosiale medier eller noe slikt, og da spres personoppysninger likevel.

Selvrapporteringen må overordnet svare på disse spørsmålene:

  • Samler ressursen inn personopplysninger?
  • Inneholder ressursen oppgaver som innebærer at personopplysninger deles?

I tillegg kan man be produsentene svare på dette:

  • Oppfyller ressursen ikke bare GDPR-reglene, men også de kommende DSA-reglene og alle andre rettigheter som barn har?

Barnevaktens selvrapporteringsskjema som utvikles nå, gjelder altså kun ressurser som handler om nettvett. I første omgang skal skjemaet kun brukes for ressurser som er tilpasset foreldre og ikke primært skoler, det er for å begrense problemomfanget noe inntil videre.

Det er i dette arbeidet at Barnevakten har landet på at man er nødt til å finne et akseptabelt nivå på antall sjekkpunkter som leverandørene skal svare på, og at man for øvrig må satse på at brukerne varsler om eventuelle svakheter som sjekkpunktene ikke har fanget opp.

Barnevakten har allerede en omfattende database med omtaler av norske ressurser innen nettvett, digital mobbing, selvfølelse og så videre. Databasen inneholder ikke selve ressursene, men beskrivelser av dem og lenker til der ressursene finnes hos den enkelte leverandør.

Lærere går inn i databasen og finner passende undervisningsressurs. Ved personvern er det kommunene, ikke den ideelle stiftelsen Barnevakten, som har ansvaret overfor elevene. Men med tiden håper vi at lærere som finner ressurser i vår database, samtidig vil få en kort beskrivelse av personvernet i den enkelte ressurs, basert på en rekke spørsmål som vi har stilt leverandørene.