I møte med store teknologiselskaper står norske kommuner og fylker, som skoleeiere og behandlingsansvarlige for elevers personvern, overfor en krevende oppgave. Store internasjonale aktører tilbyr digitale løsninger som er nødvendige å bruke for å gi elever den digitale kompetansen de har krav på. Samtidig er dette komplekse løsninger som gjør det utfordrende for skoleeier å dokumentere at krav til personvern overholdes.
KS og flere kommuner har gjennomført en vurdering av personvernkonsekvenser – en DPIA (Data Protection Impact Assessment) av Google Workspace for Education der vi har oppnådd en konstruktiv dialog med Google. Selv om vi ikke er enige om alt, har vi nå bedre kontroll på elevenes personvern, noe som gir dem en tryggere digital hverdag. Under deler jeg noen av erfaringene våre om hvordan vi har lykkes som norske behandlingsansvarlige i møtet med en stor teknologigigant.
Dialog for å forstå
Når skoleeiere og de store leverandørene diskuterer personvern, er leverandørene raske med å fortelle at de er «GDPR-compliant», det vil si at leverandøren etterlever kravene til personvern. Men det er ikke leverandørene som plikter å behandle elevers personopplysninger i tråd med rammene i opplæringsloven. Det ansvaret er det skoleeier som har. Det er fylkene og kommunene som må sørge for at personvernet til elevene faktisk ivaretas.
_logo.svg.png){kind=logo}
Vår erfaring er at det er helt nødvendig med dialog, slik at også de store teknologiselskaper forstår at personvernetterlevelse ikke handler om å stille urimelige krav. Det handler om at skoleeiere skal kunne oppfylle sine forpliktelser. Teknologigigantene må forstå at skoleeiere ikke er passive kunder, men seriøse aktører med et reelt og selvstendig ansvar for elevers personvern.
Samarbeid og åpenhet er avgjørende
For å få de store teknologiselskapene med på å lage tjenester som er tilpasset norske skoleeiere og de rammene som både GDPR, personopplysningsloven og opplæringsloven setter, er det nødvendig å samarbeide internasjonalt. I dette nasjonale DPIA-prosjektet har vi nytt godt av lærdom fra land som har jobbet personvern opp mot teknologigigantene før oss. Dette gjelder spesielt Nederland, som har flere års erfaring med å gjøre tilsvarende nasjonale vurderinger, og KS' søsterorganisasjon i Danmark, som har mye erfaring med å forhandle med Google etter Helsingør-saken, der det danske Datatilsynet forbød bruken av Google Workspace for Education i Helsingør kommune.
Vi har sett at norske skoleeiere har mye til felles med skoleeiere i andre land. De fleste er offentlige myndigheter som ikke bare er ansvarlige for personvern, men som også er underlagt nasjonale opplæringslover som setter rammer som hva elevers personopplysninger kan brukes til. Gjennom åpenhet og internasjonalt samarbeid kan vi skape en ny balanse der personvern ikke bare blir en teoretisk forpliktelse, men en praktisk realitet som både de store teknologileverandørene og skoleeiere på tvers av landegrensene i Europa må ta like alvorlig.
Anklages for å ha reklame-monopol
