Fem viktige lærdommer om personvern etter to år med fjernundervisning

I nesten to år har skoler og utdanningsinstitusjoner over hele verden måttet tilpasse seg og improvisere på grunn av den globale Covid-19- pandemien. Fjernundervisning og såkalt «blended learning» ble avgjørende og noen var mer forberedt på dette enn andre. Skolesystemer med en moden digital infrastruktur stilte sterkest. Andre måtte forsøke å skaffe og implementere løsninger i løpet av noen dager. Kanskje ble det tatt noen snarveier, som førte til at vurderingen av personvernhensyn i noen tilfeller ble forbigått.

Fjernundervisning er fortsatt en stor del av undervisningen i 2022 og vil være med oss i overskuelig fremtid. Det er da viktig å gjennomgå hendelsene det siste året fra et personvernperspektiv. Her er noen lærdommer.

En global pandemi betyr ikke at vi kan slappe av når det gjelder personvern

En kort stund så det ut som at mange trodde at nødsituasjonen trumfet personvernet. Det brant for å få tak i digitale verktøy og innhold for å hjelpe elever med hjemmeskoleopplæring. Leverandører som kanskje normalt ikke ville blitt vurdert på grunn av personvernhensyn, så en enorm økning i interessen fra utdanningsinstitusjoner.

Men det viste seg raskt at selv tjenester som var essensielle for å håndtere den globale pandemien, måtte følge de grunnleggende prinsippene for personvern. Den norske regjeringen var rask ute med å lansere en kontaktsporings-app for å kontrollere spredningen av viruset, men datatilsynet måtte sette ned foten. En global pandemi er ikke en grunn til å være avslappet når det gjelder personvern.
Det er faktisk det motsatte. Når viktigheten av personopplysninger og systemene som behandler dem går fra «kjekt å ha» til «kritisk», øker viktigheten av datasikkerhet betydelig. Om en lærers konto ble hacket og slettet for et år siden, kunne læreren finne en annen måte å undervise på. Men under pandemien, kan konsekvensen være at veldig mange barn ikke får undervisning på flere dager. Behovet for databeskyttelse vurderes opp mot invadering av privatliv når noe kritisk som dette skjer.

Læringspunkt: Du må styrke datasikkerheten din i krisetider

Datasikkerhet handler også om tilgjengelighet

I de tidlige stadiene av pandemien ble mange leverandører rammet av en plutselig økning i bruken av systemene sine. «Alle» ble rammet av stabilitetsproblemer, inkludert itslearning som opplevde at kapasiteten måtte tredobles. Noen leverandører var rett og slett ikke i stand til å støtte de “nye” behovene fra sine eksisterende kunder. For enkelte tok det dager eller uker før de var oppe for fullt igjen.
De fleste assosierer datasikkerhet med noen som hacker seg inn i en programvare og stjeler dataene dine. Men når det gjelder GDPR, kan et langvarig tap av tilgjengeligheten av data også betraktes som et sikkerhetsbrudd. Det avhenger av innvirkningen det har på brukerne dine. Hvis et system går ned i flere dager, slik at elevenes utdanning blir vesentlig påvirket, bør dette vurderes som et datsikkerhetsproblem. Hvilke beskyttelsessystemer leverandører kan tilby mot tilgjengelighetsbrudd, bør være en del av enhver personvernvurdering.
Læringspunkt: Som en del av vurderingen av leverandørens sikkerhetstiltak, bør du vurdere muligheten for tilgjengelighet og kontinuitet under uventet, langvarig høy belastning.

Mange institusjoner sliter fortsatt med grunnleggende sikkerhetstiltak

2020 så et nytt fenomen (i det minste for skoler) som ble kalt » Zoombombing». Ved å gi uautorisert tilgang til videokonferanseverktøyet, ble ondsinnede angrep gjennomført ved å gjette URLen til virtuelle møterom. I beste fall forstyrret de den pågående undervisning, i verste fall ble elever utsatt for upassende innhold og atferd. (Zoom har siden lagt til ytterligere tiltak for å forhindre Zoombombing.)

Selv institusjoner som bare tillot autentiserte brukere i systemene deres, var ikke immune mot hackere og datainnbrudd. Phishing, konseptet hvor man lokker brukere til å gi fra seg brukernavn og passord ved å fremstille seg som legitime tjenester, har vært utbredt. Dette er et eksempel på hvorfor det å ha brukernavn/passord-autentisering ikke er nok, og hvorfor datasikkerhetseksperter anbefaler at ansattes kontoer i digitale læringsmiljøer må beskyttes med multi-faktor autentisering.

Læringspunkt: Gjennomgå de grunnleggende sikkerhetstiltakene dine. Sørg for at du krever riktig autentisering for læringstjenestene dine.

Mange organisasjoner er fortsatt ikke klar over elevenes og lærernes rettigheter

Å gå over til fjernundervisning førte med seg mange endringer i mange organisasjoner. Nye systemer ble hentet inn og større mengder personlige data ble samlet inn. For noen organisasjoner kan du til og med hevde at formålet med behandlingen av personopplysninger endret seg. Men i denne prosessen overså mange organisasjoner grunnleggende GDPR-etterfølgelse.

Alle brukere av et digitalt læringsmiljø har personvernrettigheter. Det viktigste er kanskje åpenhet rundt hvordan deres personlige data blir behandlet. Hvis du midt i pandemien endret måten personopplysninger ble behandlet på, skal dette være dokumentert og lett tilgjengelig for elevene (og foreldrene dine).

Læringspunkt: Gjør en revurdering av “GDPR-implementeringen”. Sørg for at du har kompetansen i organisasjonen din til å beskytte personopplysninger på riktig måte og respektere personvernrettighetene til brukerne dine.

Men ikke la personvernutfordringer stoppe fjernundervisning

Datasikkerhet er en grunnleggende rettighet, men det er også utdanning. Så personvern bør ikke brukes som en unnskyldning for å avbryte undervisning på nettet når en hendelse som pandemien gjør det umulig for skolene å holde dørene åpne. Datavern bør ikke bli sett på som et hinder som setter oss tilbake til en «pre-digital» tid, men som et kvalitetssikringsverktøy for å sikre at digitale tjenester kan leveres på en trygg og pålitelig måte.

Når denne pandemien er over, er det viktig å ikke bli passiv. La oss ha som utgangspunkt at noe slikt kan skje igjen når som helst. Få på plass planer, infrastruktur og leverandørkontrakter for å sikre at hvis en annen uforutsett hendelse stenger skolene i fremtiden, er det en databeskyttelsesvennlig infrastruktur på plass som gjør at undervisningen kan fortsette selv når skolene er stengt.

Læringspunkt: Når pandemien er bak oss, sett opp en kontinuitetsplan for skolen som sikrer en enkel og personvernvennlig overgang til fjernundervisning.

Hører på vår podcast om Datasikkerhet og personvern i skolen.

Mer informasjon:
Digitale sikkerhetsressurser for skolen fra NorSIS (Norsk senter for informasjonssikring)

Fyll ut skjemaet for å laste ned vår gratis GDPR sjekkliste