Norli prøver seg – og bommer

Her en dag tikket det inn en e-post i kommunens Public360. Den var fra Norli Juniors lesekonkurranse. Der lurte Norli på om jeg kunne åpne opp for FEIDE-pålogging til lesekonkurransen, siden det var flere elever på Goa skole som hadde begynt å ta den i bruk. Jeg skal innrømme at jeg aldri gjør noe med slike henvendelser, fordi dette skal komme fra skolen som vil bruke en tjeneste – ikke tjenesteleverandører. Og jeg tenkte ikke mer over det før nabokommune Sandnes sin rådgiver for digitale greier lurte på om noen hadde vurdert denne tjenesten, fordi noen skoler hadde begynt å mase om å få åpnet FEIDE-pålogging. Da tok jeg meg en kikk på Norli sine brukervilkår for lesekonkorransen (per 10. juli 2023) og databehandleravtalen de la ved, og det var enkelt å se at dette ikke var noe jeg (eller andre) burde godkjenne i forhold til ansvaret det medfører å åpne opp for FEIDE-pålogging.

Jeg og andre kommunale skolerådgivere for digitale greier hadde en interessant passiar om dette, og så ble jeg tipset om at det på FB-gruppen «Opprop for mindre skjermbruk på barneskolen» var lagt inn et innlegg om at «Oslo kommune har bestemt at skoler i Oslo ikke får delta på Norli junior leserkonkurranse, som organiseres av biblioteket, da dette strider i mot personvern…». I kommentartråden er det en del uff-ing og oi-ing over at kommunen ikke ville åpne for FEIDE-pålogging til konkurransen – de som til og med bruker nettbrett og KI. Flere savnet en forklaring på hvorfor kommuner ikke ville åpne opp. Norli var også offisielt innom kommentartråden…

Hei, jeg har startet og er ansvarlig for Norli Junior Lesekonkurranse, som har vært arrangert hver høst siden 2016. Dette blir et langt innlegg. Løsningen er utviklet av Snuti AS, som også står bak bibliotekenes Sommerles. I år har vi fått lagt til innlogging med Feide, for bedre å møte kravene fra skolen. Vi har behov for å få signert databehandleravtaler med hver enkelt kommune i Norge for at løsningen skal godkjennes og Feide-pålogging aktiveres. Systemet rundt godkjenning i skolen er ekstremt ressurskrevende. I stedet for at en instans godkjenner for skoleverket, og at alle andre kan hekte seg på, skal hver kommune gjennomføre egen risikoanalyse, signere egne avtaler, og mange har egne maler for databehandleravtaler. I mange kommuner er dette på plass og avtaler signert. Oslo Kommune har en svært krevende prosess, og vi har vært i dialog i lang tid, for å få forståelse for hva de krever, tilpasse løsningen til deres krav og oppnå godkjenning. Mitt inntrykk er at det nærmer seg nå, og jeg håper godkjenningen er på plass i løpet av kort tid. Lesekonkurransen arrangeres av Norli i samarbeid med en rekke forlag. Det er et rent CSR-tiltak (Corporate Social Responsibility) fra Norli sin side. Vi legger ned mye ressurser i å bidra til leseglede og lesekompetanse, for å gjøre vårt for at vi har en lesende befolkning også i fremtiden. Personvern, barnas behov og sikkerhet, og muligheten til å gi lærerne kontroll, har hatt meget høyt fokus fra første stund. Teknisk plattform og alle krav til GDPR er hensyntatt., Elementene som tar tid å få godkjent, er rent byråkratiske ting. Det blir for langt å gå i dybden på dette her. Mange lærere gjennomfører konkurransen med samtykke fra foreldre, i påvente av kommunal godkjenning. Jeg tør påstå at ved siden av Sommerles er denne lesekonkurransen det enkelttiltaket i Norge som bidrar mest til lesing blant barn. Årlig deltar rundt 50.000 barn, som leser nær 100 millioner sider i løpet av tre måneder. Undersøkelser blant lærere dokumenter signifikant økning i lesekompetanse og lesehastighet som direkte følge av konkurranse. Den bidrar også til sterk utlånsvekst i biblioteker over hele landet. Vi svarer gjerne på spørsmål her eller på e-post norlijunior@norli.no

…og viste enkelt, for oss som jobber med GDPR i skole, at de ikke har skjønt poenget. Dette er strategisk kommunikasjon for å få kommunen til å virke urimelige og vanskelige, når det egentlig er Norli som sitter med både utfordringen og ansvaret. Challenge accepted. Jeg la inn en kommentar.

Hei! Jeg representerer en kommune som har sagt nei til Norli Junior, og jeg kan godt si hvorfor. Hovedproblemet med å åpne opp for FEIDE til denne tjenesten er at vi/kommunen da gir fra oss personopplysninger om elever som vi, som behandlingsansvarlig, ikke kan forsvare at blir brukt på den måten Norli sier de kommer til å bruke dem.
Kort fortalt bruker Norli elevopplysninger, både de som de får av oss via FEIDE og de opplysningene elevene selv legger igjen i tjenesten, til andre ting enn selve lesekonkurransen. Norli samler inn opplysninger om alder, kjønn, bøker som er lest og elevens vurdering av denne boken, og bruker dette til sin egen tjeneste kalt Boktipseren og til en samlet rapport om barns lesevaner. Ingen av disse tilleggene har noe med lesekonkurransen å gjøre, og vi som kommune/behandlingsansvarlig kan ikke godta at elevers opplysninger blir brukt til dette – men vi har ingen mulighet i avtalen med Norli til å si at vi ikke ønsker dette.
Boktipseren er en åpen tjeneste hvor brukere kan finne ut hvilke bøker som er mest populære hos barn, sett ut fra alder og kjønn, og du finner også vurdering fra barn med kommentarer. Dette er kjempeverdifull markedsinformasjon for Norli (og andre bokhandlere) sett i forhold til at det er 1) reklame til brukeren og 2) forteller Norli hvilke bøker de kan forvente at barn leser / foreldre kjøper. Alle barn som deltar i konkurransen gir Norli denne informasjonen gratis, og dette er ikke en bruk av elevenes personopplysninger vi kan godta. Norli har for øvrig heller ikke vist oss i databehandleravtalen hvilken interesseavveining de mener at de har for å kunne gjøre dette uten at vi tillater det. Uansett trenger vi som kommune ikke å godta dette, og det gjør vi heller ikke – og dermed åpner vi ikke FEIDE for tjenesten. Foreldre kan selv bestemme om de vil at deres barns opplysninger skal bli brukt av Norli til dette, men da er det foreldre som direkte overfor Norli skal samtykke til det og melde barna sine på via Norli sine sider – ikke skolen eller kommunen.
Det samme gjelder statistikken som blir generert via opplysningene som blir samlet inn i konkurransen. Dette er en interesseavveining av Norli, som de begrunner i databehandleravtalen, men som vi ikke mener ligger innenfor det vi som kommune mener disse opplysningene kan brukes til. Norli trenger ikke opplysninger om kjønn og alder på elevene for å drive konkurransen for oss i kommunen, men vil likevel samle inn disse opplysningene til statistikken.
Hvis Norli åpner opp for at vi som kommune kan si at vi bare melder elevene på konkurransen og at opplysningene ikke blir brukt til Boktipseren og statistikken, så er vi ett steg nærmere å kunne godta databehandleravtalen. Det er fremdeles noen punkter igjen som vi som kommune må få ordnet med Norli, men dette er de to viktigste.

Etter dette ble det rimelig stille i kommentartråden.

Plutselig så jeg sent en kveld at Norli hadde lagt ut en lenger kommentar, som jeg heldigvis rakk å lese. Jeg tenkte at denne ville jeg svare ut dagen etter, men da jeg åpnet opp nettleseren morgenen etter hadde de slettet den. Jeg husket den sånn noenlunde, og svarte…

Hei igjen! Du la inn et svar på kommentaren min for rundt 8 timer siden, som du så har slettet. Jeg fikk lest den og husker det omtrent, og du syntes vi i kommunene er vanskelig å komme i kontakt med for å hjelpe dere med å finne ut hvordan dere kan formelt gjøre det greit at Boktipseren og statistikken er en del av Lesekonkurransen. Jeg svarer det gjerne ut her i gruppen, for folkeopplysningens del, og avgrenser meg til det mest sentrale, for lengdens skyld. (Fint om du legger ut kommentaren din igjen, slik at de andre kan se hva dere tenker.)
Randaberg kommune, hvor jeg jobber som rådgiver for skole, er behandlingsansvarlig for elevenes personopplysninger. Det betyr at det er vi som «bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes» (sitat GDPR). Vi kan velge å sette behandlingen av disse opplysningene ut til en databehandler, som «behandler personopplysninger på vegne av den behandlingsansvarlige», og da har vi en databehandleravtale for å sikre at personopplysningene ikke brukes til et annet formål eller på en annen måte enn det vi som behandlingsansvarlig kan godta. Det er utgangspunktet.
Så kan vi tenke oss at vi ønsker at elevene skal være med på en lesekonkurranse. Da må vi vurdere hvilke personopplysninger som er nødvendige for å oppfylle dette formålet, og vi må finne en lovhjemmel for å kunne forsvaret behovet vi mener vi har for at elevenes personopplysninger skal brukes i denne lesekonkurransen. Det er også viktig, sier loven, at vi ikke bruker flere personopplysninger enn strengt tatt nødvendig for å oppnå formålet. Kommunen, som behandlingsansvarlig, kan velge å sette ut behandlingen av personopplysninger for formålet lesekonkurranse til Norli, og sikre behandlingen av personopplysningene gjennom en databehandleravtale. Alt vel så langt. Dette er ting vi gjør hele tiden.
Utfordringen kommer når Norli i databehandleravtalen beskriver at de kommer til å bruke personopplysninger fra elevene til mer enn lesekonkurransen, altså til et annet formål enn det vi som behandlingsansvarlige har sagt personopplysningene skal brukes til. Dette gjelder da Boktipseren og statistikken. Det er her det første stoppskiltet kommer. Boktipseren og statistikken er ikke kommunens formål, og dermed verken skal eller kan vi bruke elevenes personopplysninger til dette. Vi har ikke noe behandlingsgrunnlag for denne behandlingen, og dermed kan vi ikke skrive under på en databehandleravtale hvor Norli sier de kommer til å bruke opplysningene til et annet formål enn det vi i kommunen har grunnlag for.
Det er helt ryddig, og prisverdig, at Norli beskriver dette i databehandleravtalen, fordi da vet vi hva Norli kommer til å gjøre med personopplysningene de får fra oss som er behandlingsansvarlige. Da har vi i kommunen et godt grunnlag for å vurdere om denne tjenesten er noe vi ønsker eller kan benytte oss av. Det er derfor vi har databehandleravtaler.
Og bare for å sette det i perspektiv – Jeg kan levende se for meg krigstypene i ulike FB-grupper og leserinnlegg i aviser om vi hadde latt Google, Microsoft, Apple, OpenAI eller andre bruke elevenes personopplysninger til et annet (og sitt eget) formål enn det vi i kommunen kan forsvare – som Norli ber oss om lov til å gjøre i tilfellet Norli Junior Lesekonkurranse.

Og siden har ingen hørt noe…

Publisert

i

av

Odin

Stikkord:

, , , , , , , , , , , ,

Kommentarer

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

This site uses Akismet to reduce spam. Learn how your comment data is processed.