Støygrensen (tenker videre til NKUL18)

Hva skjer når du går inn på www.dagbladet.no? Jo, du logges opp og i mente av ulike systemer. Det er 15 forskjellige «trackere» i form av reklame, nettstedanalyse, sosiale medier osv. Alle samler inn IP-adresser og legger igjen cookier/informasjonskapsler for å vite hva du holder på med på nettstedet. Noen trackere følger også med fra forrige nettsted…

Så godt som alle nettsteder gjør dette i større eller mindre grad. Det er regelen mer enn unntaket – Udir har 7 trackere, SNL har 3, NRK har 5 og Salaby har 2 osv… Google og Facebook har ingen (fordi de lytter heller til loggen på egne tjenere).

Det er en del av hvordan webben fungerer og for de aller fleste er dette blitt en del av hverdagen som de ikke tenker særlig på. Husk at nå snakker vi ikke en gang om hva du legger igjen på Facebook eller om du logger på Facebook. Vi snakker rett og slett bare om informasjon som lages og samles inn når du surfer på nettet. Du trenger ikke å skrive noe. Det holder at du klikker på lenker (eller beveger muspekeren rundt på nettsiden).

Ingenting nytt eller spennende her… Likevel – jeg lurer litt på hvordan dette blir i praksis når GDPR slår inn 25. mai. Det er dukket opp en del ekstra runder med godkjenninger fra ulike nettsteder / epostlister i det siste, men enda ikke knyttet opp mot akkurat dette.

Men la oss vri skru volumet opp til 11. Nå er det kanskje ikke så spennende å vite IP-adressen til skolen, men elevene bruker den digitale dingsen hjemme – og nettsider og trackere lagrer cookier som følger brukeren/maskinen fra skolen og hjem. Datatilsynet (og GDPR – artikkel 4 punkt 1 og betraktning 49) mener at IP-adresser er en personopplysning. Likevel er det ingen som tenker at skolen må ha en databehandleravtale med Dagbladet, selv om disse lagrer en masse opplysninger om elevene (og har tredjeparter som også får disse opplysningene). Og nå må du ikke glemme at dette ikke er noe elevene gjør frivillig – lærer har sagt at alle skal sjekke ut nyhetene på dagbladet.no i arbeid hjemme. Har da lærer/skole et ansvar for at Dagbladet behandler disse personopplysningene fra elevene på en korrekt måte – altså at skolen må ha en databehandleravtale med Dagbladet? Tja, Dagbladet kommer til å ha et eget ansvar for at de følger GDPR for alle som bruker avisens nettsider. Om Dagbladet vil være ansvarlig for at alle trackere som følger deg på sidene deres er GDPR-godkjent er jeg ikke like sikker på, men jeg tror de må være det etter GDPR (definert som tredjepart).

Mange vil nok mene at det jeg koker om i avsnittet over er tullete, men tenk etter før du avviser dette helt. Eleven må surfe på dagbladet.no, fordi lærer har sagt det. Elevene gir da Dagbladet verdifull personinformasjon i form av adferdsmønstre og IP-adresser – og indirekte og direkte inntekter fra trackere og reklamemotorer. Skole er litt spesielt her – vi «tvinger» elever til å bruke ressurser på nettet som er ment å bli brukt frivillig. I denne settingen blir begrepet «behandlingsansvarlig» litt rufsete… (fra GDPR):

«behandlingsansvarlig» en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett

Heng med – jeg bestemmer at elevene skal lese nyheter på dagbladet.no for å bruke dette i et arbeid i et fag i skolen. Formålet fra min side er at elevene skal samle informasjon, ikke behandling av personopplysninger, og middelet er dagbladet.no. Men fra Dagbladet sin side blir det annerledes, fordi de har andre formål og midler enn meg som lærer. Blir da mitt krav til elevene til at jeg bestemmer et formål der behandling av personopplysninger er en del? Eller er ikke skolen behandlingsansvarlig siden jeg ikke mener det er et formål knyttet til behandling av personopplysninger til den aktiviteten jeg ber elevene gjøre? Uggent dette her. Utfordringen er at om du sier at dette ikke er et krav om behandling av personopplysninger fra lærers side, så kan du bruke dette «trikset» på mer eller mindre alle nettressurser. Det høres ikke helt rett ut det heller. Det blir litt som politikeres unnskyldninger der de er unnskylder seg for at noen ble lei seg for det de sa eller gjorde – ikke for det det sa eller gjorde.

Det jeg ønsker å bringe inn i diskusjonen er at når elever skal surfe på verdensveven vil de måtte legge fra seg noe personinformasjon uansett. De er tross alt ikke roboter som surfer. Vi bør tenke at det er en slags «støygrense» for hva som er normalt. Denne kan (og skal) selvsagt reguleres i lov, noe GDPR gjør, samtidig som vi ikke må miste hodet og gjøre all bruk av nettet mer eller mindre umulig å gjøre lovlig. Støygrensen må stå i forhold til det vi ønsker å oppnå i skolen, så jeg har tenkt å fortsette med å si at elevene skal arbeide på nettsider som bibelen.no og vg.no og snl.no osv. Den pedagogiske gevinsten er større en ulempen ved den informasjonen elevene legger igjen, mener jeg.

Samtykke og samtykke og frivillighet

Ehh… feil samtykke… fnis…

Hvem skal samle inn samtykke når elever skal bruke digitale tjenester som behandler personopplysninger? Spørsmålet høres kanskje banalt ut, men siden jeg nå begynner innlegget med dette spørsmålet så er det vel kanskje ikke det ;-)

I skoleverden er samtykke et ord som dukker opp med jevne mellomrom og som nå i forbindelse med personvernforordningen (GDPR) er høyaktuelt. I GDPR knytter det seg til spørsmålet om lovlighet, altså med hvilken rett du har lov å behandle personopplysninger.

I artikkel 6 i GDPR finner du de ulike kriteriene for lovlig behandling av personopplysninger. Overfor elever er det i praksis punkt 1a) om samtykke og punkt 1c) om lovpålagt oppgave som er de to mulige grunnene for lovlig behandling. Hvis du skal behandle personopplysninger i skolen må du altså enten begrunne det i lovpålagt oppgave, f.eks. Opplæringsloven § 2-3 eller § 13-ett-eller-annet, eller så må det være ved samtykke fra eleven / foresatte. Bruk av de fleste digitale læringsressurser og verktøy kan du definere som lovpålagt oppgave med henvisning til § 2-3. Da trenger du ikke samtykke for å si at elevene kan, eller skal, bruke dem. Om du må bruke samtykke kan selvfølgelig eleven si nei – og da har du ikke lov å bruke personopplysningene til det formål du ønsket.

Poenget er at valg av punkt 1a) eller 1c) i artikkel 6 i GDPR bare sier noe om lovligheten i behandlingen av personopplysningene – at du har lov til å behandle dem. Det er to ulike begrunnelser for å ha lov til å gjøre det samme. Når du har lov er det revnende likegyldig hvilket punkt du brukte. Om du definerer det i lovpålagt oppgave eller har samlet inn samtykke har du et ansvar for at behandlingen av personopplysningene foregår på en korrekt måte. Dette ansvaret følger retten til å behandle opplysningene. Hvis du setter ut behandlingen av personopplysningene til en databehandler, er det det et krav i GDPR at du må ha en avtale med denne slik at du kan sikre at behandlingen foregår på rett måte.

Hvis du vil unngå å ha ansvar for behandlingen må du gjøre noe annet. Da må det du ber eleven om må gjøre være frivillig og et eventuelt samtykke til bruk av personopplysninger må gjøres mellom den enkelte elev og den eksterne tjenesten. Altså er skolen helt ute av loopen! Men frivillighet i skole er ikke enkelt. Frivilligheten skal være reell. Eleven skal ikke på noen måte føle seg presset og det skal ikke på noen måte gå ut over eleven om de ikke ønsker å være med. Elever må kunne si «nei» uten at det blir et problem på noen måte – hverken praktisk, emosjonelt eller sosialt. Jeg håper at de fleste lesere av bloggen ser at dette kan være en utfordring i skolen.

Tommelfinger-regelen blir da – Om du bruker artikkel 6 1a) eller 1c) fra GDPR er revnende likegyldig, bortsett fra at elevene kan si nei til et eventuelt samtykke. Skolen har fremdeles ansvar for hvordan personopplysningene blir brukt. Hvis du pålegger elever å lage en konto hos en tredjepart / databehandler må du begrunne det med artikkel 6 punkt 1c) og du er ansvarlig for hvordan databehandler bruker personopplysningene. Om samtykke samles inn av skolen, sitter skolen med ansvaret for bruk. Om samtykke samles inn av tredjepart/tjenesten, sitter tredjepart med ansvaret – men da må bruken for eleven sin del være frivillig.

Hvis du tror at det å samle inn samtykke til skolen løser behovet for en databehandleravtale – så tar du altså feil. Du kan ikke bruke samtykke for å slippe å ha en databehandleravtale. Da må du over på frivillighet.

Så… praktisk anvendelse i klasserommet – hvis du vil at elevene skal bruke https://bookcreator.com (eller denne eller denne eller denne osv…) må du først bestemme deg for om det skal være frivillig eller ikke. Er det ikke frivillig kan du bruke GDPR artikkel 6 punkt 1c) med henvisning til § 2-3 i Opplæringsloven, som begrunnelse for å behandle personopplysninger. Du må også ha en databehandleravtale med Bookcreator og gjort dine vurderinger etter GDPR for å leve opp til det ansvaret du har for behandlingen av personopplysningene.

Hvis det er frivillig må elevene lage konto hos Bookcreator frivillig og samtykke til Bookcreators betingelser – overfor Bookcreator. Disse elevene kan bruke tjenesten i faget ditt. De andre kan ikke. Så det så…

PS! Dette er en del av en tenkt tankerekke til NKUL seinere i år :-) Alle kommentarer mottas med hjertelig takk!