IKT-Norge kaller edtech-rapport useriøs: «Tar personvern på det høyeste alvor»
Organisasjonen med medlemmer som Kahoot og Learnlab, mener den kritiske rapporten om personvern i edtech-bransjen bommer kraftig.
Nylig omtalte Shifter en rapport som har satt personvern- og samtykkeprosessene i ulike edtech-selskaper under lupa. Rapporten er utarbeidet av oppstartsbedriften Traq, som utvikler og selger software som skal sørge for etterlevelse av eksempelvis GDPR, på vegne av det ideelle selskapet Pålogga.
Kun et av de 14 undersøkte selskapene havnet i kategorien «godkjent». Særlig er det kravene omkring GDPR og personvern som oppleves utydelige og uoversiktlig.
Det er et bilde aktørene ikke kjenner seg igjen i, ifølge interesseorganisasjonen IKT-Norge. De har blant andre edtech-aktørene Kahoot, Learnlab og Gyldendal som medlemmer.
– Påloggas kritikk er basert på altfor lite informasjon og blir derfor useriøs. Vår erfaring er at dette er selskaper som tar personvern på det høyeste alvor og som arbeider for å sikre at dette ivaretas på best mulig måte. De samarbeider tett med kundene for å sørge for at man følger retningslinjene, sier Ingeborg Frøysnes, politisk rådgiver i IKT-Norge.
Rapporten kan leses i sin helhet her.
Pålogga startet som en corona-dugnad våren 2020, og fikk etter hvert hjelp av Tharald Nustad til å etablere et non-profit-selskap. Derfor har selskapet Exp Group, som også har eierinteresser i Traq, et pro-forma eierskap i Pålogga i dag. Shifter kjenner til at det foregår en prosess med å overføre eierskapet til de som startet Pålogga, og at dette vil være fullført innen sommeren.
– Opplagte grunner
IKT Norge peker på at Traqs rapport blant annet er basert på informasjon som ligger ute på selskapenes nettsider, og mener det dermed gir et ufullstendig bilde av situasjonen.
– Av opplagte grunner, er det ingen av edtech-selskapene som har villet dele informasjon og detaljer om interne avtaler de har med sine kunder med et ukjent kommersielt selskap, sier Frøysnes.
Daglig leder i Traq, som har utarbeidet rapporten, tilbakeviser påstandene til Frøysnes og IKT-Norge.
– Rapporten er ikke basert på innsikt i prosessene, men i det formodentlig synlige resultatet av dem - hvordan selskapene gjør rede for sin behandling av personopplysninger ovenfor potensielle sluttbrukere, sier Per Olav Nyborg.
– I rapporten søkes det å gjenspeile hvordan behandlingen av personopplysninger fremstår for sluttbrukeren, basert på tilgjengelig informasjon. Dette fremgår tydelig i rapportens innledning. Hovedmålet har vært å rette fokus på, og bidra til en fremtidig styrking av, personvernet; det bør definitivt være i bransjens interesse også, sier han.
Ønsker dialog
Frøysnes avviser ikke at det er utfordringer på dette området, men sier at IKT-Norges edtech-medlemmer har nær kontakt med Datatilsynet og KS for å sikre nettopp dette, blant annet gjennom KS-initiativet SkoleSEC.
– Dette handler om kompetanse og tett dialog mellom alle aktører innenfor utdanningssektoren. Vi stiller oss derfor spesielt undrende til hvorfor Pålogga ikke selv velger å gå i dialog med edtech-næringen om dette. Det hadde vært adskillig mer konstruktivt, sier Frøysnes.
– Langt igjen
Pålogga, ved pådriver Ida Dahl, står på sitt. Samtidig mener hun at kravene omkring GDPR og personvern er utydelige og uoversiktlige, noe som gjør terrenget krevende å navigere i for aktørene.
I forrige uke pekte hun også på at det foregår «et stort arbeid» på behandlersiden, og oppfordret til inkludering av leverandørsiden.
– Spørsmålet vårt er om personvern i skolen i dag er godt nok, eller om funnene rapporten trekker frem kan sees på som nyttige i å belyse hvor innsatsen bør fokuseres, sier hun.
– Vår konklusjon er at det er langt igjen. Dersom andre har kommet til andre konklusjoner enn oss, er det meget spennende å sammenligne funn, sier Dahl.
– Nødvendig kompetanseløft
Til anklagene om dårlig beslutningsgrunnlag for sin rapport, svarer Dahl at Pålogga har kontakt med samtlige av aktørene rundt bordet.
– Dette inkluderer brukere, innkjøpere, myndigheter, bransjeorganisasjoner og leverandører, sier hun.
Videre viser Dahl til at:
- Pålogga hatt kontakt med store deler av skole-Norge siden mars 2020. Gjennom sitt Facebooksamfunn med 90.000+ medlemmer og egne intervjuer med skoleeiere, har de kommet til at problemstillingen er reell og kompleks for samtlige parter på behandlersiden.
- Pålogga har hatt dialog med et betydelig antall norske og utenlandske edtech-leverandører, samt gjort spesifikke intervjuer for denne rapporten, omkring utfordringer i det å ivareta personvern. Ifølge Pålogga mener samtlige av disse at GDPR og personvern er krevende.
– Vi er spesielt bekymret for hvor liten bistand mindre edtech-aktører får fra bransjeorganisasjoner i en kompleks og sammensatt problemstilling som er avgjørende for deres konkurransekraft, sier Dahl.
Hun tror imidlertid ikke at det handler om dårlige intensjoner og mangel på vilje, men heller «et nødvendig kompetanseløft og klokkerklare retningslinjer».
– Vi er ikke ute etter å henge ut noen selskaper, men belyse en viktig problemstilling. Derfor er resultatene anonymisert. Vi er overbevist om at alle norske edtech-selskaper er verdidrevne og ønsker jo ivareta personvern og tar det på alvor - det betviles ikke, sier hun.
Ja til standardisering
Rapporten fra Pålogga omfatter blant andre Salaby, som er heleid av Gyldendal. Tjenesten er landets største digitale læremiddel og har nærmere 400.000 brukere på barnetrinnet. Gyldendal er også medlem i IKT Norge.
Et av de tydeligste forslagene i rapporten, er mer standardisering.
– For å si det sånn: Vi er svært positive til å standardisere, og tror vi deler den oppfatningen med mange – både på leverandørsiden og blant skoleeierne, sier forlagssjef for kunder og kommunikasjon i Gyldendal, Hanne-Mari Eide Bennett.
Gyldendal mener at selve lagringen av elevdata bør være et statlig ansvar, og at den offentlige infrastrukturen bør inkludere dette - gjerne tilknyttet den allerede etablerte statlige autentiseringsløsningen, Feide.
Ifølge Eide Bennett lagrer Salaby i dag lite informasjon om brukerne.
– Som databehandler er vi opptatt av at brukerne skal få god informasjon om hvilke data vi samler. Gyldendals rolle er å behandle de dataene skoleeierne trenger for å gi best mulig undervisning, ikke å sitte på mest mulig data om elevene, sier Eide Bennett.
Hun forteller at Salaby sin personvernerklæring dukker opp ved første gangs pålogging, og beskriver den som «nokså overordnet og kortfattet, og henviser til et personverndokument som ligger lett tilgjengelig i footeren på tjenesten».
Starter med sikkerhet
– Hva må til for at aktørene skal klare å oppfylle kravene?
– God datasikkerhet er en forutsetning for godt personvern. Hvis du ikke har kontroll på dataene, hvem som har tilgang til de, hvor de lagret, at de er kryptert – kan du heller ikke ha godt personvern, slår Eide Bennett fast.
Hun understreker at Gyldendal setter personvern og datasikkerhet svært høyt.
– Vi har opprettet egne stillinger for personvernombud og fagansvarlig for personvern. Vår ambisjon for dette arbeidet er å gjøre skole-Norge tryggere. For eksempel jobber vi alltid etter prinsippet «innebygget personvern», og har en grunnleggende holdning som tilsier at vi ikke genererer og lagrer mer persondata enn det som strengt tatt er nødvendig for å levere i henhold til behandlingsgrunnlaget. Vi gjennomfører løpende revisjoner av våre systemer og jobber systematisk med kompetanseutvikling innen feltet, sier hun.
Eide Bennett viser også til prosjektet «SkoleSec», hvor skoleeierne har gått sammen om å styrke arbeidet med personvern og informasjonssikkerhet knyttet til digitalt læringsmiljø.
– Dette initiativet mener vi er viktig og nødvendig for å skape bevegelse i riktig retning.