Lov&Data

2/2024: Artikler
25/06/2024

Kan databehandler behandle metadata om norske elever til videreutvikling?

Av Lina Breivik. Jurist og prosjektmedarbeider i den nasjonale Google-DPIA (KS) og Ida Thorsrud, Jurist og prosjektleder for den nasjonale Google-DPIA (KS).

Tre unge personer som samhandler utenfor et skolelignende bygg, med bøker og papir, digital illustrasjon.

Illustrasjon: Colourbox.com

Flere databehandlere bruker metadata til å videreutvikle tjenestene de tilbyr. Den danske Chromebook-saken viser at dette er problematisk når det gjelder metadata om skole­elever.(1)Chromebook-saken (journalnr. 2023-431-0001) Denne artikkelen gjør rede for hvilket handlingsrom norske skoleeiere har innenfor opplæringslovens rammer, og ansvarsforholdet til databehandler.

Datatilsynet uttrykker at den nye opplæringsloven som etter planen trer i kraft fra august 2024, er en «unik mulighet» til å klargjøre skoleeiers handlingsrom i utviklingen av verktøy som brukes i undervisningen.(2)Datatilsynets AVT – sluttrapport, og Prop. 57 L (2022-2023), s. 472 Kunnskapsdepartementet sier likevel at de vil «ved behov komme tilbake til dette på eit seinare tidspunkt».(3)Prop. 57 L, s. 474 Vi mener at behovet allerede er her, og stiller oss bak Datatilsynets oppfordring.

Behovet aktualiseres av den danske Chromebook-saken, hvor 53 danske kommuner forbys å bruke Chromebook. Det danske Datatilsynet mener at deres folkeskolelov ikke åpner opp for at databehandler kan bruke metadata til videreutvikling av produkter og tjenester om danske elever, og etterlyser en klar politisk retning.(4)Chromebook-saken I denne artikkelen utforsker vi handlingsrommet og rettssituasjonen i Norge, og hvorfor vi mener handlingsrommet til skoleeier er større i Norge enn i Danmark. Vi bruker Google Workspace for Education (GWFE) som eksempel, med standardproduktene som er inkludert (kjernetjenestene).

I denne artikkelen utforsker vi handlingsrommet og rettssituasjonen i Norge, og hvorfor vi mener handlingsrommet til skoleeier er større i Norge enn i Danmark.

Den aktive norske eleven

Norsk skole legger opp til at eleven aktivt skal være deltakende i sin egen læring. Dette er en viktig forutsetning når skoleeier skal sette rammene for opplæring.

Med aktiv siktes det til at elever gjennom egen erfaring, både alene og i samspill med andre, skal få forståelse for kritisk og vitenskapelig tenkning. Et av hovedformålene med opplæringen er nettopp at elevene «skal få utfalde skaparglede, engasjement og utforskartrong», slik at skolen skal «opne dører mot verda og fremtida» jf. opplæringsloven (oppl.) § 1-1. At opplæringen skal legge til rette for aktive elever, er derfor en av de viktigste forutsetningene skoleeier må ta hensyn til når de anskaffer nye tjenester.

Før anskaffelse av en ny tjeneste, må skoleeier ha et formål for å kunne behandle personopplysninger. I undervisningssammenheng er dette formålet som oftest «Tilpassa opplæring» etter oppl. § 1-3, og det er dette formålet vi utforsker nærmere i denne artikkelen. Opplæringen må skje i samsvar med læreplanen (§ 2-3), og skoleeier kan behandle personopplysninger så lenge det er nødvendig (§ 15-10), jf. GDPR art. 6(1) e).

Opplæringsloven er forsiktig med å sette grenser for hvilke personopplysninger som faktisk er nødvendige å bruke når og til hva. Dagens lov gir derfor en vid skjønnsmessig adgang til skoleeier, og åpner opp for at det kan være store forskjeller fra skole til skole.

Det vide handlingsrommet kan ses i sammenheng med lærerens profesjonsskjønn og lokale forhold, men også at Norge er et særlig teknologipositivt land. Opplæringsloven skal være «mest mulig teknologinøytral, det vil si et regelverk som ikke er til hinder for at det lokalt tas i bruk gode teknologiske løsninger».(5)NOU 2019: 23, 153 Er regelverket for snevert, kan det stenge for gode løsninger, men er det for vidt, kan vi risikere formålsutglidning. Vi skal se nærmere på hvilke personopplysninger vi vurderer er nødvendig for å oppnå formålet, men først vil vi definere hvilke personopplysninger vi setter søkelys på i denne artikkelen.

Opplæringsloven skiller ikke mellom ulike kategorier av personopplysninger. Vi deler likevel her inn personopplysninger i to: innholdsdata og metadata. Begge er personopplysninger etter GDPR, men må ikke forveksles med hverandre. Innholdsdata er personopplysninger som elever og lærere lager eller deler selv, det kan være tekst og bilde, eller lærerens vurderinger. Metadata er data om data, eller med andre ord informasjon som beskriver egenskaper om annen informasjon. Google bruker begrepet tjenestedata.(6)Se Googles personvernerklæring for GWFE Det vil bl.a. omfatte data om hvordan verktøyet brukes, posisjon og innstillinger på enheten. Slik metadata er pseudonymisert, som vil si at elever og andre kan indirekte identifiseres. I denne artikkelen ser vi kun på bruken av metadata.

Behandling av metadata til tilpasset opplæring

Kan metadata om elever behandles under opplæringslovens formål om tilpasset opplæring?

Bestemmelsen om tilpasset opplæring videreføres i ny språkdrakt uten realitetsendring fra gammel til ny opplæringslov.(7)Prop. 57 L, s. 183 Derfor vil presiseringen og tolkningen av lovreglene være sammenfallende, og vi bruker i stor grad de ferskeste retningslinjene for tolkingsrommet.

Den nye bestemmelsen er flyttet til § 11-1, og sier at tilpasset opplæring innebærer «at elevane får eit tilfredsstillande utbytte av opplæringa uavhengig av føresetnader, og at alle skal få utnytta og utvikla evnene sine». Forarbeidene sier at opplæringen «innanfor eit fellesskap – skal leggjast til rette på ein slik måte at alle elevar skal få så godt utbytte av opplæringa som mogleg».(8)Prop. 57 L, s. 180 Etter vår forståelse er det en tydeliggjøring av at alle elever skal få mulighet til å delta aktivt i opplæringen. Dette blir altså en viktig forutsetning når skoleeier skal anskaffe nye tjenester.

Digitale ferdigheter er en av de fem grunnleggende ferdighetene som elever skal læres opp i etter læreplanen. Det skal være «en naturlig del av grunnlaget for læringsarbeid både i og på tvers av faglige emner», og «gir muligheter for nye og endrede læringsprosesser og arbeidsmetoder».(9)Rammeverk for grunnleggende ferdigheter del. 2.1 (Digitale ferdigheter) Dette betyr at eleven selv aktivt må bruke digitale tjenester i opplæringen, som igjen kan utvide hva som er nødvendig å behandle av personopplysninger. Vi ser nærmere på dette under de ytre rammene for formålet.

Aller først betyr det, slik vi ser det, at skoleeier strategisk må velge ut verktøy som legger til rette for både samhandling og individuelt arbeid for elever, og som gir lærerne mulighet til å tilpasse opplæringen etter forholdene for best mulig utbytte. Da kan vi vanskeligere slå oss til ro med verktøy som er basert på data og behov fra andre læringskulturer og syn. For å illustrere dette kan vi se til løsningen YouTube, en tilleggstjeneste som ikke er inkludert i GWFE og som er et kommersielt videoverktøy Google er behandlingsansvarlig for. For å unngå at Google behandler personopplysninger om elever til kommersielle formål, har de laget en løsning hvor lærere kan dele video-lenker med elevene i Google Classroom. Denne løsningen gjør at elever ikke har mulighet til å aktivt delta i opplæringen selv, og dekker derfor ikke det pedagogiske behovet norske skoler har.

Derfor mener vi at skoleeier må ha en langvarig strategi som tar hensyn til om tjenestene er og kan fortsette å tilpasses det norske læringssynet og behovet.(10)Kunnskapsdepartementet understreker også viktigheten av å ha en god strategi for tilpasset opplæring som gagner alle i Prop. 57 L, s. 603-604 For å få til dette er det nødvendig at strategien bygger på et godt datagrunnlag om norske elever. Her vil vi lene oss på samme argument som Kunnskapsdepartementet bruker for at staten skal kunne innhente elevdata til å lage nasjonale strategier: «Eit godt datagrunnlag, som også inkluderer individdata, er derfor nødvendig for å sikre eit godt kunnskapsgrunnlag for nasjonale styresmakter i styring av sektoren».(11)Prop. 57 L, s. 57

Sagt på en annen måte: For å oppnå formålet om tilpasset opplæring må skoleeier anskaffe digitale tjenester som tillater en aktivt deltakende elev i tråd med norsk læringssyn. Det innebærer at skoleeier må ta strategiske valg både ved anskaffelse av tjenesten og ved senere bruk, bl.a. basert på et kunnskapsgrunnlag fra metadata. Neste spørsmål blir da: Hva er de ytre rammene for databehandlers behandling av metadata?

De ytre rammene for formålet

De aller fleste leverandører bruker metadata som produseres ved bruk av tjenesten de tilbyr, og vi skal komme nærmere inn på ansvarsforholdet. Først påpeker vi at skoleeier alltid har en plikt til å sørge for at viderebehandling av elevers metadata ikke skjer på en måte som er uforenlig med det opprinnelige formålet, jf. GDPR art. 6(4) og 5(1) b). Det er dermed behov for å vurdere det ytre handlingsrommet som ligger i opplæringslovens bestemmelse om tilpasset opplæring.

For viderebehandling av metadata ser vi på disse tre formålene:

  1. levering, tilgjengelighet og sikkerhet for tjenesten

  2. videreutvikling av den konkrete tjenesten

  3. videreutvikling av andre og nye produkter fra leverandører

Levering, tilgjengelighet og sikkerhet for tjenesten

Når en tjeneste anskaffes, plikter skoleeier etter GDPR art. 28, å sørge for å bare inngå kontrakt med en leverandør som kan etterleve personvernforpliktelsene sine. Tjenesten som velges, må også tilby sikker og tilgjengelig bruk.(12)Selvstendige krav til sikkerhet følger av bl.a. GDPR art. 32(1) b) og eForvaltningsforskriften § 15 (2) Rammen for kravene følger av ulike lovregler, men prinsippene er grunnleggende og skal ligge i bunn av alle behandlinger av personopplysninger, etter kravet om innebygget personvern og KIT (konfidensialitet, integritet og tilgjengelig).(13)GDPR art. 5(1) f) og 32(1) b)

En sikker og tilgjengelig tjeneste vil f.eks. innebære å hindre at uvedkommende får tilgang til tjenesten, men også å skjerme elever fra skadelig innhold.(14)Plikt til å skjerme elever fra skadelig innhold følger av flere bestemmelser, f.eks. bildeprogramloven § 1 og oppl. § 9 A-3 For å få til dette kan det være nødvendig å behandle metadata som IP-adresse og lokasjon.

Ofte er det naturlig og behov for at skoleeier delegerer en del av slike behandlinger til den som leverer tjenesten. Dette henger sammen med skoleeiers valgfrihet til å velge hvilket verktøy som er best egnet til å oppnå formålet om tilpasset undervisning.

Formålet levering, tilgjengelighet og sikkerhet for tjenesten, er derfor forenlig med formålet om tilpasset opplæring.

Videreutvikling av den konkrete tjenesten

Med den konkrete tjenesten sikter vi til det eller de verktøyene som skoleeier anskaffer og kjøper lisens til. En tjeneste kan inneholde flere produkter. GWFE sine kjernetjenester består bl.a. av produktene Classroom, Dokumenter og Kalender. Videreutvikling kan f.eks. være å forbedre stavekontrollen på norsk eller identifisere hvor det er behov for å gjøre endringer for å bedre brukeropplevelsen.

Når vi ser på det opprinnelige formålet om tilpasset opplæring, har skoleeier et visst handlingsrom til å bestemme hvordan opplæringen skal foregå. Vi har drøftet hvordan og hvorfor vi mener skoleeier må ha en langvarig strategi som tar høyde for å tilby tjenester som henger med og utvikler seg med tiden. Denne argumentasjonen anerkjennes også av det danske Datatilsynet i Chromebook-saken, selv om dansk lov ikke åpner opp for det nå. Siden handlingsrommet er større etter norsk lov mener vi at denne argumentasjonen kan tas til følge hos oss, og at oppl. § 1-3 kan tolkes utvidende. Viderebehandlingen må likevel vurderes opp mot flere hensyn i tråd med GDPR art. 6(4).

Personopplysninger i skolen samles tradisjonelt primært inn for å brukes her og nå i elevens opplæring. Behandlingen kan oppleves mindre forutsigbar for elever og foreldre når opplysningene brukes til videreutviklingsformål. Samtidig vil hensynet til fellesskapet være innenfor formålets rammer slik vi tolker det, og det er en tydelig sammenheng mellom tilpasset opplæring til den enkelte elev og tilpassede verktøy til elevfellesskapet. Åpenhet om hvorfor og hvordan behandlingen foregår vil være et viktig element som bidrar til at sammenhengen blir synlig og forutsigbar.

En nødvendig garanti vil også være at det ikke er den enkelte elevs bruksmønster som skal vurderes, men datasett av elevmassen. For GWFE sin del innebærer det at opplysningene pseudonmiseres og aggregeres. Profilering av elevene og deres individuelle bruk omfattes ikke. Personopplysninger skal ikke brukes mot dem senere i livet til f.eks. atferdsbasert markedsføring, som er en viktig forutsetning påpekt av Personvernkommisjonen og som vi stiller oss bak.(15)NOU 2022: 11, s. 11 Risiko for at elever og lærere skal endre atferd fordi de følger seg overvåket (nedkjølingseffekt), er derfor mindre. F.eks. vil et mønster i et datasett kunne være med å lokalisere en feil i systemet som må rettes. En slik behandling vil i mindre grad fremstå upåregnelig.

Vi mener derfor at formålet videreutvikling av den konkrete tjenesten, er forenlig med formålet om tilpasset opplæring.

Videreutvikling av andre produkter

For videreutvikling av andre produkter fra leverandører som skoleeier ikke har anskaffet, er det vanskeligere å se at dette er i tråd med opprinnelig formål.

Elever kan vanskelig få utfolde «skaparglede, engasjement og utforskartrong» gjennom produkter som ikke brukes av skolen, jf. oppl. § 1-1. Selv om det vil kunne tenkes å være en fordel at det utvikles flere produkter som er tilpasset det norske samfunn og som skoleeier kan velge mellom, vil argumentet om at produktene kanskje kan brukes på sikt være svært grunt. Etter vår mening ville det være å tolke skoleeiers handlingsrom for å utvikle strategier for vidt.

Å bruke metadata om elever til å utvikle produkter som verken kommer eleven eller elevfellesskapet til gode, vil samtidig ha et kommersielt aspekt som vil stride med opplæringsloven. Behandlingen vil også være lite forutberegnelighet fordi leverandør gis vide rammer til å utvikle helt nye produkter.

Formål nr. 3, videreutvikling av andre produkter fra leverandør, er derfor ikke forenlig med formålet om tilpasset opplæring.

Ansvarsforholdet mellom skoleeier og leverandør

Utgangspunkter for norske kommuner og skoleeiere er at de er behandlingsansvarlig for personopplysninger for elever, lærere og andre ansatte. Behandlingsansvarlig er den som «alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes».(16)GDPR art. 4(7) Skoleeier vil med andre ord være behandlingsansvarlig for alle personopplysninger som behandles i skolen. Dette inkluderer metadata, og det behandlingsansvaret er ikke noe som en skoleeier kan avtale seg bort fra.

Opplæringsloven setter rammer for behandlingsansvaret. Dette betyr at norske skoleeiere ikke kan behandle personopplysninger om elever, lærere og andre ansatte på en måte som ikke er kompatibel med formålene i opplæringsloven. Opplæringsloven setter med andre ord rammer for hvilke metadata skoleeier kan behandle, hvilke metadata skoleeier kan dele med leverandøren og til hvilke formål leverandøren kan viderebehandle opplysningene til.

Større teknologiselskaper opererer noen ganger som behandlingsansvarlig for flere av tjenestene sine. For Google gjelder det f.eks. tjenestene Youtube, Google Søk og Google Maps. I utgangspunktet kan ikke norske skoleeiere bruke tjenester der Google også er behandlingsansvarlig uten å ta en vurdering av om de formålene som Google viderebehandler personopplysningene til, er kompatible med de opprinnelige formålene i opplæringsloven.(17)GDPR art. 5(1) b)

Selv for tjenester der Google i utgangspunktet er databehandler, er Google behandlingsansvarlig for metadata. Sagt på en annen måte behandler Google metadata til egne formål. Det gjelder f.eks. kjernetjenester i GWFE.(18)Dette er tilfellet for kjernetjenestene i GWFE og Chrome nettleser med Data Processor Mode på en administrert Chromebook

Google tilbyr ulike avtaler eller «terms of service» for GWFE som åpner for forskjellige løsninger for hvem som er behandlingsansvarlig for hvilke personopplysninger. Om det er skoleeier eller Google som er behandlingsansvarlig for innholdsdata avhenger i all hovedsak av hvilke tjenester skoleeier velger å bruke (kjernetjenester eller tilleggstjenester). Når det gjelder hvem som er behandlingsansvarlig for metadata, kan skoleeier ut ifra Google sin avtalestruktur velge om de ønsker å være behandlingsansvarlig, eller om Google skal være behandlingsansvarlig alene.

Som tidligere nevnt, er skoleeier behandlingsansvarlig for alle personopplysninger som behandles i skolen. Opplæringsloven skiller ikke på innholdsdata eller metadata. Skoleeier er behandlingsansvarlig for all data som er personopplysninger. Det betyr at norske skoleeiere må velge de avtalene hvor de beholder behandlingsansvaret også for metadata.(19)Per denne artikkelens dato må norske skoleeiere godta «the Optional Service Data Addendum» for også å være behandlingsansvarlig for metadata som behandles i kjernetjenestene til GWFE, og godta og aktivere Data Processor Mode for å være behandlingsansvarlig for metadata som behandles i Chrome nettleser og for «essential services» i Chrome OS på en administrert Chromebook.

Å beholde behandlingsansvaret også for metadata vil samtidig gjøre at norske skoleeiere beholder revisjonsretten. En databehandler som Google kan i utgangspunktet ikke bruke personopplysninger til egne formål,(20)GDPR art. 4 nr. 8 og art. 28(3) a) med mindre de nye formålene er kompatible med behandlingsansvarliges egne formål.(21)GDPR art. 5(1) b)

Videre skal behandlingsansvarlige bare inngå avtaler med databehandlere som stiller tilstrekkelige garantier for GDPR-etterlevelse.(22)GDPR art. 28(1) Det betyr at det er viktig for norske skoleeiere å kunne verifisere at de formålene som Google viderebehandler metadata til, er kompatible med de formålene som fremgår av opplæringsloven.

Hva er neste?

Den danske Chromebook-saken, Datatilsynets etterlysning etter tydelige lovhjemler i opplæringsloven og denne artikkelen viser at utfordringen rundt leverandørers bruk av metadata om elever til egne formål er kompleks. Problemstillingen dreier seg om skoleeiere kan ta i bruk tjenester hvor leverandøren behandler metadata til egne formål og samtidig ivaretar sitt behandlingsansvar.

Vi mener at videreutvikling av konkrete produkter som kan tilpasses norske elever og norsk skolekultur, er innenfor det opprinnelige formålet som følger av opplæringslovens bestemmelse om tilpasset opplæring. Dette er en utvidet tolkning som vi også mener er innenfor opplæringslovens opprinnelige formål, som bl.a. sier at elevene «skal få utfalde skaparglede, engasjement og utforskartrong», slik at skolen skal «opne dører mot verda og fremtida».(23)Oppl. § 1-1

Vi har i denne artikkelen forsøkt å gi noen rammer både for leverandørens bruk av metadata om elever til egne formål, og for hva skoleeier må være oppmerksom på ved kjøp av digitale verktøy og tjenester som brukes i skolen.

Problemstillingen dreier seg om skoleeiere kan ta i bruk tjenester hvor leverandøren behandler metadata til egne formål og samtidig ivaretar sitt behandlingsansvar.

At en skoleeier kan kjøpe tjenester av en leverandør som bruker metadata, må ikke bli en hvilepute. Tvert imot stiller presiseringen i denne artikkelen krav til både skoleeiere og levererandører. Skoleeier på sin side må sørge for at de ikke inngår avtaler med leverandører som behandler metadata til andre formål enn de som er kompatible med formålene i opplæringsloven. Denne presiseringen kan også bli et kriterie ved revisjon av leverandøren.(24)GDPR art. 28(3) h) For leverandører som leverer tjenester til skolen, setter presiseringen føringer både for hvilke personopplysninger leverandøren kan samle inn, og hva opplysningene kan brukes til.

Lina Breivik
Lina Breivik, portrett
Ida Thorsrud
Ida Thorsrud, portrett