Datatilsynet vurderer vedtak om irettesettelse av Strand kommune

Datatilsynet vurderer vedtak om irettesettelse av Strand kommune sin håndtering av innføringen av Google Chromebook og Google tjenester i Strandaskolen. Mener blant annet at kommunen ikke har innformert godt nok og at personvernsikkerheten ikke var godt nok ivaretatt.

Saken startet med en avviksmelding til Datatilsynet som gjelder bruk av Google Chromebook og Google tjenester for skoler i Strand kommune.

Saken er meldt inn som brudd på personopplysningssikkerheten. Alle elever skal benytte unike brukernavn og passord ved bruk av Chromebook. Ved utdeling av Chromebook til elevene i første og andre klassetrinn i Strandaskolen, ble det i oppstartsfasen benyttet intuitive brukernavn og felles passord. Det var i tillegg mulig å chatte på andre elevers konto. Som en konsekvens av dette kunne søsken, foresatte og medelever få tilgang til personopplysninger om andre elever.

Som tiltak på avviket ble det generert unike passord for hver elev, samtidig som elevnettverket er adskilt fra det administrative nettverket. Det ble i tillegg sperret adgang for bruk av chat-tjenester.

Datatilsynet ba Strand kommune om en redegjørelse for det rettslige grunnlaget etter artikkel 6, plikten til å informere etter artikkel 12-14, rutiner ved bruk av Google Chromebook G Suite for Education etter artikkel 24, plikten til å sørge for tilstrekkelig informasjonssikkerhet etter artikkel 32.

Slik redegjørelse ble gitt av Strand kommune 4. november 2019.

Dette er avvikene kommunen kan bli irettesatt for

Datatilsynet varsler at de vil vurdere å fatte følgende vedtak om irettesettelse:

I medhold av personvernforordningen artikkel 58 nr. 2 bokstav b) utsteder Datatilsynet en irettesettelse til Strand kommune for at

1. den ikke har ført en fyllestgjørende protokoll over behandlingsaktiviteter som foregår på elevenes Chromebook og i G Suite for Education, jf. artikkel 30

2. den ikke har gjennomført egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, jf. artikkel 32 nr. 1, jf. artikkel 5 nr. 1, bokstav f,

3. den ikke har gjennomført en vurdering av personvernkonsekvensene ved bruk av Chromebook og G Suite for Education i skolen, jf. artikkel 35,

4. den ikke har gitt informasjon som er egnet til å gjøre elever og foresatte i stand til å ivareta sine interesser og personvern ved bruk av Chromebook og G Suite for Education, jf. artikkel 12 – 14

Les hele brevet fra Datatilsynet her!

Har tatt flere grep allerede

I sitt svar på varselet fra Datatilsynet erkjenner Strand kommune vedtaket om irettesettelse på alle punkter. Samtidig opplyser kommunen at de har utarbeidet en handlingsplan for etterlevelse av personvernregelverket ved bruk av skytjenester i grunnskolen, i dette tilfellet Google Chromebook G- Suite for Education.

Strand kommunes handlingsplan for etterlevelse av personvernregelverket ved bruk Google Chromebook og G- Suite for Education

I arbeidet med gjennomføring av korrigerende tiltak vil veiledningen fra Datatilsynet bli brukt, opplyser Leila Raza van Veen som er HMS & Kvalitetsansvarlig i Strand kommune.

Kommunalsjef for opplæring, Guro Harboe Ur, sier til iRyfylke at det er viktig å ta på alvor barnas rett til personvern i disse sakene, og skolemyndighetene har et særskilt ansvar her. En kan stille spørsmål til om kommunene har nok juridisk kompetanse til å møte de kravene som stilles, og dette arbeides det med i hele skole-Norge.

Hum viser til et arbeid initiert av KS, kalt skolesec, som skal hjelpe kommunene i dette fagfeltet.

Videre arbeider også kommunen med å gjøre hjemmesiden vår mer oppdatert og opplysende for elever/foresatte/ansatte, og vi ser at her har vi ikke vært gode nok. Dette arbeidet er prioritert nå, og sånt sett har vi lært mye av Datatilsynets reaksjon, avslutter Harboe Ur.

Vi setter stor pris på donasjon av valgfritt beløp for å ha lest artikkelen.
*Alle donasjoner behandles konfidensielt