Datasikkerhed i undervisningen

INTRO

Hver gang en elev logger på en digital tjeneste, efterlades der en sti af dataspor. Det er data, der kan afsløre personlige oplysninger om det enkelte barn. Red Barnet og EduLabs tjekliste er til skoler, der vil sikre sig, at de kun bruger tjenester, som behandler elevernes data ansvarligt.

Der har de seneste år været flere og flere eksempler på, at persondata og dataspor på internettet bliver udnyttet til fx målrettet politisk manipulation i valgkampe, spredning af fake news og til firmaers personrettede reklamekampagner.

Det kan være ubehageligt, når en trøje, vi har kigget på, pludselig dukker op alle mulige steder online. Men hvad med alle de gange, vi ikke opdager, at vi bliver forsøgt påvirket? Og hvad gør vi, når det er børn, som udsættes for ’udspioneringen’?

Oplysninger til salg

Når elever sætter sig til skolens computere og logger på en digital tjeneste, afsætter de en sti af data efter sig. Det er data, der kan afsløre private oplysninger om det enkelte barns interesser, styrker og svagheder og sågar karaktertræk. Oplysninger, som mange firmaer og organisationer er interesserede i.

Derfor er en ny industri med salg og analyser af personlige data ved at vokse frem. Den gør det muligt at købe sig til viden om et individ: Hvilke karakterer fik personen i skolen? Er han tidligere blevet fyret? Hvad drømmer han om? Hvordan er hans mentale udholdenhed, arbejdstempo, omstillingsparathed? Listen af menneskelige træk, man kan udlede af data, er lang.

Skolen har ansvar for data

Sikring af privatpersoners data har stor politisk bevågenhed, og EU’s persondataforordning, kaldet GDPR fra 2018, har netop til formål at sikre borgernes personlige data. Særligt udsatte er børn, der færdes ukritisk på nettet, og derfor er der særligt fokus på børn i GDPR. Loven siger, at tjenester indenfor EU ikke må indsamle og bruge børns data uden deres forældres klare samtykke. Aldersgrænsen i Danmark går ved 13 år. Er børnene yngre, kræver det en samtykkeerklæring fra mor eller far. Dette giver forældre en mulighed for at kontrollere deres børns færden på nettet i fritiden.

Når lærere bruger digitale tjenester i undervisningen, sker det imidlertid som led i deres undervisningsforpligtelse. Dermed bortfalder reglen om, at forældre skal give samtykke til, at tjenesten må indsamle data om deres børn. Ansvaret for at beskytte børnene i skoletiden ligger altså hos den enkelte skole. Derfor er det vigtigt, at skolen sikrer, at lærerne er klædt på til opgaven.

Red Barnet og EduLab ønsker at bidrage til, at børn kan færdes sikkert på nettet – også i skoletiden. Derfor har de sammen udarbejdet en tjekliste med seks spørgsmål, du som lærer eller skoleleder bør stille til digitale tjenester, inden de tages i brug. Listen er skrevet med hjælp fra tænkehandletanken DataEthics.

6 råd til datasikkerhed i undervisningen

1. Hjemland

Hvor har tjenesten hovedsæde?

Hvis virksomheden bor i Europa, skal den efterleve GDPR og anden europæisk datalovgivning, som er meget strengere end lignende lovgivning i Kina og USA. Europa sætter traditionelt beskyttelsen af privatliv højere end resten af verden. Er du i tvivl om virksomhedens hjemland, kan du altid kontakte tjenestens support.

2. Betaling

Hvordan betaler du for tjenesten?

Koster det penge at bruge servicen? Nogle gange betaler du ikke med penge, men med elevernes data (fx lokation, kontakter, beskeder). Oplysningerne kan være værdifulde for virksomheden selv eller andre, der vil have adgang til eleverne for at sælge varer eller påvirke deres meninger. Hvis tjenesten er gratis, så spørg dig selv, hvad virksomhedens motivation er for at forære sit produkt væk. Du kan være mere rolig, hvis du tilbydes undervisningsmateriale, der er finansieret af en almennyttig organisation med et samfundsansvarligt formål, fx Røde Kors. Er tjenesten gratis og uden højere formål? Så er data om eleverne sandsynligvis din betaling – data, som kan sælges til fx firmaer og partier.

3. Dataindsamlingens formål

*Underoverskrift her?*

Dataindsamling tjener mange gode formål. Dels kan data være nødvendige, for at lærere kan identificere deres elever og følge deres progression. Dels kan vi med afsæt i data blive klogere på fx børns læring og udvikling. Det er vigtigt, at brugere af en tjeneste ved, hvad data bliver brugt til og er indforstået med formålet. Data til analyseformål behøver ikke at være personhenførbart. Et eksempel: Det er i orden af måle tendenser, fx at 7. klasses elever på landsplan er blevet dårligere til procentregning. Det er derimod uetisk at registrere, at den enkelte elev, Anna Hansen, er blevet dårligere. I de tilfælde bør data altid anonymiseres.

Du kan vurdere en virksomheds vilje til at beskytte persondata ved at stille følgende spørgsmål:

  • Gennemsigtighed: Fremgår det tydeligt, hvilke data der indsamles, og hvad data anvendes til?
  • Data til andre formål: Indsamles der data, der ikke er direkte nødvendige for formålet?
  • Adgang til data: Fremgår det, hvem der har adgang til det indsamlede data?
  • Videresalg af data: Giver du virksomheden ret til at videresælge elevernes data?
  • Adgang og sletning af data: Fremgår det, hvordan I gør, hvis eleven vil have indsigt i eller slette sine data?

4. Tracking

Bliver eleverne beskyttet mod reklamer?

Er der reklamer på tjenesten? Eller har virksomheden en dataetik, der blokerer reklamer? Anvendes cookies til at manipulere eleverne med, eller bruges de kun til tekniske formål? Anvendes der SoMe-plugins? I så fald vil tjenesten dele sin data med fx Facebook eller Snapchat, og eleven kan derefter på sin profil møde reklamer, der er udløst af, at han har brugt tjenesten.

5. Databehandleraftale

Kan skolen tegne den lovpligtige databehandleraftale med virksomheden?

Når en skole anvender en tjeneste i undervisningen, skal dataejerskabet defineres: Er det skolen, der ejer elevernes data, eller er det tjenesten? Hvis skolen ikke ejer data, betyder det, at data overdrages til tjenesten. Det er fx tilfældet med Facebook, der ejer den data, som eleverne lægger op.

Hvis skolen ejer data, skal der tegnes en databehandleraftale med tjenesten. Databehandleraftalen er en aftale om, hvordan databehandleren (fx MatematikFessor) må behandle oplysninger på den dataansvarliges (skolens) vegne og til hvilke formål. Med databehandleraftalen forpligter databehandleren sig bl.a. til at behandle personlige oplysninger efter nøje instrukser. Det sikrer, at databehandleren kan yde tilstrækkelig omhu og sikkerhed omkring behandlingen af de følsomme data.

6. Sikring af data

Er virksomhedens sikkerhed i orden, og passer de godt på elevernes persondata?

Ligesom det kan svært at vurdere hygiejnen på en restaurant, kan det også være vanskeligt at gennemskue en tjenestes datasikkerhed. På restauranten kan du kontrollere Levnedsmiddelstyrelsens smileyordning. På IT-tjenester er du godt hjulpet, hvis tjenesten har fået lavet en uvildig sikkerhedserklæring uden kritiske anmærkninger.

Datasikkerheden svinger på tjenester til børn

En analyse fra 2018 af 14 danske og globale tjenester rettet mod børn viste, at der er stor forskel på, hvor godt data bliver beskyttet. Kun to ud af de 14 tjenester behandlede data etisk ansvarligt, afgjorde rapporten fra tænkehandletanken DataEthics.eu.

Interview med Pernille Tranberg, ekspert i dataetik og medstifter af tænkehandletanken Dataethics.eu.

Er du en af de lærere, der vil undgå, at dine elevers personlige data bliver misbrugt? Så skal du sætte dig godt ind i sagerne, inden du vælger digitale tjenester i undervisningen. Mange af de mest benyttede tjenester rettet mod børn har nemlig store huller i datasikkerheden. To danske virksomheder fik dog høje karakterer af en af forfatterne bag rapporten Bjørnetjenester, dataekspert Pernille Tranberg:

– I gennemgangen af alle tjenester stod det klart, at LEGO og EduLab har valgt at beskytte børn maksimalt, siger hun og forklarer:

– LEGO og EduLab er rollemodeller og frontløbere, og de sikrer for eksempel, at ingen tredjepart cookies findes på deres platforme for at undgå deling og spredning af børns data.

Efterlyser smileyordning

I den anden ende af skalaen var der også tjenester, der burde stramme op på datasikkerheden:

– Snapchat, musical.ly (i dag TikTok, red.), YouTube og Facebook er eksempler på det modsatte. De tracker børns data, bruger manipulerende adfærdsdesign og lader som om, der ikke er børn under 13 på deres tjenester.

I tænkehandletanken DataEthics så man gerne, at lærerne fik et bedre værktøj fra en uvildig instans til at navigere mellem tjenesterne:

– Mange lærere er bekymret for, hvad de downloader. Den ultimative løsning er en mærkningsordning, så de ved, hvad de skal gå efter, når de handler ind. Det er alt for krævende at bede lærere om at gennemskue sikkerheden af en digital tjeneste. Vi forventer jo heller ikke, at almindelige mennesker kan gennemskue, om en vare er økologisk ved at læse en varedeklaration i supermarkedet, siger Pernille Tranberg.

Tjenester, der var med i analysen

LEGO, EduLab, Momio, musical.ly (i dag Tiktok), Facebook, Instagram, Steam, YouTube, Snapchat, DR Ramasjang/Ultra, MyMonii, Google G Suite Classroom, Microsoft Education og Disney.

Du kan læse analysen her (pdf).

Kilde: Bjørnetjenester, DataEthics, marts 2018

Konklusion

Der er al grund til at stramme op på, hvilke data vi lader elever sprede via diverse digitale tjenester, som benyttes i skoletiden. Det er data, der kan: misbruges af virksomheder til at lave målrettet reklame mod børn og unge; manipulere deres holdninger eller få konsekvenser for deres fremtid, fx når de søger job.

Derfor bør digital undervisning gå hånd i hånd med høj datasikkerhed, så den ømtålelige viden ikke havner i de forkerte hænder. Med tjeklisten er det EduLab og Red Barnets håb, at skoler og lærere får større opmærksomhed på deres ansvar og lettere ved at leve op til det, når det gælder datasikkerhed i skoletiden.