Följer du GDPR när du arbetar digitalt?

Det kan vara svårt att gå från en situation där man som lärare har koll på eleverna i ett fysiskt klassrum till en där alla jobbar från olika platser men tillsammans i ett digitalt klassrum. Ibland är alla uppkopplade samtidigt och ibland arbetar elever enskilt eller i grupp med dig som lärare närvarande eller inte i den digitala miljön.

Dessutom väller det nu in erbjudanden till många skolor från företag som vill hjälpa till med olika program och digitala lösningar – inte sällan gratis – men är det GDPR-säkra? Och arbetar du på ett GDPR-säkert sätt med dina elever?

Det kan vara en utmaning att ta ställning till samtidigt som du och dina lärarkollegor jobbar för att få tekniken att fungera och fylla de digitala lektionerna med ett vettigt innehåll.

Salli Fanaei, jurist på Datainspektionen, råder dig att vända dig till den som är personuppgiftsansvarig hos skolhuvudmannen. I en kommunal skola är det utbildningsnämnden.

En kommunal skola måste också ha ett dataskyddsombud som kontrollerar att dataskyddsreglerna följs, ger råd och fungerar som en kontakt för den registrerade. Föräldrar och elever kan vända sig dit med frågor om behandling av personuppgifter.

– Det är i första hand den personuppgiftsansvariga som ska ta ställning till hur undervisningen ska ske och vilka personuppgifter som är nödvändiga att behandla vid en digital undervisning, säger hon.

Petter Lindskog är it-ansvarig och IKT-pedagog på Sofielundsskolan i Sollentuna kommun. Han säger att de på hans skola varit noga med att tala med eleverna om vad som är sunt på nätet för att alla ska känna sig trygga.

– Många bor trångt men det är viktigt att tänka på att pappa inte trillar in i bild i kalsonger i bakgrunden eller att föräldrar eller andra sitter intill och syns i bild när lektioner pågår. Vi har sagt att eleverna ska ha en neutral bakgrund när de är uppkopplade. De som inte har nätverk hemma ska också vara försiktiga med att koppla upp sig i öppna nätverk om de inte kan sitta hemma. De kan vara en risk om någon skulle läsa av datan, säger Petter Lindskog.

Frågor som man kan behöva fundera över vid exempelvis en livesändning av en lektion kan alltså vara: Om någon utomstående kan koppla in sig och se? Behöver eleverna synas i bild eller räcker det med att du som lärare syns eller hörs? Hur skyddar ni elever med skyddad identitet så den inte röjs för utomstående? Har skolan några begränsningar för var eleven får arbeta med skolans digitala utrustning för att utomstående inte ska kunna se eleverna som deltar på lektionen?

– Hos oss har elever med skyddad identitet ett nonsensnamn som inlogg och vi uppmanar dem att inte gå in med bild. Men det kan var svårt att styra om de kopplar upp sig själva ändå. Det är viktigt att prata med eleverna om det. Vi har cromebooks som alla eleverna ska använda, men det är svårt att styra att de inte använder sina privata datorer. Däremot är vi jättenoga med att eleverna endast får använda sina skolkonton, säger Petter Lindskog.

Får lektionerna spelas in?

Andra viktiga frågor att fundera över är ifall skolan ska tillåta att lektioner spelas in? Skälet till att man vill spela in kan vara att man som lärare vill ha ett dokumentationsunderlag vid betygsättning, men är det nödvändigt? Ett annat kan vara att elever som varit sjuka eller elever med särskilda behov ska kunna se det igen?

Finns det risk att inspelningen sprids? Hur ser man till att företag som tillhandahåller digitala tjänster inte får tillgång till elevernas personuppgifter?

Det är exempel på sådant som den personuppgiftsansvarige ska ta ställning till.

Salli Fanaei säger att Datainspektionen inte kan tala om i detalj vilka åtgärder eller vilken teknik man ska använda för att exempelvis säkerställa att personuppgifter inte hamnar i fel händer eller att information missbrukas. Däremot kan man ge vägledning vad man behöver tänka på.

– Oavsett vilka personuppgifter som behandlas och hur det är tänkt att gå till så måste den personuppgiftsansvarige följa bestämmelserna i GDPR. En ljudinspelning kan vara en personuppgift om den kopplas till en person även om inga namn nämns i inspelningen. Hur en behandling går till kan variera beroende på hur man arbetar men den som är personuppgiftsansvarig måste se till att informationssäkerheten uppfylls, att det finns en rättslig grund och att grundläggande principer följs, säger hon.

Det är viktigt att veta utifrån vilken rättslig grund, enligt dataskyddsförordningen, man hanterar personuppgifter. Utan rättslig grund är det inte lagligt att hantera personuppgifter. Den grund som ofta används för att få använda personuppgifter, av både privata och offentliga skolor, är om en uppgift är av allmänt intresse och nödvändig utifrån den uppgift verksamheten ska utföra. I skolans fall kan det handla om att kunna bedriva undervisning, administrera elevers närvaro, dokumentera elevers kunskaper inför ett utvecklingssamtal osv.

Hon säger att man vanligtvis inte kan begära att elever samtycker till att exempelvis bli filmade av sin lärare som en rättslig grund eftersom det råder ojämlikhet mellan elev och skola vilket kan innebära att samtycket inte lämnats frivilligt, men en rättslig grund kan ju vara att det är nödvändigt för att bedriva undervisning beroende på hur den utförs. Men då måste man ta ställning till i vilken grad det är nödvändigt att elevernas personuppgifter exponeras för att undervisningen ska fungera. Om en elev exempelvis visas i bild på en lektion som spelas in så måste det stå i proportion till det eftersträvade syftet med lektionen.

Vad gäller när elever filmar sina klasskamrater och sprider socialt?

Lärarnas tidning har hört lärare som varit förtvivlade över att elever filmat sina klasskamrater under en digital lektion med sin mobil och lagt ut på sociala medier som instagram och snapchat.  Vad gäller i en sådan situation?

Salli Fanaei säger att Datainspektionen inte tagit ställning till frågan och därför endast kan ge en vägledning kring vad som gäller och hur man kan resonera. Hon säger att det kan finnas många frågor att ta ställning till i en sådan situation och beroende på vad som läggs upp kan även annan lagstiftning bli aktuell. Hon poängterar att det är viktigt att den som är personuppgiftsansvarig upplyser eleverna eller ger instruktioner om vilka förhållningsregler som gäller vid undervisning i skolan, det vill säga hur man får använda skolans utrustning och vad som gäller för privat utrustning som en mobil under en skoldag.

– För vad man får göra som elev i den digitala miljön ska inte skilja sig från vad eleven får göra under en vanlig undervisning på skolan. Det finns mycket som talar för att om en elev filmar undervisningen och lägger upp den på sociala medier så är det eleven som bär ansvaret i första hand, säger hon.