Hva kan vi lære av den siste skole-pc-skandalen?

GJESTEKOMMENTAR: Helsingør kommune i Danmark er langt fra de første som forsøker å krysse av for bremsesjekk først etter at bilen har kollidert.

I 2018 fikk elever på mellomtrinnet i Stavanger hver sin Chromebook, og på Auglend skole stilte stolte politikere opp. Fra venstre i bakgrunnen: Rune Askeland (V, nå MDG), Anne Kristin Bruns (KrF), Sissel Knutsen Hegdal (H), Christian Wedler (Frp, nå uavhengig) og Terje Eide (H).
Publisert: Publisert:
iconKommentar
Dette er en kommentar. Kommentarer skrives av Aftenbladets kommentatorer, redaktører og gjestekommentatorer, og gir uttrykk for deres egne meninger og analyser.

I sommer, kort tid før skolestart, beordret det danske Datatilsynet at grunnskolene i Helsingør kommune må inndra alle elevtilganger tilknyttet kommunens skole-pc-ordning, og (i praksis) slette alle elevenes opplysninger som er lagret i læringsplattformen de bruker.

Samtidig ble det varslet om at manglende etterlevelse kunne straffes med inntil seks måneders fengsel.

Gjennomgangen i Helsingør
kan skape utfordringer
for Stavanger, Sandnes og Sola.

Helsingør og Chromebook

På overflaten kan dette se ut som en oppsiktsvekkende avgjørelse. Blant mange andre bruker både Stavanger, Sandnes, Sola, og andre kommuner i regionen de samme verktøyene i skolen, uten at det norske Datatilsynet har satt foten ned. I hvert fall ikke ennå. De samme verktøyene er ellers også i utstrakt bruk i mange skandinaviske skoler.

Akkurat Helsingørs historie er imidlertid litt spesiell. Den starter med at en pappa sendte en klage til det Datatilsynet fordi han har oppdaget at barnet hans har fått en egen youtube­kanal som han ikke visste om. Datatilsynet fulgte opp klagen, og det ble avdekket at Helsingør kommune ikke hadde vært så fryktelig nøye med å forsikre seg om at elevers opplysninger utelukkende kunne brukes til undervisningsformål.

Deretter startet noe som nok har vært et temmelig intenst arbeid med sikkerhetsinnstillinger, databehandleravtaler og risikovurderinger. Læringskurven for kommunen har nok vært frustrerende bratt, og det må ha kommet som et skikkelig slag i ansiktet da Datatilsynet, attpåtil like før skolestart, konkluderte med at Helsingørs ordning likevel måtte stanses.

Det har seg slik at Helsingør, i likhet med svært mange andre skandinaviske kommuner, har valgt en løsning for skole-pc og læringsplattform fra Google. Utfordringen med løsningen henger sammen med løsningens fleksibilitet og allsidighet. Her er det veldig mange funksjoner som kan kobles sammen på ulike måter. Mange av disse funksjonene er knyttet til markedsføringsformål, fordi det er her Google tjener sine penger.

I tillegg det er vanskelig å ha kontroll på hvor dataene egentlig lagres eller sendes. For ikke å snakke om hvilke land de som skal utføre vedlikehold og support, sitter i og dermed har tilgang til opplysninger de kanskje ikke burde ha tilgang til.

Mangelen på bevissthet som Helsingør i begynnelsen la for dagen, og dokumentasjonen de etter hvert har måttet levere som viser hvor sammensatt problemet med Chromebook og Google Workspace egentlig er, har fått Danmarks Datatilsyn til å gå grundig til verks i sine undersøkelser. På sett og vis har Datatilsynet i samarbeid med Helsingør avdekket trusler mot barnas personvern som det ikke bare går an å fjerne gjennom å sette tilstrekkelig restriktive innstillinger eller finjustere databehandleravtalen med Google.

At Chromebook-løsningen til Helsingør nå har blitt såpass nøye gjennomgått, kan dermed også skape utfordringer for Stavanger, Sandnes og Sola.

Les også

Arild I. Olsson: «Chromebook-forbud i danske skoler. Hva skjer i Norge?»

Hva bør vi lære?

Det som er virkelig interessant med Helsingørs Google-flause, er imidlertid ikke hva vi får lære om faren ved å bruke kompliserte verktøy i skolesammenheng. Det virkelig interessante er hvordan Helsingør kommune har forholdt seg til risikovurderinger.

Noen av de aller viktigste arbeidsredskapene vi som jobber med sikkerhet har for å redusere risiko, er skjemaer og sjekklister. Du finner dem overalt hvor feilvurderinger kan medføre alvorlige konsekvenser. Det er kanskje ikke noen overraskelse at du ser dem i cockpiten i fly, ved sveiseapparatet på en anleggsplass, på en oljerigg eller i operasjonssalen på et sykehus. Med fremveksten av informasjonssamfunnet har de imidlertid også gjort seg stadig mer synlige også inne på kontorer og i møterom, hvor de kan spille en sentral rolle i beslutninger knyttet til hvordan ulik teknologi skal behandle informasjon på en måte som ikke får alvorlige konsekvenser.

En av flere helt sentrale forutsetninger for at et skjema eller en sjekkliste skal bidra til å redusere risiko, er at det gjennomgås før det risikable arbeidet utføres. Det er jo ikke så mye poeng i å sjekke om bremsene virker etter at du har parkert.

Hvis bremsesjekken er et dokumentasjonskrav som følger med kjøreturen, vil svært mange av oss likevel kjøre først og sette kryss for bremsesjekk etterpå. Dette ser vi mer eller mindre overalt: Sikker jobbanalyse som fylles ut etter at sveiseapparatet er slukket, sjekklister for trygg kirurgi som gås gjennom etter at pasienten er sydd igjen, sykehjems revurdering av risikobilde som er en kopi fra året før. Og personvernkonsekvensanalyser som utføres etter at det er for sent å finne ut at ingen har tenkt på hvordan it-løsningen skal ivareta folks personvern.

Les også

Professor Natalia Kucirkova: «Begrepet ’skjermtid for små barn’ er unyansert»

Dessverre vanlig

Det har vært mange kritiske kommentarer til akkurat Helsingør kommune, men det er kanskje litt for lett å være etterpåklok. Jeg vet ikke hvor mange risikovurderinger som har blitt gjort først etter at et tilsyn har kommet på døren, men det er nok ikke få.

Publisert: