Kort fortalt
- Kommunen jobber systematisk med digital trygghet og personvern (GDPR).
- Foreldre kan i tillegg gjøre ulike tiltak hjemme for å avgrense tilganger og skjermtid.
- Alle elever på barneskolen får utdelt iPad, mens elever på ungdomsskolen får bærbar PC.
Personvern (GDPR) i skolen
Skolen satser på digitale enheter og digital læring, og bruker programmer og datasystemer som krever personopplysninger. Dette gjelder alle tjenester som krever at elevene logger inn med egen bruker.
Risikovurderinger
Før kommunen tar i bruk programmer og systemer, vurderer vi teknisk og organisatorisk risiko, og hvordan personvernet til elever og foresatte blir ivaretatt. Vi gjennomfører ROS-analyser og GDPR-undersøkelser. Her vurderer vi blant annet:
- Behandler systemet personopplysninger?
- Hvilke personopplysninger blir behandlet?
- Hvordan blir personopplysningene behandlet?
- Hvor blir personopplysningene lagret?
- Hvilke konsekvenser kan dette ha?
I en grovanalyse vurderer vi alvorlighetsgrad og videre prosesser. Eksempler er videre risikovurdering, vurdering av personvernkonsekvenser (Data Protection Impact Assessment – DPIA) og databehandleravtale (DBA).
Dersom det er nødvendig med en DBA, inngår vi en avtale med leverandøren. Her bruker vi vanligvis Digitaliseringsdirektoratets mal for databehandleravtale. Den beskriver blant annet hvilke tredjepartsleverandører som benyttes.
Kommunen prioriterer leverandører som lagrer opplysninger innenfor EU/EØS-land, der GDPR-forordningen og personopplysningsloven gjelder.
Dersom det er snakk om lagring i for eksempel USA, vurderer vi dette grundig og inngår en DBA som ivaretar Hemsedal kommune sine krav til behandling av opplysninger.
Databehandleravtale (DBA)
Når kommunen bruker eksterne leverandører av programmer og datasystemer, inngår vi en databehandleravtale. Avtalen regulerer sikkerheten rundt behandling av opplysninger og sikrer at leverandøren behandler personopplysninger i tråd med lover og forskrifter.
Lover og forskrifter
Sentrale lover og forskrifter som regulerer kommunens behandling av personopplysninger i skolen:
- Opplæringsloven inneholder regler om blant annet innhenting, samordning, lagring og behandling av opplysninger til bruk i grunnskolen.
- Personopplysningslovenog personvernforordningen (GDPR) inneholder grunnleggende personvernprinsipper og regulerer kommunens behandling av personopplysninger.
- Arkivloven inneholder blant annet regler for hvordan dokumenter lagres, samt avlevering til arkivinstitusjon.
Lagring og sletting av informasjon og personopplysninger
Hvilken informasjon og hvilke personopplysninger som samles inn og lagres, avhenger av program og leverandør.
I utgangspunktet gjelder dette kun informasjon som er nødvendig for å bruke tjenesten. Informasjonen slettes når det ikke lenger er behov for den, og innen avtalt tid.
Dersom informasjonen er arkivverdig, blir den håndtert i samsvar med arkivloven.
Sletting av informasjon er et eget punkt i databehandleravtalen kommunen inngår med leverandøren. Prosedyren for skolene er for eksempel at bilder, film, lydopptak og podkast skal oppbevares trygt og slettes når informasjonen ikke lenger tjener sitt formål, eller senest når eleven slutter på skolen eller SFO.
Slik sikrer vi digitale enheter
Kommunen er opptatt av å skjerme elevene fra uheldig innhold på nett. Vi bruker innholdsfilter for å blokkere upassende sider, for eksempel pornografi og vold. Kommunen vurderer kontinuerlig om nettsider bør sperres. IKT Hallingdal administrerer programvare, maskinvare og det kommunale nettet i Hemsedal kommune, inkludert brannmurer og sperringer.
| iPad på kommunens nett | iPad utenfor kommunens nett | PC på kommunens nett | PC utenfor kommunens nett | |
|---|---|---|---|---|
| Kommunens brannmurfilter | x | x | x | x |
| Kripos' liste over blokkerte nettsteder* | x | x | x | x |
| Apples Autofilter** | x | x | ||
| Apples sperringer på seksuelt innhold fra Apple Books-tjenesten | x | x | ||
| Apples sperringer for avspilling av «explicit» musikk eller podkast i iTunes | x | x |
- iPadene kommunen administrerer er underlagt et filter som blokkerer nettsteder som Kripos definerer som upassende. Dette gjelder for eksempel kjente chatte-sider der barn blir utsatt for uønsket oppmerksomhet fra voksne som utgir seg for å være jevnaldrende. Det konkrete innholdet i Kripos’ liste er unntatt offentlighet.
** Apple vedlikeholder en tjeneste som sperrer trafikk til/fra sider med blant annet seksualisert eller ulovlig innhold.
Digitale enheter, datasystem og programvare
Elever på 1.–7. trinn får iPad, og elevene på 8.–10. trinn får bærbar PC. Enheten er låst til elevens personlige digitale konto.
Godkjente datasystemer og programvare
Enhetene inneholder en grunnpakke med digitale pedagogiske ressurser. I tillegg følger standard programvare som Office 365 og Apple‑pakken. Skolene kan bestille digitale læremidler og programmer som er risikovurdert og godkjent i kommunen.
IKT Hallingdal kontrollerer installasjon av apper. Appene blir godkjent av faggruppen for pedagogisk programvare i Hallingdal, i samarbeid med personvernombud. Elever kan ikke installere egne apper.
Generell informasjon om Kunstig Intelligens (KI)
Bekrivelse av tjenesten.
KI i skolene i Hallingdal (hdskolene) er en løsning for å gi lærere og elever i Hallingdalsskolene tilgang til å bruke kunstig intelligens på en trygg måte. Løsningen baserer seg på et API til språkmodellen GPT-4o mini fra Azure OpenAI. Azure OpenAI er Microsoft sin utgave av OpenAI sine ulike språkmodeller. Selv om den er lagt bak FEIDE-pålogging, lagrer den ikke persondata. Feide-påloggingen benyttes kun til tilgangs- og kostnadskontroll.
Det å skape en sikker løsning for bruk av KI som verken krever penger eller persondata, åpner for at alle tilknyttet hdskolene skal få de samme forutsetningene til å lære om og med KI.
Hvem kan bruke tjenesten?
- Lærere
- Elever på skolen som har fått tilgang i henhold til retningslinjene under.
Er det noen retningslinjer for å bruke tjenesten?
Det er skolen som er ansvarlig for å sikre at retningslinjene blir ivaretatt.
- Brukere skal ikke oppgi personlige eller sensitive opplysninger
- Tjenesten kan tilgjengeliggjøres for elevene i skolene i Hallingdal
- Skolens ledelse kan be om mer informasjon og råd om kompetanseheving ved å kontakte IKT Hallingdal
- Skoler som ønsker tilgang må ha vært gjennom opplæringspakka fra Faggruppe for pedagogisk programvare i skole i Hallingdal, og man kan også ta det opp i lokalt elevråd
- Udir har laget en kompetansepakke om kunstig intelligens i skolen. Det anbefales at skolene går gjennom denne før løsningen tas i bruk med elever.
Les mer ved å gå inn på denne lenka her: Kunstig intelligens i skolen | udir.no
Hvilke personopplysninger bruker tjenesten, og hva brukes opplysningene til?
Løsningen bruker ingen personopplysninger per i dag, og etter hvert vil løsningen få Feide-pålogging.
Feltene fra Feide som benyttes i tjenesten er følgende:
- Navn (userinfo-name)
- Brukeridentifikator er hos organisasjonen (userid-feide)
- Organisasjonstilhørighet (groups-org)
- Gruppetilhørigheterforundervisning (groups-edu)
Denne informasjonen benyttes kun til tilgangsstyring ved påloggoing og lagres ikke i løsningen.
Betalingsmodell for tjenesten.
Tjenesten er gratis for elever og ansatte i skolene i Hallingdal.
Lenke til personvernerklæring
Hdskolene: Behandlingsrapport og DPIA for KI.HDSKOLENE.NO – KI.HDSKOLENE.NO
Microsoft Azure OpenAI Service: https://learn.microsoft.com/en-us/legal/cognitive-services/openai/data-privacy
Hvor lagres informasjon?
Løsningen lagrer ingen personopplysninger. Det sendes ikke personopplysninger fra Feide-løsningen til Microsoft Azure OpenAI Service, men en bruker kan potensielt legge personopplysninger inn som ledetekst når de bruker tjenesten. Dette vil i så fall ikke være i tråd med retningslinjene for bruk, se over. Microsoft Azure OpenAI Service behandler ledeteksten på sine servere i Europa og de bevarer ledetekster hos seg i opptil 30 dager, med den hensikt og begrunnelse å hindre misbruk av tjenesten. De bruker ikke ledeteksten til noe, som for eksempel til å trene algoritmen.
Leverandør
Feide-tjenesten leveres av IKT Hallingdal.
Underleverandører
Microsoft Azure OpenAI Service
Er det etablert databehandleravtale eller standard personvernbestemmelser (SCC)?
Ingen behov for databehandleravtale fordi den delen av tjenesten som behandler personopplysninger er intern.
Spørsmål rundt bruken av tjenesten og brukernes rettigheter?
Hvis du har spørsmål rundt bruken av tjenesten, ta kontakt med skolen.
Her er mer informasjon om Personvernerklæring og informasjonskapsler i Hemsedal kommune