I næsten to år har uddannelsesinstitutioner over hele verden været nødt til at tilpasse sig og improvisere på grund af den globale Covid-19-pandemi. Fjernundervisning og blended learning blev afgørende. Nogle systemer var mere forberedte end andre.
Skolesystemer med en moden digital infrastruktur på plads var bedre forberedt. Andre måtte kæmpe for at skaffe og implementere løsninger i løbet af få dage. Der blev taget genveje, og vurderingen af privatlivets fred blev ofte omgået.
Fjernundervisning er stadig en stor del af uddannelsessystemet i 2022 og vil være det i en overskuelig fremtid. Det er derfor vigtigt at gennemgå de sidste par års begivenheder med udgangspunkt i databeskyttelse. Her er nogle af dem.
En global pandemi betyder ikke, at vi kan slække på databeskyttelsesforanstaltningerne
I et stykke tid syntes folk at tro, at nødsituationen overtrumfede databeskyttelse. Der var travlt med at anskaffe digitale værktøjer og indhold til at hjælpe eleverne med hjemmeundervisning (fjernundervisning). Leverandører, som måske normalt ikke ville komme igennem en gennemgang af databeskyttelse, oplevede en enorm stigning i interessen fra uddannelsesinstitutioner. Det var for det fælles bedste, ikke?
Men det viste sig hurtigt, at selv tjenester, der var vigtige for at håndtere den globale pandemi, var nødt til at følge de grundlæggende principper for databeskyttelse. Den norske regering var hurtig til at lancere en kontaktsporingsapp for at hjælpe med at kontrollere spredningen af virussen, men databeskyttelsesmyndigheden var endnu hurtigere til at lukke den ned. En global pandemi er ikke en grund til at være afslappet omkring databeskyttelsesforanstaltninger.
Når betydningen af personlige data og de systemer, der behandler dem, går fra "nice to have" til "critical", øges vigtigheden af databeskyttelse betydeligt. Hvis en lærers konto blev hacket og slettet for et par år siden, kunne vedkommende finde en anden måde at drive sin klasse på. Men under pandemien kan det betyde, at to dusin børn ikke får nogen undervisning i flere dage. Behovet for databeskyttelse vurderes i forhold til den indvirkning, det har på mennesker, når noget kritisk som dette sker.
Læringspunkt: Du er nødt til at styrke din databeskyttelsesprotokol i krisetider.
Databeskyttelse handler også om tilgængelighed
I de tidlige stadier af pandemien blev mange leverandører ramt af pludselige stigninger i brugen af deres systemer. Ikke alle leverandører var i stand til at understøtte det øgede behov fra deres eksisterende kundebase. I nogle tilfælde tog det dage eller endda uger for disse leverandører at genvinde tilgængeligheden.
De fleste forbinder et databrud med, at nogen hacker sig ind i software og stjæler data. Men når det gælder GDPR, kan et længerevarende tab af tilgængelighed af data også betragtes som et databrud. Det afhænger af, hvordan det påvirker dine brugere. Hvis et system går i sort i flere dage i træk, og det har en væsentlig indvirkning på undervisningen, bør det betragtes som et databrud. De sikkerhedsforanstaltninger, som systemer og leverandører kan tilbyde mod brud på tilgængeligheden, bør være en del af enhver vurdering af databeskyttelse.
Læringspunkt: Når du vurderer dine leverandørers sikkerhedsforanstaltninger, skal du overveje deres evne til at sikre tilgængelighed og kontinuitet under uventede, langvarige spidsbelastninger.
Mange institutioner kæmper stadig med basale sikkerhedsforanstaltninger
2020 oplevede et nyt fænomen (i hvert fald for skoler), der blev kaldt "Zoom bombing". Ved at tillade uautoriseret adgang til videokonferenceværktøjer blev ondsindede angreb lanceret ved at gætte webadresserne til mødelokaler. I bedste fald forstyrrede det den igangværende fjernundervisning, i værste fald udsatte det eleverne for upassende indhold og adfærd. (Zoom har siden tilføjet yderligere foranstaltninger såsom sikkerhedsknappen for at forhindre Zoom bombing).
Selv institutioner, der kun tillod autentificerede brugere på deres systemer, var ikke immune over for hacks og databrud. Phishing, konceptet med at lokke brugere til at udlevere brugernavne og adgangskoder ved at udgive sig for at være en legitim tjeneste, var meget udbredt. Dette er et eksempel på, hvorfor det ikke er nok at have brugernavn/password-godkendelse, og hvorfor databeskyttelsesagenturer anbefaler, at medarbejderkonti i digitale læringsmiljøer skal beskyttes med multifaktor-godkendelse.
Læringspunkt: Gennemgå dine grundlæggende sikkerhedsforanstaltninger. Sørg for, at du håndhæver passende autentificering for dine læringstjenester.
Mange organisationer er stadig ikke bevidste om deres elevers og læreres rettigheder.
Overgangen til fjernundervisning medførte en masse ændringer i mange organisationer. Nye systemer blev indført, og flere personlige data blev indsamlet. For nogle organisationer kan man endda argumentere for, at formålet med behandlingen af persondata ændrede sig. Men i denne proces glemmer mange organisationer det grundlæggende i at overholde GDPR.
Alle brugere af et digitalt læringsmiljø har ret til databeskyttelse. Den måske vigtigste er gennemsigtighed omkring, hvordan deres personlige data behandles. Hvis du under pandemien har ændret den måde, personoplysninger behandles på, skal det dokumenteres på en gennemsigtig måde og være let tilgængeligt for alle interessenter, herunder dine elever (og forældre).
Læringspunkt: Foretag en revurdering af din "GDPR-implementering". Sørg for, at du har kompetencerne i din organisation til at beskytte personlige data og respektere dine brugeres ret til databeskyttelse.
Men lad ikke spørgsmål om databeskyttelse stoppe fjernundervisning
Databeskyttelse er en grundlæggende rettighed, men det er uddannelse også. Så databeskyttelse bør ikke bruges som en undskyldning for at afbryde onlineundervisning, når en begivenhed som denne pandemi gør det umuligt for skoler at holde fuldt åbent. Databeskyttelse skal ikke ses som en forhindring, der sender os tilbage til den præ-digitale "mørke middelalder", men som et kvalitetssikringsværktøj, der sikrer, at digitale tjenester kan leveres på en sikker og pålidelig måde.
Når denne pandemi er overstået, er det vigtigt ikke at blive selvtilfreds. Lad os antage, at noget som dette kan ske når som helst. Forbered planer, infrastruktur og leverandørkontrakter for at sikre, at hvis en anden uforudset hændelse lukker skoler i fremtiden, vil du allerede have en databeskyttelsesvenlig infrastruktur på plads, der gør det muligt at fortsætte undervisningen, selv når skolerne er lukkede.
Læringspunkt: Lav en "skolekontinuitetsplan", der gør det lettere at skifte til fjernundervisning uden problemer og med respekt for datasikkerheden.
På itslearning forpligter vi os til at holde data sikre. Du kan læse mere om vores GDPR-forpligtelse på denne side: Dine data er vigtige.
Her er en tjekliste til at sikre, at GDPR overholdes på din skole.
Se vores gratis webinar for at lære mere om, hvordan du kan beskytte data på din uddannelsesinstitution.