I næsten to år har uddannelsesinstitutioner over hele verden været nødt til at tilpasse sig og improvisere på grund af den globale Covid-19-pandemi. Fjernundervisning og blandet undervisning blev afgørende. Nogle systemer var mere forberedte end andre.
Skolesystemer med en moden digital infrastruktur på plads var bedre forberedt. Andre måtte skynde sig at anskaffe og implementere løsninger i løbet af få dage. Der blev taget genveje, og vurderingen af privatlivets fred blev ofte omgået.
Fjernundervisning er stadig en stor del af uddannelsen i 2022 og vil være med os i en overskuelig fremtid. Derfor er det vigtigt at se på de seneste års begivenheder ud fra et databeskyttelsesperspektiv. Her er nogle eksempler.
En global pandemi betyder ikke, at vi kan slække på databeskyttelsesforanstaltningerne
I et stykke tid så det ud til, at folk troede, at nødsituationen overtrumfede databeskyttelse. Der var travlt med at anskaffe digitale værktøjer og indhold til at hjælpe elever med hjemmeundervisning (fjernundervisning). Leverandører, som måske normalt ikke ville komme igennem en gennemgang af databeskyttelse, oplevede en enorm stigning i interessen fra uddannelsesinstitutioner. Det var til alles bedste, ikke sandt?
Men det viste sig hurtigt, at selv tjenester, der var vigtige for at håndtere den globale pandemi, måtte følge de grundlæggende principper for databeskyttelse. Den norske regering var hurtig til at lancere en kontaktopsporingsapp for at hjælpe med at kontrollere spredningen af virussen, men databeskyttelsesmyndigheden var endnu hurtigere til at lukke den ned. En global pandemi er ikke en grund til at slappe af med hensyn til databeskyttelsesforanstaltninger.
Når betydningen af persondata og de systemer, der behandler dem, går fra at være "rare at have" til at være "kritiske", øges betydningen af databeskyttelse betydeligt. Hvis en lærers konto blev hacket og slettet for et par år siden, kunne de finde en anden måde at drive deres klasse på. Men under pandemien kan det betyde, at to dusin børn ikke får nogen undervisning i flere dage. Behovet for databeskyttelse vurderes i forhold til indvirkningen på mennesker, når noget kritisk som dette sker.
Læringspunkt: Du skal styrke din databeskyttelsesprotokol i krisetider.
Databeskyttelse handler også om tilgængelighed
I de tidlige faser af pandemien blev mange leverandører ramt af pludselige stigninger i brugen af deres systemer. Ikke alle leverandører var i stand til at understøtte det øgede behov fra deres eksisterende kundebase. I nogle tilfælde tog det dage eller endda uger for disse leverandører at genvinde tilgængeligheden.
De fleste mennesker forbinder et databrud med, at nogen hacker sig ind i software og stjæler data. Men i forhold til GDPR kan et langvarigt tab af tilgængelighed af data også betragtes som et databrud. Det afhænger af, hvordan det påvirker dine brugere. Hvis et system gik i sort i flere dage, og det i væsentlig grad påvirkede undervisningen, bør det betragtes som et brud på datasikkerheden. De sikkerhedsforanstaltninger, som systemer og leverandører kan tilbyde mod brud på tilgængeligheden, bør være en del af enhver vurdering af databeskyttelse.
Læringspunkt: Når du vurderer dine leverandørers sikkerhedsforanstaltninger, skal du overveje deres evne til at sikre tilgængelighed og kontinuitet under uventede, langvarige spidsbelastninger.
Mange institutioner kæmper stadig med basale sikkerhedsforanstaltninger
I 2020 opstod et nyt fænomen (i hvert fald for skoler) kaldet "Zoom bombing". Ved at tillade uautoriseret adgang til videokonferenceværktøjer blev der iværksat ondsindede angreb ved at gætte URL'erne til mødelokalerne. I bedste fald forstyrrede det den igangværende fjernundervisning, i værste fald udsatte det eleverne for upassende indhold og adfærd. (Zoom har siden tilføjet yderligere foranstaltninger som f.eks. sikkerhedsknappen for at forhindre Zoom bombing).
Selv institutioner, der kun tillod godkendte brugere adgang til deres systemer, var ikke immune over for hackerangreb og databrud. Phishing, konceptet med at lokke brugere til at udlevere brugernavne og adgangskoder ved at fremstille en legitim tjeneste, var udbredt. Dette er et eksempel på, hvorfor det ikke er nok at have brugernavn/password-autentificering, og hvorfor databeskyttelsesagenturer anbefaler, at medarbejderkonti i digitale læringsmiljøer skal beskyttes med multifaktorautentificering.
Læringspunkt: Gennemgå dine grundlæggende sikkerhedsforanstaltninger. Sørg for, at du håndhæver passende autentificering for dine læringstjenester.
Mange organisationer er stadig ikke opmærksomme på deres studerendes og underviseres rettigheder
Overgangen til fjernundervisning medførte en masse ændringer i mange organisationer. Nye systemer blev indført, og der blev indsamlet flere persondata. For nogle organisationer kan man endda argumentere for, at formålet med behandlingen af persondata ændrede sig. Men i denne proces glemte mange organisationer det grundlæggende i at overholde GDPR.
Alle brugere af et digitalt læringsmiljø har ret til databeskyttelse. Den måske vigtigste er gennemsigtighed omkring, hvordan deres personlige data behandles. Hvis du under pandemien har ændret den måde, personoplysninger behandles på, skal det dokumenteres på en gennemsigtig måde og være let tilgængeligt for alle interessenter, herunder dine elever (og forældre).
Læringspunkt: Foretag en revurdering af din "GDPR-implementering". Sørg for, at du har kompetencen i din organisation til at beskytte persondata på passende vis og respektere dine brugeres ret til databeskyttelse.
Men lad ikke spørgsmål om databeskyttelse stoppe fjernundervisning
Databeskyttelse er en grundlæggende rettighed, men det er uddannelse også. Så databeskyttelse bør ikke bruges som en undskyldning for at afbryde onlineundervisning, når en begivenhed som denne pandemi gør det umuligt for skolerne at holde helt åbent. Databeskyttelse skal ikke ses som en forhindring, der sender os tilbage til den før-digitale "mørke middelalder", men som et kvalitetssikringsværktøj, der sikrer, at digitale tjenester kan leveres på en sikker og pålidelig måde.
Når denne pandemi er overstået, er det vigtigt ikke at blive selvtilfreds. Lad os antage, at noget lignende kan ske når som helst. Forbered planer, infrastruktur og leverandørkontrakter for at sikre, at hvis en anden uforudset hændelse lukker skoler i fremtiden, vil du allerede have en databeskyttelsesvenlig infrastruktur på plads, der gør det muligt at fortsætte undervisningen, selv når skolerne er lukket.
Læringspunkt: Lav en "kontinuitetsplan for skolen", der gør det lettere at flytte til fjernundervisning uden problemer og med respekt for datasikkerheden.
På itslearning er vi forpligtet til at holde data sikre. Du kan læse mere om vores GDPR-forpligtelse på denne side: Dine data er vigtige.
Her er en tjekliste til at sikre GDPR-overholdelse på din skole.
Se vores gratis webinar for at lære mere om, hvordan du kan beskytte data på din uddannelsesinstitution.