GDPR

GDPR samtykke – ikke altid nok i asymmetriske relationer

MariisLeave a comment

European Data Protection Board skriver her om en interessant case, hvor Anderstorpgymnasiet i Sverige har fået en bøde for at anvende ansigtsgenkendelse som middel til at registrere tilstedeværelse blandt eleverne. Helt overordnet finder jeg det interessant, fordi ansigtsgenkendelse synes at vinde større og større udbredelse og derfor også er noget, der skal holdes et vågent øje med. Det, der imidlertid er mest interessant er dog de begrundelser, som det svenske datatilsyn (datainspektionen) har for at tildele bøden. Den fulde afgørelse kan ses på engelsk her.

I afgørelsen står der bla. dette om casen: The Swedish Data Protection Authority became aware through information in the media that the Secondary Education Board in Skellefteå municipality (hereinafter ‘the Board’) had used facial recognition in a trial project at Anderstorp Secondary School in Skellefteå in order to register the attendance of students in a class over a number of weeks (p.2).

Om forsøget med ansigtsgenkendelse står der også, at ‘the aim was to register attendance at lessons at the secondary school in an easier and more effective manner. According to the Board, registering attendance in a traditional manner takes ten minutes per lesson, and using facial recognition technology for monitoring attendance would, according to the Board, save 17. 280 hours per year at the school concerned’ (p. 2-3). Endvidere fremgår det også, at de registrerede data bestod af ansigtsfotos, for- og efternavn. Data blev opbevaret på en computer uden netforbindelse låst inde i et skab. Gymnasiet havde også sørget for at indhente samtykke, og det var muligt for eleverne at sige nej til at deltage.

Og så skulle man jo umiddelbart tro, at alt var i skønneste orden, men det er her Datainspektionens afgørelse bliver interessant. Således citerer Datainspektionen GDPR-lovens årsag 43, der lyder:

In order to ensure that consent is freely given, consent should not provide a valid legal ground for the processing of personal data in a specific case where there is a clear imbalance between the data subject and the controller, in particular where the controller is a public authority and it is therefore unlikely that consent was freely given in all the circumstances of that specific situation. (p. 4 – mine fremhævelser)

Endvidere lyder det:

As regards the school sector, it is clear that the students are in a position of dependence with respect to the school both as regards grades, student grants and loans and education, and therefore also as regards the scope to obtain employment in the future or to continue further education. (p.4)

Det leder Datainspektionen til følgende konklusion:

The monitoring of attendance is an obligation incumbent on the school sector which is regulated in administrative law, and the reporting of attendance is of considerable importance for the students. This processing is therefore not comparable with the processing of personal data for the purpose of administering school photography. In the case of attendance monitoring, the students are in a position of dependence which results in a substantial imbalance. The Swedish Data Protection Authority therefore believes that consent cannot constitute a legal basis for the processing operations which this supervision regards. (p.4 – mine fremhævelser)

Ifølge GDPR kan der dog være undtagelser, hvis dataindsamlingen er ‘necessary in order to perform a task in the public interest or as part of the controller’s exercising of public authority’(p.4), hvilket det pågældende gymnasium, så også har henvist til. Men her vurderer Datainspektionen, at graden af privatlivskrænkelse i det pågældende tilfælde, er for stor:

(…) while there is a legal basis for administering student attendance at school, there is no explicit legal basis for performing the task through the processing of special categories of personal data or in any other manner which entails a greater invasion of privacy.

Som jeg forstår det – og jeg er jo ikke jurist, så jeg kan tage fejl – så er det afgørende her, at gymnasiet kan opnå de ønskede data om elevernes tilstedeværelse på mindre invasive måder, nemlig på traditionel facon. Datainspektionen finder ikke, at anvendelse af special categories of personal data, som ansigtsgenkendelsedata kunne falde ind under, kan retfærdiggøres i dette tilfælde, tværtimod:

Moreover, the Swedish Data Protection Authority believes that the processing in question has resulted in undue infringement of the data subjects’ integrity, as the Board has processed special categories of personal data concerning children who are in a position of dependence in relation to the Board for the purpose of attendance monitoring through camera surveillance in the student’s everyday environment. (p.7 – min fremhævelse)

Og Datainspektionen præciserer, at det især handler om proportionalitet:

The Board has stated that the purpose of this processing was to monitor attendance. Attendance monitoring can be carried out in other ways which involve less infringement of the students’ integrity. The Swedish Data Protection Authority therefore considers that the method of using facial recognition via a camera for attendance monitoring was disproportionate and carried out in a manner that excessively infringed on personal integrity, and was therefore disproportionate in relation to the purpose. (p. 8 – min fremhævelse)

Det glædelige er her, at den økonomiske begrundelse (jf. den forventede reduktion i timer anvendt på registrering), ikke trumfer elevernes ret til privatliv. Når man læser afgørelsen, står det også klart, at disse dataetiske spørgsmål og udfordringer i uddannelsessystemet (og i det offentlige i det hele taget) er komplekse. Der er mange nuancer, undtagelser og tilføjelser i lovteksten, og det står også klart, at skoler/institutioner ikke bare kan henholde sig til indhentede samtykkeerklæringer og så tro, at alt er i orden. Juraen er mere nuanceret end som så!

Især spørgsmålet om proportionalitet, tænker jeg, kan og bør give anledning til mere udfoldede etiske drøftelser ude omkring i uddannelsespraksisser, der jo netop er baseret på asymmetriske relationer ..

/Marianne

Erfaringer med anvendelse af ‘gratis’ digitale teknologier i undervisning

Mariis5 Comments

I en serie af blogindlæg, sætter jeg fokus på nogle af de udfordringer og til tider meget uheldige konsekvenser, der er forbundet med at anvende digitale teknologier i uddannelse, undervisnings- og læreprocesser – det gøres ud fra et overordnet perspektiv på databehandling, -sikkerhed og -etik.

det første indlæg blev scenen sat via udvalgte resultater fra et par aktuelle undersøgelser fra Epinion. Her var der bla. fokus på det dilemma lærere kan opleve ifm. anvendelse af ‘gratis’ digitale teknologier, der ofte lader meget tilbage at ønske ift. databehandling, – sikkerhed og -etik.

I dette indlæg beskriver jeg, med udgangspunkt i min egen undervisningserfaring, hvorfor det kan være pædagogisk-didaktisk interessant at inddrage ‘gratis’ digitale teknologier i undervisnings- og læreprocesser og hvilke kritiske overvejelser, det kan give anledning til.

I min tidligere ansættelse på Københavns Professionshøjskole (KP)*, underviste jeg i perioden 2013-2018 primært på Diplomuddannelsen i Erhvervspædagogik (DEP), der er en efter- og videreuddannelse målrettet især nyansatte erhvervsskolelærere. På valgmodulet ’ Digitale teknologier i de erhvervsrettede uddannelser’, som vi i daglig tale kaldte for ’digitek-modulet’ var det bla. en del af målene, at deltagerne skulle lære ’at anvende digitale teknologier i planlægning, gennemførelse og evaluering af undervisning’. På den baggrund valgte mine kolleger og jeg, at der hver undervisningsgang, ud over teoretiske oplæg og diskussioner, også skulle være konkrete hands-on øvelser med udvalgte digitale teknologier. Samlet set havde vi tre tilgange til digitale teknologier, der i praksis ofte overlappede hinanden:

  1. Undervisning og læring i digital teknologi – en betegnelse vi brugte, når teknologien var et mål i sig selv, dvs. der var fokus på at lære at forstå og anvende bestemt teknologi
  2. Undervisning og læring med digital teknologi – en betegnelse vi brugte, når teknologien var et middel til at lære noget andet, dvs. fokus var ikke på teknologien som sådan
  3. Undervisning og læring gennem digital teknologi – en betegnelse vi brugte, når teknologien var et middel til at lære uafhængigt af sted (og ofte også tid), dvs. her var der typisk tale om fjernundervisning.

Til dette formål stod vi over for at skulle udvælge hvilke digitale teknologier, der bedst egnede sig til vores pædagogiske-didaktiske intentioner – og typisk endte vi med at vælge ’gratis teknologier’. Det var der en række årsager til:

  • Vores deltagere kom fra mange forskellige skoler, der lokalt har valgt forskellige digitale teknologier, services og platforme. Vi kunne altså ikke forudsætte, at vores deltagere havde adgang til de samme typer af digitale teknologier ’derhjemme’. Vores vurdering var, at det var vigtigt at deltagerne havde adgang til de samme teknologier, hvis deltagerne skulle kunne øve sig i og samarbejde i, med og gennem digitale teknologier før og efter undervisningen og på sigt dele deres viden med kolleger.
  • Forskelligheden i vores deltageres adgang til digitale teknologier ’derhjemme’ betød ofte også, at nogle deltagere stort set ikke havde adgang til ret meget andet end en gammel office-pakke og et fælles drev. Derfor fandt vi det vigtigt at finde ’gratis’ eksempler, så alle kunne være med.
  • Vores deltagere kom typisk med meget forskellige forudsætninger ift. viden om og konkret anvendelse af digital teknologi. Nogle deltagere havde ganske enkelt ikke, hvad der kan betegnes som helt basale kompetencer for at arbejde med og forstå digitale teknologier. Vi vurderede derfor, at det var vigtigt med nemme, brugervenlige teknologier – kompleksitet kunne så være ift. koblingen til de pædagogiske-didaktiske aspekter.
  • Den digitale teknologi som KP stillede til rådighed (fx den valgte læringsplatform) levede ikke op til de behov, som vi som undervisere havde. Teknologilandskabet på KP har naturligvis udviklet sig med tiden, men da jeg startede i 2013 var Fronter, som ikke bød på nævneværdige kommunikative og kollaborative muligheder, hovedplatformen. Senere udviklede KP sin egen platform kaldet Intrapol. Vi vurderede ikke, at de digitale teknologier, der blev stillet til rådighed, var tilstrækkelige ift. at kunne vise de muligheder og barrierer, der kan være ift. (forskellige) digitale teknologier. Hertil kom også, at det for mange af vores deltagere ikke var motiverende at arbejde i en platform, som de kun havde adgang til under selve studiet. Det vanskeliggjorde også deling med kolleger ’derhjemme’ og dermed muligheden for at skabe transfer til egen praksis.

Vores valg af digitale teknologier ændrede sig gennem årene, men eksemplet her til venstre illustrerer bredden. Herudover brugte vi KP’s læringsplatform (Intrapol) og en række af Google’s forskellige teknologier. I mange år brugte vi fx Google+ som det primære forum for kommunikation og kollaboration.

Det var et krav fra KP’s side, at alle materialer (fx litteratur og præsentationer) skulle være tilgængelige på Intrapol, og det var også her, at administrationen informerede deltagerne om eksamen og andre formalia. Vores tilgang var, at vi selv som undervisere skulle anvende alle de digitale teknologier, som vi præsenterede deltagerne for. I 2017 valgte vi fx at gøre blogs til det primære forum, og vi oprettede derfor en underviserblog, hvorfra der linkes til deltagernes blogs. Et initiativ som mine tidligere kolleger stadig anvender.

Vi var opmærksomme på, at vores valg af ‘gratis’ digitale teknologier ikke var uproblematisk. Vi tillod os at foretage dette valg, dels fordi vores deltagere var voksne, og dels fordi vi sørgede for at modulet kunne gennemføres uden. Vi valgte også at informere om valget (og alternativer) inden opstart og den første undervisningsgang, hvor valget blev præsenteret, havde vi typisk nogle gode drøftelser med deltagerne om fordele og ulemper. Gennem årene oplevede jeg kun en håndfuld deltagere, som ikke ønskede at anvende ‘gratis’ digitale teknologier og i alle tilfælde var det Google’s produkter, der blev problematiseret – andre ‘gratis’ teknologier blev ikke vurderet lige så problematiske – hvilket i sig selv var interessant og også gav anledning til spændende drøftelser.

Jeg forestiller mig at antallet af deltagere, der finder ‘gratis’ digitale teknologier problematisk, er steget. Gennem de seneste par år, og ikke mindst op til ikrafttrædelsen af databeskyttelsesforordningen (GDPR) i foråret 2018, er der generelt kommet større opmærksomhed omkring anvendelse af såkaldte ‘gratis’ digitale teknologier. Nu er det ikke kun nørder og fagfolk, der er klar over at betalingen er brugerens data. På mange erhvervsskoler er der de senere år blevet arbejdet ihærdigt på at indgå databehandleraftaler med de store techgiganter fx Google og FB, men også med Microsoft o.l. Det er dog ikke altid nogen let opgave for skolerne, og derfor har man på nogle skoler helt fravalgt en række digitale teknologier for at kunne leve op til lovgivningen. Mine tidligere kolleger er derfor også begyndt at sætte større fokus på informationssikkerhed som en del af modulets indhold.

Set i bakspejlet, har jeg, som underviser i, med og gennem digitale teknologier, nok været præget af en vis naivitet omkring anvendelsen af ‘gratis’ teknologi. Min tilgang var, at sålænge dette valg blev fulgt op af drøftelser om fordele og ulemper og deltagerne på denne måde selv kunne træffe bevidste valgt, så gik det nok. Det mener jeg for så vidt stadig, når målgruppen er voksne mennesker, men spørgsmålet er, om det at opfordre deltagere til at anvende ‘gratis’ digitale teknologier kan forsvares etisk – og her er jeg splittet. På den ene side, synes jeg argumenterne for dette valg, kan forsvares ud fra pædagogiske-didaktiske overvejelser (som anført oven for). På den anden side, så er valget med til at understøtte netop legitimiteten og udbredelsen af sådanne teknologier, og ikke mindst firmaerne bag – og det har jeg det skidt med. Hermed er jeg så også tilbage ved det dilemma, som Epinion også pegede på i det første indlæg. Og spørgsmålet er også, om der er tale om et ægte dilemma. Det er jo rent faktisk muligt at undervise i, med og gennem digitale teknologier uden at benytte dem, som er ‘gratis’ **. Det kræver bare bla. en helt anden viden om digitale teknologier og en anden tilrettelæggelse, hvilket igen kræver økonomi, tid og menneskelige ressourcer som der er knaphed på i hele uddannelsessektoren.

I denne samenhæng kunne jeg ønske mig større fokus på dette fra politikere og andre beslutningstagere. Skoletube, hvor skolerne kan købe abonnement til udvalgte digitale teknologier, inkl. databehandleraftaler er et skridt i den rigtige retning. Men jeg drømmer om en helt overordnet pædagogisk-digital strategi fra policy-niveauet, som går på at fremme anvendelsen af  free & open source alternativer, så valget ikke skal stå mellem pædagogik eller sikkerhed …

/Marianne

*) I dette indlæg trækker jeg på min erfaring fra professionshøjskolesektoren, men mine 10 år på AAU inden da viste, at de udfordringer, som jeg peger på, også gælder der.

**) Her et par eksempler:

Liste over alternativer til Google produkter

Liste over alternativer til Microsoft Office

Udfordringer med anvendelse af ‘gratis’ digitale produkter i undervisning

Mariis4 Comments

I en serie af blogindlæg, vil jeg sætte fokus på nogle af de udfordringer og til tider meget uheldige konsekvenser, der er forbundet med at anvende digitale teknologier i uddannelse, undervisnings- og læreprocesser – det gøres ud fra et overordnet perspektiv på databehandling, -sikkerhed og -etik. I dette første indlæg sættes scenen ift. nogle af disse udfordringer via udvalgte resultater fra et par aktuelle undersøgelser fra Epinion.

Epinion har for Undervisningsministeriet/ Styrelsen for It og Læring (STIL) undersøgt Skoler og institutioners håndtering af elevernes persondata og anvendelse af gratis digitale produkter. Det er der kommet en tankevækkende rapport ud af, som jeg håber vil blive læst af mange.

Ministeriet fremhæver på denne baggrund, at mange skoler og institutioner ‘har et stærkt fokus på implementeringen af GDPR, og er langt med korrekt håndtering af personoplysninger, indgåelse af databehandleraftaler med videre.’ Der peges dog også på, at skoler og institutioner stadig har et stort behov for mere viden og hjælp til at navigere i mange nye regler og procedurer om databehandling/-sikkerhed, og hvordan disse skal håndteres ift. konkrete digitale teknologier i konkrete pædagogiske praksisser. Endelig fremhæves anvendelse af ‘gratis’ digitale produkter i undervisnings- og læreprocesser, som værende et område, der udgør en ‘potentiel udfordring’. Det er især denne sidste del, som jeg vil fokusere på i dette indlæg.

I Regeringens nationale strategi for cyber- og informationssikkerhed (2018-2021) sættes der i initiativ 2.1 fokus på digital dømmekraft og kompetencer via uddannelsessystemet. I forlængelse heraf blev Epinion bedt om at undersøge grundskoler og ungdomsuddannelsesinstitutioners håndtering af elevernes persondata, deres anvendelse af digitale produkter samt institutionernes indgåede databehandleraftaler. Undersøgelsens overordnede formål har været at danne et empirisk grundlag for at kunne pege på sektorens nuværende praksis, og de dilemmaer og tvivlsspørgsmål, der kan opstå. Datagrundlaget bygger bla. på en spørgeskemaundersøgelse (blandt folkeskoler, frie grundskoler, erhvervsskoler og gymnasier), casebesøg, mobiletnografi og ekspertinterviews.

Anvendelse af digitale produkter i undervisningen
I rapporten bruges betegnelsen digitale ‘produkter’ til at indikere, at der er tale om, at disse stilles til rådighed for brugere på baggrund af en udveksling fx af penge eller data. Disse produkter inddeles i fem kategorier (1. digitale forlagsprodukter, 2. sociale medier, 3. cloudløsninger, 4. øvrige digitale produkter og 5. læringsplatforme).

Digitale produkter er en integreret del af undervisningen på landets skoler og gymnasier. Ifølge undersøgelsen bruger 99% af landets elever på tværs af gymnasier, grundskoler og erhvervsskoler digitale produkter i undervisningssammenhæng (Epinion, 2019, s. 32). I undersøgelsen tages der udgangspunkt i et øjebliksbillede, hvor elever og lærere har angivet, hvilke digitale produkter, de bruger. Dette giver en samlet bruttoliste på 373 produkter (ibid.).

Ifølge lærerne tages der ofte forskellige kategorier af digitale produkter i brug, da de vurderes at kunne bidrage til forskellige formål. Figuren herunder, viser hvorledes lærerne vurderer produkterne primære bidrag til undervisning:

Epinion (2019, s. 34)

På tværs af produktkategorierne figurerer både danske og udenlandske produkter, samt betalings- og gratisprodukter. Samlet tegner der sig et billede af, at størstedelen af de digitale produkter (42%) anvendt på gymnasier, erhvervsskoler og grundskoler er udenlandske og gratis (ibid., s. 36).

Læringsplatforme, cloudløsninger og forlagsprodukter er de kategorier, der oftest bliver anvendt i undervisningen. Over halvdelen af samtlige lærere bruger disse tre enten dagligt eller ugentligt. De øvrige produkter og sociale medier bliver kun brugt lejlighedsvist. Figuren herunder viser brugsfrekvensen:

Epinion (2019, s. 38)

Heroverfor angiver eleverne dog, at 45% af dem bruger sociale medier enten dagligt eller ugentligt i forbindelse med undervisning- og skolearbejde. Dette indikerer, iflg. Epinion (ibid., s. 38), at eleverne i et vist omfang selv tager initiativ til at bruge de sociale medier til skolearbejde*. Som Epinion anfører, så giver brugsmønsteret anledning til et interessant spørgsmål:

I en datasikkerhedsmæssig optik giver det anledning til at rejse spørgsmål ved, hvornår det ligger inden for institutionens opgave at håndtere, hvilke data der deles med eventuelle tredjeparter – såsom sociale medier, når eleverne bruger dem på eget initiativ. (ibid., s. 39)

I denne forbindelse er 69% af lærerne helt enige eller enige i, at de mangler viden om, hvordan de forskellige udbydere af gratis, digitale produkter deler data med tredjeparter. Kun 30% angiver, at de selv har den fornødne viden til at informere eleverne om, hvordan de sikkert bruger internet og apps i undervisningen.

Samtidig udtrykker lærerne også et generelt behov for at kunne vurdere sikkerheden ved de enkelte produkter. Kun 6% ser ikke noget behov for at blive klædt på til at vurdere datasikkerheden ved digitale produkter (ibid.).

Helt overordnet er det forskelligt, hvor mange overvejelser, lærerne gør sig omkring brugen af digitale produkter i forhold til datasikkerhed, men:

En gennemgående rød tråd, der har vist sig i fokusgrupperne med lærere er, at det hensyn, der vejer tungest i forhold til at bruge digitale produkter, de pædagogiske. (ibid.)

I denne sammenhæng er det interessant, at lærernes tillid til, hvorvidt digitale produkter lever op til lovkrav om datasikkerhed, er betragtelig lavere ift. øvrige produkter og sociale medier, end ift. læringsplatforme, forlagsprodukter og cloudløsninger. Det fremgår af figuren herunder:

Epinion (2019, s. 41)

På denne baggrund, ser vi altså, at lærere står overfor en række udfordringer i deres dagligdag, når det kommer til kombinationen af valg og anvendelse af digitale produkter og datasikkerhedsmæssige hensyn.

De udvalgte resultater her, ligger i fin forlængelse af en lignende undersøgelse om Styrkelse af dataetik og it-sikkerhed på undervisningsområdet, som Epinion publicerede i 2018. Undersøgelsen afdækker børn og unges (12-25 år) generelle mediebrug i og uden for skolen, samt forældre, lærere og skoleledelsers erfaringer og perspektiver.

Denne undersøgelse dokumenterer først og fremmest, at sociale medier er blevet en integreret del af børn og unges hverdags- og skoleliv. Et flertal af de adspurgte børn og unge (59%) bruger kun de sociale medier til at holde kontakt med vennerne og til underholdning. En mindre andel (16%) bruger også de sociale medier til at dele oplæg og holde sig orienteret i nyheder og politik. (Epinion, 2018, s. 14)

Undersøgelsen viser også at anvendelse af ‘ikke-didaktiserede læremidler’ i undervisning, som eksempelvis sociale medier, generelt giver anledning til en række dataetiske udfordringer i praksis. Hertil skal det bemærkes, at 63% af de adspurgte lærere ikke fandt det problematisk eller vidste hvordan, de skulle forholde sig til udfordringer ifm. brugen af sociale medier i undervisning (Epinion, 2018, s. 111).

Udfordringer og dilemmaer i praksis
På tværs af disse to undersøgelser, tegner der sig et billede af at anvendelse af forskellige typer af digitale teknologier og produkter i undervisning, stiller lærerne over for en række udfordringer ift. databehandling, -sikkerhed og -etik. Udfordringerne er mangeartede, involverer vanskelig jura og lovgivning og berører også flere organisatoriske niveauer, samt evt. forældresamarbejder. Det er altså på mange måder tale om et komplekst felt, der trækker forskellige spor i lærernes dagligdag.

I Epinons 2019-undersøgelse peges på en række dilemmaer, herunder dette som illustrerer, hvad det bla. er for overvejelser og beslutninger, lærerne står over for i deres pædagogiske praksis:

Dilemma:
Digitale produkter er ofte et velegnet redskab til at gennemføre undervisning, der er mere interessant og vedkommende for eleverne. Det gælder fx brugen af sociale medier, der kan bidrage til at skabe en ramme for elementer i undervisning, der foregår, hvor 'de unge er'. Samtidig er mange undervisere også klar over, at der ved at anvende disse produkter, potentielt er en datadelingsrisiko. Derved opleves et dilemma mellem pædagogiske hensyn på den ene side og dataetiske og -sikkerhedsmæssige overvejelser på den anden side. 

Epinion (2019, s. 40 - min fremhævelse)

Som tidligere lærer genkender jeg dilemmaet og har stor forståelse for, at mange føler sig frustrerede og dårligt klædt på til at træffe, hvad der kan synes som træls valg. Jeg er ikke sikker på, at alle vil finde, at der er tale om et ‘ægte’ dilemma, hvilket jeg vil vende tilbage til i fremtidige indlæg.

/Marianne

*) Det er for mig at se ikke helt transparent, hvordan Epinion, når frem til, at de sociale medier bruges til skolearbejde. Spørgsmålet går, så vidt jeg kan se (Epinion, 2019, s.39 i figur 13) , på om eleverne har brugt bestemte digitale produktkategorier i undervisningen – her kunne sociale medier jo godt bruges til andet end skolearbejde, men der kan være noget meta-tekst i spørgeskemaet, som giver anledning til den konklusion.