I nästan två år har utbildningsinstitutioner runt om i världen varit tvungna att anpassa sig och improvisera på grund av den globala covid-19-pandemin. Distansundervisning och blandat lärande blev avgörande. Vissa system var mer förberedda än andra.
Skolsystem med en utvecklad digital infrastruktur på plats var bättre förberedda. Andra fick kämpa för att anskaffa och implementera lösningar på bara några dagar. Genvägar togs och bedömningar av integritetsfrågor kringgicks ofta.
Fjärrundervisning är fortfarande en stor del av utbildningen 2022 och kommer att finnas med oss under en överskådlig framtid. Det är därför viktigt att granska de senaste årens händelser ur ett dataintegritetsperspektiv. Här är några slutsatser.
En global pandemi innebär inte att vi kan släppa på kraven på dataskydd
Under en tid verkade människor tro att nödsituationen gick före dataskyddet. Det var bråttom att skaffa digitala verktyg och innehåll för att hjälpa elever med hemundervisning (distansundervisning). Leverantörer som kanske normalt sett inte skulle klara sig igenom en granskning av dataskyddet fick se ett enormt ökat intresse från utbildningsinstitutioner. Detta var ju för det allmännas bästa, eller hur?
Men det visade sig snabbt att även tjänster som var nödvändiga för att hantera den globala pandemin var tvungna att följa de grundläggande principerna för dataintegritet. Den norska regeringen var snabb med att lansera en kontaktspårningsapp för att hjälpa till att kontrollera virusets spridning, men dataskyddsmyndigheten var ännu snabbare med att stänga ner den. En global pandemi är inte ett skäl att vara avslappnad när det gäller åtgärder för dataintegritet.
När betydelsen av personuppgifter och de system som behandlar dem går från "bra att ha" till "kritisk", ökar betydelsen av dataskydd avsevärt. För några år sedan, om en lärares konto hackades och raderades, kunde de komma på ett annat sätt att driva sin klass. Men under pandemin kan det innebära att två dussin barn inte får någon undervisning på flera dagar. Behovet av dataskydd bedöms mot hur människor påverkas när något kritiskt som detta inträffar.
Lärdomar: ni behöver stärka sitt dataskyddsprotokoll i kristider.
Dataskydd handlar också om tillgänglighet
I början av pandemin drabbades många leverantörer av plötsliga toppar i användningen av sina system. Inte alla leverantörer kunde tillgodose det ökade behovet från sin befintliga kundbas. I vissa fall tog det dagar eller till och med veckor för dessa leverantörer att återfå tillgängligheten.
De flesta förknippar ett dataintrång med att någon hackar sig in i en programvara och stjäl data. Men när det gäller GDPR kan en långvarig förlust av tillgängligheten till data också betraktas som ett dataintrång. Det beror på hur det påverkar dina användare. Om ett system ligger nere i flera dagar i sträck, vilket har en väsentlig inverkan på utbildningen, bör det betraktas som ett dataintrång. De skyddsåtgärder som system och leverantörer kan erbjuda mot tillgänglighetsbrister bör vara en del av varje bedömning av dataintegriteten.
Lärdom: När du utvärderar dina leverantörers säkerhetsåtgärder, ta hänsyn till deras förmåga till tillgänglighet och kontinuitet under oväntade, långvariga toppbelastningar.
Många institutioner kämpar fortfarande med grundläggande säkerhetsåtgärder
2020 uppstod ett nytt fenomen (åtminstone för skolor) som kallades "Zoom bombing". Genom att tillåta oautentiserad åtkomst till videokonferensverktyg inleddes skadliga attacker genom att gissa webbadresserna till mötesrummen. I bästa fall störde detta pågående distansundervisning, i värsta fall utsattes eleverna för olämpligt innehåll och olämpligt beteende. (Zoom har sedan dess lagt till ytterligare åtgärder som säkerhetsknappen för att förhindra Zoom bombing).
Inte ens institutioner som bara tillät autentiserade användare i sina system var immuna mot hackning och dataintrång. Phishing, konceptet att locka användare att lämna ut användarnamn och lösenord genom att utge sig för att vara en legitim tjänst, var utbrett. Detta är ett exempel på varför det inte räcker med autentisering med användarnamn och lösenord, och varför dataskyddsmyndigheter rekommenderar att personalkonton i digitala lärmiljöer måste skyddas med multifaktorautentisering.
Lärandepunkt: Se över era grundläggande säkerhetsåtgärder. Se till att ni tillämpar lämplig autentisering för era utbildningstjänster.
Många organisationer är fortfarande inte medvetna om sina elevers och lärares rättigheter
Övergången till distansutbildning medförde en hel del förändringar i många organisationer. Nya system infördes och fler personuppgifter samlades in. För vissa organisationer kan ni till och med hävda att syftet med behandlingen av personuppgifter förändrades. Men i den här processen har många organisationer glömt bort de grundläggande principerna för att följa GDPR.
Alla användare av en digital lärmiljö har rätt till skydd av personuppgifter. Den kanske viktigaste är transparens kring hur deras personuppgifter behandlas. Om ni under pandemin har ändrat hur personuppgifter behandlas bör detta dokumenteras på ett transparent sätt och vara lätt tillgängligt för alla intressenter, inklusive dina studenter (och vårdnadshavare).
Lärandepunkt: Gör en ny bedömning av er "GDPR-implementering". Se till att ni har den kompetens som krävs i er organisation för att på lämpligt sätt skydda personuppgifter och respektera era användares rätt till integritet.
Men låt inte frågor om dataskydd stoppa distansutbildning
Datasekretess är en grundläggande rättighet, men det är utbildning också. Därför bör dataskydd inte användas som en ursäkt för att avbryta onlineutbildning när en händelse som denna pandemi gör det omöjligt för skolor att hålla helt öppet. Dataskydd bör inte ses som ett hinder som för oss tillbaka till den fördigitala "medeltiden", utan som ett kvalitetssäkringsverktyg för att se till att digitala tjänster kan levereras på ett säkert och tillförlitligt sätt.
När pandemin väl är över är det viktigt att inte bli självbelåten. Låt oss anta att något liknande kan hända när som helst. Förbered planeringar, infrastruktur och leverantörsavtal för att säkerställa att om en annan oförutsedd händelse stänger skolor i framtiden, kommer ni redan att ha en dataskyddsvänlig infrastruktur på plats som gör att utbildningen kan fortsätta även när skolorna är stängda.
Lärandepunkt: Upprätta en "kontinuitetsplan för skolan" som underlättar en smidig och dataskyddsvänlig övergång till distansundervisning.
På itslearning har vi åtagit oss att hålla data säkra. ni kan lära sig mer om vårt GDPR-åtagande på den här sidan: Dina uppgifter är viktiga.
Här är en checklista för att säkerställa att GDPR efterlevs på din skola.
Titta på vårt kostnadsfria webbinarium för att lära dig mer om hur ni kan skydda data på din utbildningsinstitution.