I nästan två år har utbildningsinstitutioner runt om i världen varit tvungna att anpassa sig och improvisera på grund av den globala covid-19-pandemin. Fjärrundervisning och blandad undervisning blev avgörande. Vissa system var mer förberedda än andra.
Skolsystem med en mogen digital infrastruktur på plats var bättre förberedda. Andra var tvungna att skynda sig för att upphandla och implementera lösningar på bara några dagar. Genvägar togs och bedömningen av integritetsfrågor kringgicks ofta.
Fjärrundervisning är fortfarande en stor del av utbildningen 2022 och kommer att finnas med oss under överskådlig framtid. Det är därför viktigt att granska de senaste årens händelser ur dataskyddssynpunkt. Här är några slutsatser.
En global pandemi innebär inte att vi kan lätta på dataskyddsbestämmelserna
Under en tid verkade människor tro att nödsituationen trumfade datasekretessen. Det var bråttom att skaffa digitala verktyg och innehåll för att hjälpa elever med hemundervisning (distansundervisning). Leverantörer som kanske normalt inte skulle klara av en granskning av datasekretess, såg ett enormt ökat intresse från utbildningsinstitutioner. Detta var väl för det allmännas bästa, eller hur?
Men det visade sig snabbt att även tjänster som var nödvändiga för att hantera den globala pandemin var tvungna att följa de grundläggande principerna för datasekretess. Den norska regeringen var snabb med att lansera en app för kontaktspårning för att hjälpa till att kontrollera spridningen av viruset, men dataskyddsmyndigheten var ännu snabbare med att stänga ner den. En global pandemi är inte ett skäl för att slappna av när det gäller dataskyddsåtgärder.
När betydelsen av personuppgifter och de system som behandlar dem går från "trevligt att ha" till "kritiskt" ökar vikten av dataskydd avsevärt. För några år sedan kunde en lärare som fick sitt konto hackat och raderat hitta på ett annat sätt att bedriva sin undervisning. Men under en pandemi kan det innebära att två dussin barn inte får någon undervisning på flera dagar. Behovet av dataskydd bedöms mot hur människor påverkas när något kritiskt som detta inträffar.
Lärdom: Du måste stärka ditt dataskyddsprotokoll i kristider.
Datasekretess handlar också om tillgänglighet
Under pandemins tidiga skede drabbades många leverantörer av plötsliga ökningar i användningen av deras system. Det var inte alla leverantörer som kunde tillgodose det ökade behovet från sin befintliga kundbas. I vissa fall tog det dagar eller till och med veckor för dessa leverantörer att återfå tillgängligheten.
De flesta människor förknippar ett dataintrång med att någon hackar sig in i en programvara och stjäl data. Men när det gäller GDPR kan en långvarig förlust av tillgängligheten till data också betraktas som ett dataintrång. Det beror på hur det påverkar dina användare. Om ett system försvinner i flera dagar i sträck och det har en väsentlig inverkan på undervisningen bör det betraktas som ett dataintrång. De skyddsåtgärder som system och leverantörer kan erbjuda mot tillgänglighetsbrister bör ingå i alla bedömningar av dataskydd.
Lärdom att dra: När du utvärderar dina leverantörers säkerhetsåtgärder bör du ta hänsyn till deras förmåga till tillgänglighet och kontinuitet under oväntade, långvariga belastningstoppar.
Många institutioner har fortfarande problem med grundläggande säkerhetsåtgärder
2020 uppstod ett nytt fenomen (åtminstone för skolor) som kallades "Zoom bombing". Genom att tillåta oautentiserad åtkomst till videokonferensverktyg lanserades skadliga attacker genom att gissa webbadresserna till mötesrummen. I bästa fall störde det pågående distansundervisning, i värsta fall utsatte det eleverna för olämpligt innehåll och olämpliga beteenden. (Zoom har sedan dess lagt till ytterligare åtgärder, t.ex. säkerhetsknappen, för att förhindra Zoom bombing).
Inte ens institutioner som bara tillät autentiserade användare att komma in i sina system var immuna mot hack och dataintrång. Phishing, dvs. att locka användare att lämna ut användarnamn och lösenord genom att framställa sig som en legitim tjänst, var utbrett. Detta är ett exempel på varför det inte räcker med autentisering med användarnamn och lösenord och varför dataskyddsmyndigheter rekommenderar att personalkonton i digitala inlärningsmiljöer måste skyddas med multifaktorautentisering.
Lärande punkt: Se över dina grundläggande säkerhetsåtgärder. Se till att du tillämpar lämplig autentisering för dina utbildningstjänster.
Många organisationer är fortfarande inte medvetna om sina studenters och lärares rättigheter
Övergången till distansutbildning innebar en hel del förändringar i många organisationer. Nya system infördes och fler personuppgifter samlades in. För vissa organisationer kan man till och med hävda att syftet med behandlingen av personuppgifter ändrades. Men i den här processen har många organisationer glömt bort att följa de grundläggande bestämmelserna i GDPR.
Alla användare av en digital lärmiljö har rätt till skydd av personuppgifter. Den kanske viktigaste är transparens kring hur deras personuppgifter behandlas. Om du under pandemin har ändrat hur personuppgifter behandlas bör detta dokumenteras på ett transparent sätt och vara lättillgängligt för alla intressenter, inklusive dina studenter (och vårdnadshavare).
Lärdom att dra: Gör en ny bedömning av din "GDPR-implementering". Se till att du har den kompetens i din organisation som krävs för att på lämpligt sätt skydda personuppgifter och respektera dina användares rätt till dataintegritet.
Men låt inte dataskyddsfrågor stoppa distansutbildning
Datasekretess är en grundläggande rättighet, men det är utbildning också. Datasekretess bör därför inte användas som en ursäkt för att avbryta onlineutbildning när en händelse som denna pandemi gör det omöjligt för skolor att hålla öppet helt och hållet. Datasekretess bör inte ses som ett hinder som för oss tillbaka till den fördigitala "mörka medeltiden", utan som ett kvalitetssäkringsverktyg för att säkerställa att digitala tjänster kan levereras på ett säkert och tillförlitligt sätt.
När denna pandemi är över är det viktigt att inte bli självbelåten. Låt oss anta att något sådant här kan hända när som helst. Förbered planeringar, infrastruktur och leverantörsavtal för att säkerställa att om en annan oförutsedd incident stänger skolor i framtiden, kommer du redan att ha en dataskyddsvänlig infrastruktur på plats som gör att utbildningen kan fortsätta även när skolorna är stängda.
Lärande punkt: Upprätta en "kontinuitetsplan för skolan" som underlättar en smidig och dataskyddsvänlig övergång till distansundervisning.
På itslearning är vi engagerade i att hålla data säkra. Du kan läsa mer om vårt GDPR-åtagande på den här sidan: Dina uppgifter är viktiga.
Här är en checklista för att säkerställa efterlevnad av GDPR på din skola.
Titta på vårt kostnadsfria webbinarium för att lära dig mer om hur du kan skydda data på din utbildningsinstitution.