Dataetik et oplæg til lokal handling. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

Transkript

1 Dataetik et oplæg til lokal handling Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

2 Disposition Præsentation Dataetik på dagsordenen Hvad er synsvinklen? Fasthold det rette perspektiv! Dataetik versus datalovgivning Vejen til en formuleret dataetik Konkrete eksempler på dataetiske overvejelser Dialog med og i salen spørgsmål Dataetik som konkurrenceparameter Afrunding det videre forløb August 2017 Infomøder Danmarks Private Skoler 2

3 Præsentation Karsten Vest Nielsen, chefkonsulent Kontor for It-sikkerhed og Databeskyttelse (KID) KID har koncernansvaret (Dep., STUK og STIL) Lidt om KVN. chef for statistik og analyseområdet i ca. 25 år projektchef og ansvarlig for udviklingen af ministeriets datavarehus formand for Johannesskolen, Frederiksberg i 11 år Økonom ( ikke jurist! ) Disclaimer August 2017 Infomøder Danmarks Private Skoler 3

4 Dataetik på dagsordenen Artikler i Berlingske medio april August 2017 Infomøder Danmarks Private Skoler 4

5 M s synspunkter»ministeriet lægger til hver en tid Datatilsynets fortolkning af loven til grund for sin praksis. Som det er nu, har Datatilsynet ikke vurderet, at Lectio ikke overholder Persondataloven,Vi stiller ikke krav til gymnasierne, der ligger ud over persondataloven, men jeg har en klar forventning om, at gymnasierne følger med og reagerer på eventuelle generelle råd om beskyttelse af personoplysninger. Og selvom det ikke er ulovlig praksis, er det oplagt, at gymnasierne overvejer, om det er nødvendigt med offentligt tilgængelig data om eleverne nuværende såvel som tidligere på internettet,«merete Riisager Lectio artiklen i Berlingske 12. april August 2017 Infomøder Danmarks Private Skoler 5

6 M s synspunkter Vi har en interesse i at følge med i, hvad der sker i skolerne, og om børnene får den undervisning, de skal, men det skal være til borgernes bedste. Det er vigtigt, at det ikke bliver for tungt, og nogle føler, at de slæber rundt på en logbog, der reducerer borgerens frihed. Derfor er det vigtigt med en kritisk diskussion, hvor vi også tager hensyn til, hvad forældrene mener Merete Riisager BigBrother artiklen i Berlingske 13. april August 2017 Infomøder Danmarks Private Skoler 6

7 Dataetik på dagsordenen Berlingske 22. april 2017 Catrine Søndergaard Byrne er advokat med speciale i persondataret. Pernille Tranberg er dataetisk rådgiver i DataEthics Consult. Begge er bestyrelsesmedlemmer i den europæiske tænkehandletank DataEthics 15 dataetiske nødvendigheder August 2017 Infomøder Danmarks Private Skoler 7

8 M reaktion og initiativer Brev til selvejeområdet i maj Som jeg udtalte til Berlingske i artiklen den 12. april 2017, lægger Undervisningsministeriet, hvad angår det juridiske aspekt til enhver tid Datatilsynets fortolkning til grund for sin praksis i sådanne sager. Men juridiske svar og overholdelse af lovgivningen er ikke nødvendigvis nok til at betrygge elever og forældre i dag. Jeg ser derfor også et behov for en dataetisk diskussion om anvendelse af personlige oplysninger, herunder mere gennemsigtighed i forhold til hvilke elevdata, der anvendes og til hvilket formål. Den diskussion er et vigtigt bidrag til, at vi hver især bliver trygge ved institutionernes i øvrigt lovlige anvendelse af data. Den diskussion ser jeg meget gerne starter lokalt på institutionerne bl.a., fordi I selv er dataansvarlige for de persondatabehandlinger, I foretager i de systemer, I selv anskaffer. August 2017 Infomøder Danmarks Private Skoler 8

9 Dataetik kom med i økonomiaftalen med kommunerne Regeringen og KL er enige om frem mod aftale om kommunernes økonomi for 2019 at undersøge, hvordan anvendelsen af it og digitale læringsressourcer i folkeskolen også fremadrettet kan videreudvikles. Den øgede anvendelse af data på undervisningsområdet skærper behovet for tryghed hos både skoler, lærere, elever og forældre om, hvordan data håndteres. For at understøtte dette vil regeringen og KL sammen udarbejde et sæt dataetiske principper for anvendelse af persondata på folkeskoleområdet. August 2017 Infomøder Danmarks Private Skoler 9

10 Dataetiske principper på sundhedsområdet 1. Datasikkerhed sundhedsdata skal håndteres sikkert, og patienterne skal kunne forvente, at der bliver passet godt på deres helbredsoplysninger. 2. Lovlighed, fortrolighed, saglighed og proportionalitet sundhedsdata må kun bruges til saglige formål inden for lovens rammer. Og brugen af personhenførbare data skal begrænses i størst muligt omfang. 3. Patientsikkerhed og sammenhæng for patienten og medarbejderne til brug for patientbehandling skal relevante helbredsoplysninger videregives til relevante behandlere i sundhedsvæsnet. Det skal sikre, at patienterne får en sammenhængende behandling, og at sundhedspersonalet oplever, at it-systemerne understøtter kvaliteten i deres opgaveløsning. 4. Patient- og pårørendeinddragelse patienterne skal have adgang og medejerskab til egne data, så de eksempelvis får bedre mulighed for at deltage aktivt i deres egen behandling. 5. Udvikling og kvalitet i sundhedsvæsnet aktørerne på sundhedsområdet skal kunne anvende data til bl.a. at forbedre kvaliteten. 6. Moderne og tryg lovgivningsramme Folketinget skal løbende diskutere lovændringer for brugen af sundhedsdata, der bl.a. tager højde for den teknologiske udvikling, nye undersøgelses- og behandlingsmetoder og beskyttelse af individet. 7. Åbenhed og gennemsigtighed for alle borgere og patienter skal have bedre information om brugen af deres sundhedsdata, herunder deres muligheder for at sige fra over for, at deres helbredsoplysninger bruges. August 2017 Infomøder Danmarks Private Skoler 10

11 Berlingske Tidende 20. Juni 2017 August 2017 Infomøder Danmarks Private Skoler 11

12 Digitalisering og læringsplatforme»måske er debatten endnu vigtigere på skoleområdet [end på sundhedsområdet], fordi der her er tale er tale om borgere, som endnu ikke er myndige,vi er nødt til at spørge os selv, hvilke data vi vil have samlet ind og hvorfor? Hvad skal vi bruge det til? Hvad ønsker borgerne? Hvad er forældrenes og børnenes rettigheder? Data er som udgangspunkt borgerne egne data, men hvad betyder det for eksempel i forhold til mulighederne for at få slettet eller rettet data? Vi kan ikke bare give los og lave en hel uddannelsesjournal på barnet,«august 2017 Infomøder Danmarks Private Skoler 12

13 Hvad er synsvinklen? Fasthold det rette perspektiv! Databeskyttelsesforordningen Persondataforordningen Styrke individernes (fysiske personers) ret til databeskyttelse Loven skal overholdes - men det er ikke nødvendigvis godt nok Forældre og elever skal beskyttes og betrykkes Det er ikke nok at vi (bureaukraterne, eksperterne eller ledere og ansatte er trygge /ved hvad der sker August 2017 Infomøder Danmarks Private Skoler 13

14 Dataetik versus datalovgivning Åbenhed og gennemsigtighed Dataetik Adfærdskodeks Lovgivning Organisatorisk understøttet og IT-understøttet Populært sagt skal lovgivning beskytte, sikre personrettigheder og sikre hjemmel, adfærdskodeks bidrage til en korrekt anvendelse af lovgivningen og dataetik yderligere betrygge elever og forældre om persondataanvendelsen. August 2017 Infomøder Danmarks Private Skoler 14

15 Dataetik versus datalovgivning Lovgivning databeskyttelsesforordningen + persondatalov v.2.0 samt særlovgivning NYT en risikobaseret tilgang til databeskyttelse Adfærdskodeks et sæt af retningslinjer der kan bidrage til en korrekt anvendelse af regler i lovgivningen for behandling af persondata Dataetik tiltag til persondatabeskyttelse, som ligger ud over det lovgivning formelt kræver eller som et adfærdskodeks fordrer for god adfærd i forhold til at holde lovgivningen August 2017 Infomøder Danmarks Private Skoler 15

16 Den øgede digitalisering og anvendelse af data på undervisningsområdet bidrager til arbejdet med at løfte elevernes læring og trivsel. Lovgivningen beskytter, sikrer personrettigheder og hjemmel. Men samtidig øges behovet for at betrykke forældre, elever og ansatte og værne om deres personlige integritet og privatlivsbeskyttelse Hvordan balancerer vi disse hensyn i vores sektor? August 2017 Infomøder Danmarks Private Skoler 16

17 Konkrete bidrag til debatten Dataethics - tænkehandletank Pernille Tranberg Gry Hasselbalch Catrine Søndergaard Byrne August 2017 Infomøder Danmarks Private Skoler 17

18 Dataetics 15 dataetiske nødvendigheder 1. Data om skolebørn må kun registreres, hvor der er lovgivningsmæssigt grundlag for det. 2. Data om skolebørn må kun anvendes til formål, som ligger inden for den lovgivningsmæssige ramme, som er vedtaget og kun i uddannelsesmæssige sammenhænge. 3. Data om skolebørn skal behandles på en gennemsigtig måde. Det betyder, at alle skoler skal have en klar og letforståelig persondatapolitik, så forældrene kan finde ud af, hvilke data, skolen behandler, og hvad der sker med disse data. 4. Der skal være interne retningslinjer for brug af data, herunder kontrol med efterlevelsen. 5. Der må kun registreres data om skolebørn i det omfang, det er relevante data, og kun hvad der er nødvendigt i forhold til formålet, se pkt. 2. August 2017 Infomøder Danmarks Private Skoler 18

19 Dataetics 15 dataetiske nødvendigheder 6. Bortset fra de data, der bruges til at danne et eksamensbevis, må data om skolebørn kun opbevares identificerbart, så længe det er nødvendigt ud fra det lovgivningsbaserede formål, til hvilket oplysningerne er indsamlet, se pkt. 2, og skal senest slettes når barnet forlader skolen. 7. Data om skolebørn skal være rigtige og ajourført. 8. Alle lærere, pædagoger, administrativt personale mv. skal uddannes i persondatabeskyttelse og god digital adfærd, og skal opdateres mindst én gang om året. 9. Sikring af samtykke. Skolen ejer ikke data om skolebørn eller forældre. Derfor skal skolen i mange sammenhænge have samtykke til at behandle en lang række af de data, som behandles i dag. Samtykket skal være letforståeligt i et klart sprog - og i hvert fald hvis barnet er under 13 år, skal forældrene give samtykke. 10. Data om skolebørn skal beskyttes efter højeste tekniske og organisatoriske standarder både under opbevaring og under transmission. August 2017 Infomøder Danmarks Private Skoler 19

20 Dataetics 15 dataetiske nødvendigheder 11. Data om skolebørn skal opbevares i Danmark eller i hvert fald EU, hvor vi har lovgivning om god databeskyttelse, sammenlignet med fx USA, Indien eller en række andre lande uden for EU. 12. Data skal opbevares i nærmere afgrænsede geografiske positioner og ikke i uafgrænsede cloudløsninger, 13. Stram cookiepolitik. Anvendelsen af cookies på digitale platforme skal være yderst begrænset og kun til saglige og legitime formål. Som udgangspunkt skal der være forbud mod 3. part cookies. 14. Det skal være forbudt at profilere børn under 16 år. 15. Principper for håndtering af data om skolebørn skal være forankret hos og besluttes af et centralt ledelsesorgan i den enkelte kommune, sammensat af skoleledere, fagpersoner (inklusiv viden om IT og jura) samt skolebestyrelser. August 2017 Infomøder Danmarks Private Skoler 20

21 Nye muligheder Nye dilemmaer Helene Ratner, DPU oplister 3 dilemmaer i Berlingske Tidende 20. Juni 2017: 1. Hvilke oplysninger skal lærere, skoler og forældre have adgang til? 2. Hvordan får børn og forældre indsigt i data, der bliver indsamlet og analyser, der bliver udarbejdet? 3. Hvordan sikrer vi, at de professionelle forstår og er i stand til at bruge data på den rigtige måde (data literacy)? - Eyetracking, der danner data om elevernes måde at læse på eller hvordan og hvor længe de kikker på skærmen. - Data om hvor længe eleverne er om at læse lektier eller løse konkrete opgaver - Software til profilering og forecast om hvordan eleven kan forventes at klare sig videre i uddannelsessystemet - Hvordan sikres at der ikke samles data ud fra en snæver forståelse af læring August 2017 Infomøder Danmarks Private Skoler 21

22 Hvor er vi nu? Jeres input! August 2017 Infomøder Danmarks Private Skoler 22

23 Etik eller Lov Fastholde dataejerskabet og kontrollen over data, når vi køber 3. parts software hos private leverandører Forbyd anvendelse af 3. part cookies i undervisningsprogrammer August 2017 Infomøder Danmarks Private Skoler 23

24 Etik eller Lov Vi udpeger en DPO Vi udpeger vores skolesekretær til at være DPO Data om eleverne og behandling af persondata er altid på dagsordenen på forældremødet for de kommende elever Bestyrelsen har persondatabehandling på det bestyrelsesmøde, hvor de godkender årsregnskab og ledelsesberetning August 2017 Infomøder Danmarks Private Skoler 24

25 Etik eller lov Bede eleverne om at anvende Facebook i undervisningen Læreren har oprettet en Facebook gruppe Bede eleverne selv oprette en Facebook gruppe til brug for et undervisningsforløb August 2017 Infomøder Danmarks Private Skoler 25

26 Etik eller Lov Line er er lige startet i første klasse. Hendes storebror går i 8.klasse. Gad vide hvordan han klarede sig? Det var rart at vide i min undervisning af Line... Hendes storebror afsluttede 9. klasse og gik ud af skolen for et par år siden. August 2017 Infomøder Danmarks Private Skoler 26

27 Etik eller Lov Social plugins fx Facebook, Twitter og andre sociale mediers tilbud om at kunne sende likes, dele eller måske tilbyde login til andre programmer Cookies Første part-cookies, der ikke deler data med andre, som blot anvendes som en hjælp i August 2017 Infomøder Danmarks Private Skoler 27

28 Etik eller lov Skrive samtykke tekster med småt på indmeldelsespapirer Adgang til alle elevrelevante oplysninger kræver et login (UNIlogin) Skoleskemaet kan ses uden login Individuelle personhenførbare skoleskemaer bliver liggende på nettet i årevis August 2017 Infomøder Danmarks Private Skoler 28

29 Etik eller lov Eleven har forladt skolen. Der var en sag, der også involverede sociale myndigheder. Forældrene er nu vendt tilbage 2 år efter. De mener ikke at sagen blev behandlet godt nok fra skolens side dengang og de kræver oplysninger udleveret. Men skolen har slettet papirer og dokumentation. August 2017 Infomøder Danmarks Private Skoler 29

30 Etik eller lov Kim har skiftet skole. Den nye skoler henvender sig. De har seriøse udfordringer med Kim og de synes de mangler baggrund for at forstå og handle De vil gerne have adgang til elevmappen og oplysninger om Kim, så de tilrettelægge en god undervisning for ham. August 2017 Infomøder Danmarks Private Skoler 30

31 Etik eller lov Klasselisten en virkelig historie fra skoleverdenen August 2017 Infomøder Danmarks Private Skoler 31

32 Et par råd - Vær åbne og ærlige om jeres persondatabehandling (lov og etik) - Tag debatten på skolen og med forældre/elever - Hjemmelsgrundlaget (lov) - Sagligt relevant (lov, vurdering, begrund) - Er det nødvendigt? (lov dataetik) - Stadig i tvivl så indhent samtykke fra forældrene Søg hjælp hos jeres forening Opbyg et netværk af DPO er i sektoren Styr jeres leverandører databehandleraftaler (lov) Hold på elevernes persondata giv ikke ejerskab eller råderet videre Opfat elevers data som personlige og at det er elevernes ejendom. Data er en ny form for valuta og det er vigtigt at private leverandører ikke får ejerskab til disse data. August 2017 Infomøder Danmarks Private Skoler 32

33 Hvad så herfra? UVM initiativer - ØA-aftalen sætter en ramme for Folkeskolen - UVM har etableret to referencegrupper med foreningerne i jeres sektor 1. Ungdomsuddannelserne 2. Frie grundskoler m.v. - Input og forslag fra jer via referencegrupperne er velkommen - Andre initiativer overvejes Lokale initiativer i forenings- eller skoleregi - En god start i dag? - følg gerne op derhjemme find en model, der passer jer Bestyrelse, forældrekreds, pædagogisk råd, repræsentantskab. - August 2017 Infomøder Danmarks Private Skoler 33

34 Dataetik En konkurrenceparameter? En måde for skoler at profilere sig på? En mulighed i jeres sektor! August 2017 Infomøder Danmarks Private Skoler 34

35 Inspirationskilder Artiklerne Tirsdag d. 11. april Onsdag d. 12. april Torsdag d. 13. april Lørdag d. 15. april Søg i Infomedia på Dataethics tænkehandletank Radio podcast: Interview med forfatterne til DataEtik på Radio24syv (september 2016) Danmarks Radio P1 debat om dataetik d. 31. juli 2017 (generelt og sundhedsområdet) Radio 24Syv Interview med M - minut 03: d. 30. juni August 2017 Infomøder Danmarks Private Skoler 35

36 Vejledninger til databeskyttelsesforordningen Justitsministeriet stormøde i 13. juni August 2017 Infomøder Danmarks Private Skoler 36