I Europeiska unionen regleras behandlingen av personuppgifter och dataskyddet för register huvudsakligen av EU:s allmänna dataskyddsförordning (GDPR). [i] Många andra förordningar, såsom EU-förordningar och nationella lagar, innehåller också bestämmelser om behandling av personuppgifter och integritetsskydd.
Till exempel reglerar lagen om grundläggande utbildning i Finland inte direkt vilka personuppgifter som specifikt ska behandlas i utbildningskontext, men skyldigheterna som nämns i lagen utgör grunden för kommuners elevregister och mer allmänt för vilka personuppgifter som överlag kan behandlas i den grundläggande utbildningen. [ii] Situationen är likadan på övriga utbildningsstadier.
Utbildningsanordnare ska inom ramen för de lagar som styr verksamheten besluta om och planera vilka personuppgifter som behandlas och hur. En enskild lärare måste följa utbildningsanordnarens riktlinjer och anvisningar. När syftet med behandlingen av personuppgifter är att anordna utbildning får uppgifterna inte användas för andra ändamål såsom marknadsföring, programvaruleverantörers produktutveckling eller träning av fritt tillgängliga AI-modeller. I digitala lärmiljöer, AI-applikationer och övriga digitala plattformar ska dataskyddsbestämmelserna beaktas speciellt noggrant, så att behandlingen av personuppgifter följer lagen.
Utbildningsanordnare ska inom ramen för de lagar som styr verksamheten besluta om och planera vilka personuppgifter som behandlas och hur.
Dataskyddet beaktas redan vid planering av verksamhet
I utbildningen är det utbildningsanordnaren som är den personuppgiftsansvariga – alltså till exempel en kommun eller den instans som ansvarar för verksamheten vid en privat utbildningsinstitution. Dataskyddet bör beaktas redan i planeringen av verksamheten.
En av de första frågorna som ska avgöras är den rättsliga grunden för behandlingen av personuppgifterna. Den mest naturliga och också rekommenderade rättsliga grunden i utbildningen, som tas upp i dataskyddsförordningen, är rättslig förpliktelse, även om den inte heller är helt problemfri. [iii] I kommersiell eller på annat sätt avtalsbaserad utbildning baseras behandlingen av personuppgifter i sin tur på avtalen i fråga.
Något som också är väsentligt när behandlingen av personuppgifter planeras är att göra en riskbedömning på förhand och att besluta om skyddsåtgärder utifrån den. Skyddsåtgärderna kan vara antingen tekniska eller organisatoriska. Syftet med skyddsåtgärderna är fram för allt att förhindra att uppgifterna används för olagliga ändamål och att säkerställa att de registrerades rättigheter respekteras i enlighet med GDPR. Till exempel handlar det å ena sidan om att personuppgifterna inte läcks ut till utomstående och att de inte används för andra ändamål än för att anordna utbildning och å andra sidan om att den registrerade kan utöva sina rättigheter till exempel för att få transparent information om hur personuppgifterna behandlas och för att granska och rätta sina uppgifter.
På digitala plattformar handlar skyddsåtgärderna till exempel om användarnamn, inloggning, kryptering av nätverksanslutning, säker lagring och säkerhetskopiering av uppgifter, åtkomstnivåer, raderande av uppgifter inom utsatt tid, bekämpning av sabotageprogram, säkerhetsuppdateringar och så vidare. Eftersom applikationerna används av människor räcker det inte enbart med tekniska skyddsåtgärder, utan därtill behövs det organisatoriska åtgärder såsom anvisningar, personalutbildning och manuell övervakning.
Webbtjänster och applikationer är ofta komplexa vad gäller både de faktiska funktionerna och dataskyddet. I AI-applikationer av olika slag ökar den tekniska komplexiteten ytterligare. AI-baserade funktioner läggs också till i applikationer där de tidigare inte har funnits.
Till exempel har generativa AI-funktioner lagts till i vanliga program för bildredigering. I ljuset av bedömningen av riskerna för dataskyddet innebär detta vissa utmaningar, eftersom det kan visa sig vara arbetskrävande också i bekant programvara att gå igenom alla funktioner och egenskaper som behöver utvärderas. [iv]
Bedömning av dataskydd i applikationer
GDPR förutsätter att den personaluppgiftsansvariga gör en bedömning av riskerna vid behandling av personuppgifter och vidtar skyddsåtgärder utifrån de identifierade riskerna. Riskbedömningen ska beakta både hur allvarliga de potentiella konsekvenserna för den registrerade är och hur sannolikt de inträffar. Om risken bedöms vara hög ska den personaluppgiftsansvariga göra en konsekvensbedömning kring dataskyddet i enlighet med den allmänna dataskyddsförordningen. Konsekvensbedömningen är ett förfarande som fastställs i GDPR och som går ut på en systematisk genomgång av behandlingen av personuppgifter och en kartläggning av möjliga hot, så att det kan identifieras effektiva skyddsåtgärder. [v] [vi]
En oförsiktig implementering av applikationer i undervisningen kan innebära att dataskyddet försummas och leda till att personuppgifter utsätts för risker. Därför måste AI-applikationer utvärderas i ljuset av dataskyddet på samma sätt som andra digitala plattformar, innan de tas i bruk i undervisningen.
Både utbildningsanordnaren i egenskap av den personuppgiftsansvariga och enskilda lärare kan hållas ansvariga för eventuella förseelser, ifall de inte har följt arbetsgivarens anvisningar om applikationer som ska användas och dataskyddsprinciper som ska följas. Innan en lärare börjar använda ett AI-verktyg eller en annan applikation är det viktigt att utreda vilka anvisningar och riktlinjer kring dataskyddet det finns inom organisationen.
Vanligtvis är det leverantörerna för inlärningsplattformar eller applikationer som är personuppgiftsbiträden, och då begränsas deras ansvar av gällande avtal. I den allmänna dataskyddsförordningen avses med personuppgiftsbiträdet den instans som i den personuppgiftsansvarigas räkning behandlar personuppgifter – till exempel upprätthåller en applikation i enlighet med ett serviceavtal. [vii]
Vid riskbedömning kan man ta hjälp av följande schema, som innehåller faktorer som ökar riskerna och som har att göra med vad behandlingen av uppgifterna har för karaktär, omfattning, sammanhang och syften. [viii]
Bild: Riskbedömning (Dataombudsmannens byrå)
När det är fråga om digitala plattformar och AI-verktyg som används i undervisningen ökar riskerna ofta till exempel i och med faktorer som:
- Särskilda personuppgifter (t.ex. hälsouppgifter)
- Sekretessbelagda uppgifter (t.ex. pedagogiska dokument och verbala omdömen om en persons egenskaper)
- Den registrerades svaga position (minderåriga, personer i behov av särskilt stöd, eleven i relation till utbildningsanordnaren)
- Positionsdata (möjliggör systematisk spårning)
- Stort antal (t.ex. barn i läropliktig ålder i en viss kommun)
- Lång lagringstid (t.ex. läropliktstiden på nio år)
- Konfidentiella uppgifter (t.ex. uppgifter om familjemedlemmar och övrigt privatliv)
Når två av kriterierna ovan uppfylls kan det vara fråga om en situation där personuppgifterna utsätts för hög risk. Därtill ska det göras en konsekvensbedömning i flera särskilt nämnda fall. Sådana kan vara till exempel användning av ny teknik, användning av positionsdata, behandling av känsliga eller mycket personliga uppgifter samt profilering och automatiserat beslutsfattande, som kan ha betydande konsekvenser för den registrerade.
I utbildningssammanhang är det ofta så att kriterierna för hög risk kan uppfyllas i vissa enskilda fall. Till exempel kan elevers särskilda personuppgifter och konfidentiella uppgifter sparas i en applikation, trots att det inte varit utbildningsanordnarens avsikt, om eleverna på eget initiativ inkluderat sådana uppgifter i sina uppgiftssvar. Om applikationen också innehåller AI-baserade självrättande uppgifter kan det vara fråga om behandling av personuppgifter som involverar profilering och automatiserat beslutsfattande. Utbildningsanordnaren ska därför se över behandlingen av personuppgifter i olika situationer, där AI-funktionerna på en inlärningsplattform kommer åt uppgifter som eleverna och lärarna sparat på plattformen. Å andra sidan måste lärare vara noga med att sådana AI-funktioner inte oavsiktligt är i bruk, om de inte först har utvärderats.
Elevers särskilda personuppgifter och konfidentiella uppgifter kan sparas i en applikation, trots att det inte varit utbildningsanordnarens avsikt
I molntjänster, som de flesta AI-verktyg också är, kan olika typer av personuppgifter sparas på servrar som tjänsten använder sig av. Sådana uppgifter kan vara användarnamn, filer och annat material samt uppgifter i en aktivitetslogg eller en annan typ av logg, som samlas in när molntjänsterna används. Vid riskbedömningar av molntjänster är det viktigt att speciellt ta hänsyn till att personuppgifterna behandlas transparent, att uppgifterna minimeras, att lagringsperioden begränsas och att uppgifterna behandlas konfidentiellt. [ix]
En kartläggning av hur data som innehåller personuppgifter behandlas förutsätter en genomgång av tjänsteleverantörens avtal, dataskyddsbeskrivningar och övriga dokument. Många programvaruföretag har utvecklat sina applikationer främst för marknader utanför EU, vilket gör att kraven i GDPR inte nödvändigtvis beaktats i dem. Även om en app påstås följa GDPR är det ännu ingen garanti för att funktionerna i applikationen uppfyller den nivå av dataskydd som gäller för utbildningssammanhang.
Molntjänsterna aktualiserar också frågan om var personuppgifterna lagras geografiskt och huruvida de överförs till länder utanför EU och EES. Till exempel i Microsofts, Googles och Adobes webbapplikationer kan personuppgifter överföras till länder utanför EU, där dataskyddet inte uppfyller de krav som fastställs i GDPR. I serviceavtalet för en enskild applikation kan det nämnas till och med flera tiotals underbiträden i tiotals olika länder. I en del applikationer kan lagringen av data begränsas till EU-området till exempel med en tilläggstjänst eller genom att kunden köper en dyrare licens. Om detta inte är möjligt ska andra skyddsåtgärder utredas.
Observationer av dataskydd i AI-applikationer
Under det senaste året har jag varit involverad i flera konsekvensbedömningar av AI-applikationer och andra digitala plattformar som används i undervisningen. Nedan går jag igenom några av mina observationer som jag gjort i det arbetet. Det som arbetet gett vid handen är att jag alltid rekommenderar att man gör upp en noggrann plan och gör en riskbedömning innan man tar i bruk AI-applikationer eller -funktioner.
Observation 1: Det kan finnas brister i dataskyddet för generativa AI-applikationer
Generativa AI-applikationer som snabbt tagits i allmänt bruk är vanligtvis gratis att använda och deras funktioner är avsedda för konsumentbruk. När de används i undervisningen är det bra att göra en bedömning av huruvida de är avsedda för privata användare eller organisationer.
I undervisningen kan minimikravet för dataskyddet i chattbottar som baserar sig på stora språkmodeller anses vara att de instruktioner eller promptar som matas in i en bot inte används till att träna språkmodellen i fråga. Personuppgifter som eventuellt ingått i promptar ska inte användas till att utveckla AI-applikationen. Om sådana saker inte framgår av dokumentationen i applikationen är det ett tecken på bristande dataskyddskompetens hos tjänsteleverantören.
Det kan finnas brister också i säkerhetsfunktionerna i applikationerna. Om det i applikationen till exempel är möjligt att dela AI-generad text eller bild via en delningslänk kan en sådan funktion lätt innebära att personuppgifter läcks ut till utomstående antingen av misstag eller avsiktligt till exempel i mobbningssyften. Utbildningsanordnaren ska kunna övervaka hur tjänsten används – inklusive delningsfunktionerna – för att kunna ingripa vid missbruk och avlägsna olämpligt innehåll. Det är önskvärt att alltför omfattande delningsfunktioner kan stängas av.
Bristerna kan också gälla helt grundläggande dataskydd som möjligheten att få ut transparent information om behandlingen av personuppgifter eller att granska egna uppgifter. Åtminstone användarna på administratörsnivån bör ha möjlighet att granska eller ladda ner användarnas uppgifter i digitalt format, så att utbildningsanordnaren ska kunna fullgöra sitt ansvar som personuppgiftsansvarig.
Observation 2: Generativ AI kan ha för omfattande rättigheter att komma åt lagrade uppgifter
I molntjänster som är avsedda för utbildningsanordnare kan det vara möjligt att tillåta generativ AI, som chattbottar, att komma åt alla filer och andra data som sparats i alla organisationens molntjänster. I sådana fall finns det en stor risk för att personuppgifter med koppling till undervisning används genom generativ AI för ändamål som inte har med undervisningen att göra.
Överlag är det viktigt att vara noga med vilka uppgifter generativ AI ges tillgång till – eller matas med i form av promptar. En bra tumregel är att ge AI tillgång endast till vissa typer av data som man är säker på inte innehåller personuppgifter. Ifall man vill använda AI för behandling av elevernas personuppgifter är det nödvändigt att göra en riskbedömning, i enlighet med beskrivningen ovan, så att man kan vara säker på att behandlingen följer gällande dataskyddsbestämmelser.
Observation 3: Eleverna kan få möjlighet att använda generativ AI utan avtal om behandling av personuppgifter
Samma tjänsteleverantörer erbjuder både molntjänster som är avsedda för utbildningsinstitutioner och generativa AI-applikationer som i sin tur är fritt tillgängliga för konsumenter, och det leder vidare till att det är oklart vad webbtjänsterna som erbjudits utbildningsinstitutionerna egentligen innehåller. Med användarnamn som tillhandahålls av en utbildningsinstitution kan det vara möjligt att också använda generativa AI-applikationer som inte ingår i avtalet som utbildningsinstitutionen ingått med tjänsteleverantören. Molntjänster erbjuder vanligtvis flera alternativa licenser, och i en del av dem ingår en AI-applikation och i andra inte. Då beror det på licensen huruvida det är utbildningsanordnaren eller tjänsteleverantören som är den personuppgiftsansvariga för applikationen.
Utbildningsanordnaren gör därför klokt i att kontrollera inställningarna för molntjänsterna när de tas i bruk, så att eleverna med sina inloggningsuppgifter inte kan använda AI- och andra webbapplikationer, som inte omfattas av avtalet med tjänsteleverantören när det gäller behandlingen av personuppgifter.
Observation 4: Avtal om behandling av personuppgifter är inte alltid heltäckande
Oavsett vilken applikation det är fråga om ska utbildningsanordnaren kontrollera huruvida det är möjligt att ingå ett avtal om behandling av personuppgifter med tjänsteleverantören eller om det ingår i serviceavtalet. Om så inte är fallet ska elevernas personuppgifter inte sparas i applikationen utan ett separat begärt samtycke till den typen av utlämnande och användning av personuppgifter. Läraren får med fördel kontrollera utbildningsanordnarens riktlinjer för hur ett samtycke ska begäras och huruvida lärare får begära samtycken till användning av applikationer.
I tjänsteleverantörens standardavtal står det inte nödvändigtvis vilka alla personuppgifter som ska behandlas och för vilka ändamål. Då är det möjligt att uppgifterna som sparas i tjänsten kan användas till exempel vid produktutveckling, vid träning av AI-modeller eller för tjänsteleverantörens egna ändamål. Om det i applikationen ingår funktioner som förutsätter behandling av personuppgifter men som inte omfattas av avtalet, kan leverantören till den delen anses vara den personuppgiftsansvariga. Elevernas uppgifter hamnar i så fall hos utomstående parter och används för ändamål som inte har med undervisningen att göra.
Utbildningsanordnaren ska alltid kontrollera att ett gällande avtal följer den allmänna dataskyddsförordningen och att alla personuppgifter behandlas endast för de ändamål som den personuppgiftsansvariga fastställt. [x] Ett varnande exempel på detta gäller användningen av tjänsten Google Workspaces for Education, som år 2021 ledde till en anmärkning utfärdad av Dataombudsmannen. Beslutet har inte ännu vunnit laga kraft. [xi] Dataskyddsmyndigheten i Danmark har också påpekat viss problem med användningen av Googles molntjänster inom kommunal grundläggande utbildning. [xii]
Gyllene regler för användning av AI i undervisningen
Om AI-applikationer används i undervisningen är det viktigt att beakta å ena sidan utbildningsanordnarens skyldigheter som personuppgiftsansvarig och å andra sidan lärarnas tillräckliga dataskyddskompetens, så att man kan agera rätt i olika situationer i praktiken. Det senare förutsätter att dataskydd och användning av AI beaktas i lärarfortbildningen.
Dataskydd kan kännas som en komplex helhet, men i undervisningen kan man beakta det genom att börja med enkla grundläggande saker. De härrör i sin tur från dataskyddsprinciperna som utgör kärnan i den allmänna dataskyddsförordningen. Exempel på dessa principer är principerna om användningsändamålet och uppgiftsminimering, som slår fast att personuppgifter endast får användas för syften som slagits fast på förhand och att uppgifterna som behandlas ska begränsas till ett minimum. En tredje princip som det är bra att komma ihåg är transparensprincipen, som i korthet går ut på att alla ska kunna veta vilka uppgifter om dem som behandlas och hur. Utgående från dessa tre principer är det tryggt att börja använda också AI-applikationer.
De gyllene reglerna nedan gäller för användning av AI i undervisningen i ljuset av dataskyddet. Reglerna är avsedda för lärare, så att de kan beakta dataskyddet i undervisningssituationer i praktiken:
Bild: Gyllene regler för användning av AI i undervisningen
- Läs guiden kapitel för kapitel på vår webbplats – tack vare Svenska folkskolans vänner rf också på svenska
Källor
[i] Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), https://eur-lex.europa.eu/legal-content/SV/TXT/?uri=CELEX:32016R0679
[ii] Lag om grundläggande utbildning 628/1998, https://www.finlex.fi/sv/lagstiftning/1998/628
[iii] Silvennoinnen, E., Tedre, M. & Valtonen, T. (2024). Datafikoituva peruskoulu – tasapainoilua lapsen henkilötietojen suojan ja opetuksen tavoitteiden välillä, Lakimies, 122(5), 655–678., https://journal.fi/lakimies/article/view/143755
[iv] ibid.
[v] Arbetsgruppen för skydd av personuppgifter. (2017). Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning (EU) 2016/679, https://tietosuoja.fi/documents/6927448/8316711/Riktlinjer+om+konsekvensbedömning+avseende+dataskydd.pdf
[vi] Dataombudsmannens byrå. (2021). Instruktioner för konsekvensbedömning avseende dataskydd, https://tietosuoja.fi/documents/6927448/66036250/TVA+ohje.pdf/ff0b6e1b-5b89-e85e-a2e5-6c4bd4c0ccfc/TVA+ohje.pdf?t=1639729535787
[vii] Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), https://eur-lex.europa.eu/legal-content/SV/TXT/?uri=CELEX:32016R0679
[viii] Dataombudsmannens byrå. (n.d.). Bedöm riskerna och planera åtgärderna för att genomföra dataskyddet, hämtad 2.1.2025, https://tietosuoja.fi/sv/bedom-riskerna
[ix] DigiFinland. (26.6.2024). Cirrus-hanke: Tapausesimerkit, https://digifinland.fi/wp-content/uploads/2024/06/Cirrus-Tapausesimerkit-2024-v1.0.pdf
[x] Europeiska dataskyddsstyrelsen. (2021). Riktlinjer 07/2020 angående begreppen personuppgiftsansvarig och personuppgiftsbiträde i GDPR, version 2.0, https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_sv
[xi] Dataombudsmannen. (30.12.2021). Henkilötietojen käsittelyn lainmukaisuus ja siirto kolmansiin maihin koulun opetusohjelman käytössä, https://www.finlex.fi/fi/viranomaiset/tsv/2021/20211503
[xii] Dataombudsmannens byrå. (2.2.2024). Den danska dataskyddsmyndigheten utfärdade ett beslut om användningen av Googles programvara i grundskolan, https://tietosuoja.fi/-/tanskan-tietosuojaviranomainen-antoi-paatoksen-googlen-ohjelmistojen-kaytosta-peruskouluissa
- Läs guiden kapitel för kapitel på vår webbplats – tack vare Svenska folkskolans vänner rf också på svenska
Jaa eteenpäin
