Leiðbeiningar vegna áhættumats kennsluhugbúnaðar

Áhættugreining kennslukerfa var framkvæmd sumarið 2021, undir verkstjórn ION Ráðgjafar. Niðurstöður eru birtar á stafræna vef Sambands íslenskra sveitarfélaga, Áhættugreining kennsluhugbúnaðar. Leiðbeiningarnar hér að neðan eru til aðstoðar við sveitarfélög og aðra aðila um hvernig er mögulegt að bregðast við þeirri áhættu sem hefur verið greind.

Í einhverjum tilvikum getur verið nauðsynlegt fyrir notendur kennslukerfis að móta sér stefnu, setja verklag eða bregðast við með öðrum hætti til að takmarka áhættu við notkun kennslukerfis. Ef ekki er hægt að draga úr áhættu með slíkum ráðstöfunum getur verið nauðsynlegt að sleppa notkun á viðkomandi kennslukerfi.

Þegar vísað er í verklagsreglur í þessum leiðbeiningum getur verið nauðsynlegt fyrir sveitarfélag að útbúa slíkt verklag. Ekki er ráðlagt að taka kennslukerfi í notkun fyrr en að lokinni áhættugreiningu og samþykkt innan hvers sveitarfélags, þrátt fyrir að annað sveitarfélag hafi tekið í notkun viðkomandi kennslukerfi. Ásættanlegt áhættustig getur verið mismunandi milli sveitarfélaga og mismunandi ráðstafanir innleiddar sem veldur að notkun kennslukerfa getur verið misáhættusöm. Lagt er til að hvert sveitarfélag útfæri sitt eigið ferli og fylgi því til enda fyrir hvert kennslukerfi.

Dæmi um verklag eða skjöl sem getur verið gagnlegt/nauðsynlegt fyrir sveitafélag að útfæra:

  • Verklag um nafnleynd nemenda: Í stað þess að nota persónugreinanlegt notendanafn inn í kennslukerfi er notandi nefndur almennu nafni (d. Nemi1) og kennari hafi til hliðsjónar, utan kennslukerfis, hver sé raunverulega nemi1.
  • Verklag um meðferð málefna persónuverndarfulltrúa. Í einhverjum tilvikum er mælt með að persónuverndarfulltrúi sé fenginn að ákvarðanatöku varðandi ákveðin kennslukerfi. Mikilvægt er að til staðar sé ferli sem tryggir tímanlega aðkomu persónuverndarfulltrúa að ákvörðunum sem snerta öryggi persónuupplýsinga nemenda eða kennara.
  • Stefnu um framkvæmd vinnslusamninga. Í mörgum tilvikum getur verið nauðsynlegt að útbúa vinnslusamning eða annað sambærilegt samkomulag milli aðila þar sem öryggi persónuupplýsinga er bundið í samning milli aðila. Mikilvægt er að stefna hafi verið skilgreind og persónuverndarfulltrúi hafi aðkomu að slíkum málum.
  • Stefnu um notkun kennslukerfa sem bjóða upp á auglýsingar. Gagnlegt getur verið fyrir sveitarfélag að móta sér stefnu um mörg af þeim atriðum sem koma fram hér að neðan. Til dæmis getur verið gagnlegt fyrir sveitarfélag að móta stefnu um hvort ásættanlegt sé að nota kennslukerfi sem býður upp á auglýsingar sem ekki er hægt að stýra og geta þannig mögulega verið óæskilegar fyrir börn og ungmenni. Stefnur geta verið hjálplegar til að ákveða stærri atriði í stað þess að þurfa að taka ákvörðun í hvert sinn.
  • Stefnu um notkun á opinberum forritabúðum. Ágætt getur verið skóla og sveitarfélag að hafa þá almennu stefnu að einungis skuli notast við kennslukerfi sem eru aðgengileg í opinberum forritabúðum.
  • Verklag tengt ákveðnum kerfum eða leikjum. Mörg af þeim kerfum sem metin hafa verið er hægt að gera umtalsvert áhættuminni með því að breyta stillingum í kerfunum. Gagnlegt getur verið fyrir skóla að hafa til staðar verklag um hvernig stillingar skuli vera í ákveðnum kerfum til að notkun þeirra sé áhættuminni fyrir nemendur og kennara.
  • Stefnu/verklag um meðferð upplýsinga – hvort sem er gögn í tölvukerfum eða prentuð. Þegar gögn hafa verið prentuð úr kennslukerfum er samt nauðsynlegt að vernda þau með sambærilegum hætti og ef þau væru enn bundin í tölvukerfi. Nauðsynlegt getur verið að útbúa verklag og fræðslu um meðferð upplýsinga á hvaða formi sem þau eru.

Athugið að þrátt fyrir að ráðstafanir séu innleiddar getur samt verið nauðsynlegt fyrir sveitarfélag eða aðra aðila að samþykkja þá áhættu sem greind hefur verið. Niðurstaða áhættugreiningar telst ekki samþykki frá Sambandi íslenskra sveitarfélaga eða ION Ráðgjöf.

Spurningar við áhættugreiningu

Hvað gerir kennslukerfið?

  • Einföld lýsing á hvað kennslukerfið gerir.

Heimasíða með upplýsingum um kennslukerfið

  • Kennarar og aðrir eru hvattir til að kynna sér nánari upplýsingar um kennslukerfið. Þá er í mörgum tilvikum hægt að finna upplýsingar um hvernig hægt er að stilla kerfi til að takmarka áhættu eða finna leiðbeiningar um hvernig hægt er að nota kerfi með betri og áhættuminni hætti.

Huglægt mat á flækjustigi kennslukerfis

  • Vert er að hafa í huga að með auknu flækjustigi kennslukerfis, þeim mun meiri tíma getur tekið að kenna á kerfið. Það getur þá einnig verið flóknara að stilla kerfið þannig að áhætta sé takmörkuð. Ef stillingar til að takmarka vinnslu persónuupplýsinga eru faldar getur það verið erfiðara að takmarka vinnslu persónuupplýsinga. Í þeim tilvikum þegar um flókin kerfi er að ræða er mikilvægt að greinargóðar leiðbeiningar og fræðsla sé til staðar til stuðnings við notendur kerfisins.

Hver er markhópur kennslukerfis? (Skoða aldursflokkun í persónuverndarstefnu eða í forritabúð (App Store/Play Store). Ef mismunur, skrá það sem stendur í persónuverndarstefnu.

  • Í einhverjum tilvikum hefur framleiðandi kerfis skilgreint ákveðna aldurshópa og markhópa fyrr kennslukerfið. Þrátt fyrir að ekki sé nauðsynlegt að taka tillit til þess getur það samt gefið vísbendingar um hvort viðkomandi kennslukerfi henti fyrir þann hóp sem á að nota kennslukerfið.

Er aldurstakmark á kennslukerfinu? (Skilgreint í búð / stefnu – kemur fram)

  • Aldurstakmörk í kennslukerfi er nauðsynlegur leiðarvísir um hvort kennslukerfi henti fyrir viðkomandi nemendur. Skilgreining á aldurstakmörkum fer eftir ákveðnum ramma hjá forritabúðum og er mikilvægt að hafa í huga þegar kennslukerfi er valið. Ákveðnir þættir geta valdið því að aðgangur að kennslukerfi krefst hærri aldurs, svo sem ef fram kemur ofbeldi eða annað óæskilegt efni. Mikilvægt er að taka tillit til þeirra leiðbeininga sem framleiðandi kerfis veitir.

Hvaða námssviðum tengist kennslukerfi (inntak)?

  • Með upplýsingum um námssvið er mögulegt að leita að  kennslukerfi sem hentar fyrir viðkomandi námsgrein. Athugið að í mörgum tilvikum getur kennslukerfi hentað vel fyrir fleira en eitt námssvið.

Hverjir eru upplýsingatæknilegir eiginleikar kennslukerfisins (umgjörð)?

  • Upplýsingatæknilegir eiginleikar kennslukerfis geta gefið nánari upplýsingar um hvar viðkomandi kennslukerfi getur verið hentugt. Þegar leitað er eftir hugbúnaði sem getur verið hentugt til kennslu getur þessi flokkur veitt hjálplegar upplýsingar.

Hverjir eru helstu kennslufræðilegir eiginleikar kennslukerfisins (aðferð)?

  • Kennslufræðilegir eiginleikar kennslukerfis geta gefið nánari upplýsingar um hvar viðkomandi kennslukerfi getur verið hentugt. Þegar leitað er eftir hugbúnaði sem getur verið hentugt til kennslu getur þessi flokkur veitt hjálplegar upplýsingar.

Er kostnaður vegna kennslukerfisins?

  • Kostnaður vegna kennslukerfis getur verið mikill þegar eintak af kerfi er keypt fyrir heilan bekk. Skoða þarf hvernig slíkum kostnaði er haldið til haga og gætt að hvort sambærilegt kerfi sé til staðar án kostnaðar. Þegar kaupa á kennslukerfi er mikilvægt að það fari í gegnum réttar leiðir og að kostnaði sé viðhaldið og undir eftirliti.

Hvers eðlis er kennslukerfið og á hvernig tæki fer það?

  • Áhættur eru mismunandi eftir því hvers konar vélbúnað fyrirhugað er að nota. Þegar kennslukerfi er á snjalltæki eru áhættur annars háttar en þegar um er að ræða vefsíðu eða kerfi í fartölvu. Öll tæki geta verið áhættusöm ef þau eru rangt stillt eða rangt er farið með þau. Ef um snjalltæki er að ræða getur áhætta líka verið mismunandi eftir hvort tæki sé einungis notað í skóla eða hvort tæki sé einnig tekið heim. Ef tæki er tekið heim er meiri áhætta þegar kennslukerfi hefur aðgang að staðsetningarupplýsingum.

Útgáfa sem er skoðuð

  • Áður en kennslukerfi er tekið upp þarf að staðfesta  að um sé að ræða sömu útgáfu og var metin. Ef munur er á útgáfum getur verið nauðsynlegt að endurskoða áhættumatið. Þrátt fyrir að stundum sé lítill munur á milli útgáfa af kennslukerfum geta líka komið til breytingar sem hafa áhrif á aðgang kerfis eða hvernig mögulegt er að deila persónuupplýsingum í kerfinu. Þess vegna er nauðsynlegt að staðfesta að um sömu útgáfu sé að ræða.

Persónuvernd

Ekki er mögulegt að skrá persónuupplýsingar í kennslukerfið

  • Í einhverjum tilvikum er ekki mögulegt að skrá persónuupplýsingar í kennslukerfi. Þegar ekki er mögulegt að skrá persónuupplýsingar er talsvert minni áhætta vegna notkunar á kennslukerfi. Ef hægt er að velja á milli sambærilegra kennslukerfa þar sem annað skráir persónuupplýsingar en hitt ekki er mælt með að notast við það sem ekki krefst skráningu persónuupplýsinga.

Er skráning persónuupplýsinga nauðsynleg fyrir virkni kennslukerfisins?

  • Ef skráning persónuupplýsinga er nauðsynleg og gögn eru aðgengileg framleiðanda kerfis eða öðrum er nauðsynlegt að gera vinnslusamning eða samþykkja staðlaða samningsskilmála vegna kerfis. Leita skal aðstoðar persónuverndarfulltrúa við gerð vinnslusamnings áður en vinnsla hefst.
    • Vert að skoða – Er annað kerfi til staðar sem gerir það sama en krefst ekki skráningar persónuupplýsinga?
    • Eru gögn vistuð hjá framleiðanda? Ef svo er nauðsynlegt að undirrita vinnslusamning eða skilmála.

Hverjir eru hinir skráðu?

  • Mörg kennslukerfi biðja einungis um skráningu á persónupplýsingum um kennara. Þegar beðið er um persónuupplýsingar um nemendur getur verið nauðsynlegt að beita verklagi um nafnleynd í kennslukerfum. Börn skulu njóta sérstakrar verndar þegar kemur að vinnslu persónuupplýsinga, þess vegna er ávallt nauðsynlegt að skoða hugbúnaðinn nánar þegar unnið er með persónuupplýsingar um börn. Í einhverjum tilvikum getur verið nauðsynlegt að skrá persónuupplýsingar um forsjáraðila nemenda, til dæmis þegar leyfi forsjáraðila er nauðsynleg forsenda fyrir notkun á kennslukerfi. Þegar unnið er með persónuupplýsingar um börn er mikilvægt að upplýsa persónuverndarfulltrúa áður en vinnsla hefst.  Þegar kemur að persónuupplýsingum um kennara er einnig nauðsynlegt að gæta að öryggi, takmarka vinnslu eins og hægt er og upplýsa aðila um vinnsluna sem fer fram.

Hvaða persónuupplýsingar eru skráðar?

  • Þeim mun meira af persónuupplýsingum sem eru skráðar því áhættusamara getur notkun kennslukerfis verið. Með fleiri þáttum sem hægt er að nota til að auðkenna notenda þeim mun nákvæmari mynd er til af þeim notenda hjá eiganda hugbúnaðarins og áhættan þar með aukin. Í einhverjum tilvikum er mögulegt að komast hjá því að setja inn persónuupplýsingar, t.d. með að útbúa og nota verklag um nafnleynd í kennslukerfum.

Er persónuupplýsingum deilt með þriðja aðila (d. Google, Facebook, öðrum)?

  • Nauðsynlegt er að vita hvort persónuupplýsingum er deilt með þriðja aðila. Ef upplýsingum er deilt þarf að vera tryggt að öryggi upplýsinga sé ásættanlegt, en einnig að vera viss um að leyfi sé fyrir hendi til að deila upplýsingum. Þá getur einnig verið nauðsynlegt að vita hvers vegna þessum upplýsingum er deilt og hvað þriðji aðili hyggst gera með þessar upplýsingar. Ef tilgangur söfnunar hjá þriðja aðila er til að mynda að sameina persónuupplýsingar með öðrum þáttum getur það talist sem mótun persónusniðs og telst áhættusamt samkvæmt persónuverndarlögum.

Ef persónuupplýsingum er deilt með þriðja aðila, kemur fram í hvaða tilgangi?

  • Kennslukerfi deila persónuupplýsingum af ýmsum ástæðum. Ef gögnum er deilt í greiningartilgangi er oft hægt að afþakka að slíkum upplýsingum sé deilt, en tilgangur er þá oft sagður vera að bæta upplifun notenda og kennslukerfið sjálft. Apple tæki spyrja hvort forriti sé leyfilegt að fylgjast með virkni, og þá er hægt að velja „Ask app not to track“. Ef tilgangur með deilingu er markaðslegur tilgangur getur það talist mjög áhættusamt enda getur þá verið að markaðssetja auglýsingar að notendum, sem getur þýtt að unnið sé að persónusniði um notenda. Það getur einnig verið að upplýsingar séu seldar áfram til samsöfnunar með öðrum upplýsingum. Ef ekki kemur fram hver sé tilgangur með deilingu upplýsinga getur það talist mjög áhættusamt og sérstaklega þegar um er að ræða upplýsingar um nemendur. Þrátt fyrir þetta er mögulegt að forrit fylgist með aðgerðum og deili með þriðja aðila. Dæmi um vefsíður þar sem hægt er að skoða hvernig forrit fylgjast með hegðun er Exodus. Í tilvikum viðbóta í Chrome vafra er hægt að skoða CRXcavator.

Kemur fram hver á þær persónuupplýsingar sem eru skráðar í kerfið?

  • Mikilvægt er að vita hver á þær persónuupplýsingar sem eru skráðar. Ef framleiðandi á persónuupplýsingar er mikilvægt að vita hvernig farið er með þær. Þetta atriði þarf að skoða í samhengi hvort upplýsingum sé deilt með þriðja aðila og hvenær persónuupplýsingum sé eytt. Ef engar persónuupplýsingar eru skráðar í kerfið takmarkast þessi áhætta umtalsvert. Í mörgum tilvikum er ekki tekið fram hver á þær persónuupplýsingar sem unnið er með í viðkomandi kennslukerfi. Þá getur verið nauðsynlegt að framkvæma nánari greiningu, hugsanlega með því að hafa samband við framleiðanda, en það þarf að meta í samhengi umfangs þeirra persónuupplýsinga sem unnið er með.

Skráir kennslukerfið einhverjar viðkvæmar persónuupplýsingar?

  • Ef kennslukerfi skráir viðkvæmar persónuupplýsingar og framleiðandi eða annar hefur aðgang að þeim upplýsingum er nauðsynlegt að hafa til staðar vinnslusamning. Upplýsa ætti persónuverndarfulltrúa áður en notkun kennslukerfis er hafin. Skilgreining á hvað telst viðkvæmar persónuupplýsingar er að finna hjá persónuverndarfulltrúa eða á vef Persónuverndar.

Eru almennir/ónafngreindir aðgangar mögulegir í kennslukerfinu?

  • Þegar mögulegt er fyrir notendur að vera ónafngreindir, takmarkar það dreifingu persónuupplýsinga, enda er þá ekki hægt að notast við nafn sem auðkennandi þátt. Taka skal fram að í mörgum tilvikum er samt hægt að persónugreina einstaklinga út frá öðrum þáttum. Möguleiki á nafnleynd getur hins vegar takmarkað hversu mikið er unnið af persónuupplýsingum og minnka líkur á að persónuupplýsingar úr kennslukerfi séu sameinaðar öðrum til að mynda heildstæðari mynd af viðkomandi.

Hefur útgefandi hugbúnaðar sett sér persónuverndarstefnu (Privacy policy)?

  • Þegar unnið er með persónuupplýsingar er mikilvægt að framleiðandi kerfis hafi sett sér persónuverndarstefnu. Þrátt fyrir að engar efnislegar kröfur séu gerðar um innihald slíkrar stefnu sýnir þó gerð stefnunnar vilja til þess að standa ágætlega að þessum málum. Ef framleiðandi kerfis hefur ekki sett sér slíka stefnu bendir það til þess að ekki hafi verið nægilega vel hugað að vinnslu persónuupplýsinga.

Hlekkur á persónuverndarstefnu

  • Kennarar, forsjáraðilar og aðrir eru hvattir til að kynna sér persónuverndarstefnur þeirra fyrirtækja sem gefa út kennslukerfi. Slíkar stefnur gefa oft ágætis mynd af vilja þeirra fyrirtækja til að gæta vel að öryggi persónuupplýsinga sem unnið er með. Krafa er sett á framleiðendur að gefa út persónuverndarstefnur sem eru skiljanlegar markhópi þeirra stefnu, en mörg dæmi eru um að þessi krafa sé ekki virt. Er persónuverndarstefna er illskiljanleg fyrir fullorðin er hún líklega ekki skiljanleg barni.  

Hvenær var persónuverndarstefna seinast uppfærð?

  • Þrátt fyrir að nýleg persónuverndarstefna sé alls engin trygging fyrir að vel sé staðið að málum getur það samt gefið vísbendingar um að vel sé staðið að vinnslu persónuupplýsinga. Ef persónuverndarstefna hefur ekki verið uppfærð í mörg ár getur það gefið vísbendingar um að ekki sé hugað nægilega vel að þessum málum T.d. ef persónuverndarstefna var uppfærð seinast fyrir maí 2018 gefur það vísbendingar um að ekki sé hugað að Persónuverndarlögum (GDPR) í þeirri stefnu.

Hvernig er auðkenning inn í kennslukerfið fyrir NEMENDUR

  • Í þeim tilvikum þegar nemendur eru auðkenndir inn í viðkomandi kerfi þarf að huga að hvaða persónuupplýsingar eru gerðar aðgengilegar með þeirri auðkenningu. Ef notast er við sérstaka auðkenningu að kerfi þarf að huga að hvort notast sé við póstfang eða hvort hægt sé að útbúa notendanafn. Ef notendanafn er notað skal líta til viðmiða um nafnleysi, þannig að ekki sé hægt að persónugreina út frá notendanafni. Ef notast er við auðkenningu í gegnum annað kerfi þarf að huga að því hvort persónuupplýsingar flytjist þannig til auðkenningaraðila. Ef notast er við Facebook auðkenningu er mögulegt að persónugreinanlegar upplýsingar séu sendar til eða frá Facebook. Auðkenning í gegnum Google/Microsoft gæti talist áhættuminni ef þegar er verið að nota lausnir frá þeim aðilum og persónuupplýsingar um notendur þannig þegar til staðar hjá þeim fyrirtækjum.
    • Varhugavert getur verið þegar einungis er mögulegt að auðkenna með Facebook auðkenni, enda er 13 ára aldurstakmark við notkun þeirrar þjónustu.

Hvernig er auðkenning inn í kennslukerfið fyrir KENNARA

  • Sérstök auðkenning inn í kennslukerfi getur valdið því að persónuupplýsingar eru skráðar inn í viðkomandi kennslukerfi. Í þeim tilvikum er nauðsynlegt að það kerfi sé haft í huga þegar kemur að ferlum um starfslok eða breytingar á starfsskyldum innan skólastofnana. Ef notast er við aðra auðkenningu en þá sem almennt er notuð innan viðkomandi stofnunar er einnig mikilvægt að tryggja að aðgangi að kerfi sé lokað eftir starfslok/breytingar. Þegar notast er við Google/Microsoft auðkenningu þarf tölvudeild að staðfesta að ef viðkomandi aðgangur er gerður óvirkur að það muni hafa áhrif á alla aðganga þar sem notast er við þá auðkenningu.
    • Lagt til að skólastofnanir uppfæri ferla um starfslok/breytingar í samræmi við notkun á kennslukerfum.
    • Mögulegt er fyrir kennara að takmarka vinnslu persónuupplýsinga þegar útbúa þarf sérstaka aðganga að kerfum, til dæmis með breyttum póstföngum sem gefa ekki upp nafn viðkomandi.(D. Nota kennari123@skoli.is sem notendanafn í staðinn fyrir fullt.nafn@skoli.is - ræða við umsjónaraðila tölvukerfis varðandi að útbúa slík póstföng).

Samfélagsmiðlun

Er mögulegt að tengjast samfélagsmiðlum í gegnum kennslukerfið?

  • Tenging við samfélagsmiðla er í flestum tilvikum óæskileg þar sem slík tenging getur aukið dreifingu persónuupplýsinga um börn. Notkun á viðkomandi kerfi er þá hugsanlega skráð hjá viðkomandi samfélagsmiðli. Í mörgum tilvikum hafa nemendur heldur ekki aldur til að nota þá samfélagsmiðla sem tengst er við, þar sem flestir slíkir miðlar hafa allavega 13 ára aldurstakmark.
    • Þegar mögulegt er að tengjast samfélagsmiðlum þarf að skoða hvort hægt sé að takmarka slíka tengingu (d. Takmarka mögulegar tengingar við samfélagsmiðla á þeim netum þar sem kennslukerfi eru notuð), hvort slíkt sé mögulegt hjá nemendum eða bara kennurum og setja reglur um að samfélagsmiðla skuli aldrei nota til að deila upplýsingum um nemendur eða kennara.

Býður kennslukerfið upp á samfélagslega virkni?

  • Samfélagsleg virkni merkir að notendur geta haft samskipti sín á milli innan kerfis. Í mörgum tilvikum getur slíkt verið eftirsóknarvert en mikilvægt er að hafa í huga að slíkt getur verið vettvangur fyrir einelti og aðra tegund ofbeldis. Nauðsynlegt getur verið fyrir kennara að fylgjast eins og hægt er með þeim samskiptum sem fara fram innan kerfis, auk þess að leiðbeina notendum um hvernig samskipti skulu fara fram. Í því samhengi er til dæmis hægt að líta til leiðbeininga Heimili og skóla.

Ef samfélagsleg virkni, er mögulegt fyrir óviðkomandi að hafa samband við notendur kennslukerfisins?

  • Ef óviðkomandi getur haft samskipti við notendur innan kerfis getur það falið í sér ýmsa áhættuþætti. Í einhverjum tilvikum getur verið nauðsynlegt fyrir notenda að samþykkja/“vingast við“ notendur áður en hægt er að eiga samskipti. Í slíkum tilvikum getur verið nauðsynlegt fyrir kennara að fylgjast með samskiptum, auk þess að fræða nemendur um að ekki sé allt sem sýnist á netinu og að nauðsynlegt sé að hafa fyrirvara á þegar vingast er við ókunnugan aðila. Í sumum kerfum (d. Roblox) er mögulegt að slökkva á eða takmarka spjallmöguleika, en slíkt getur minnkað líkur á að ókunnugir hafi samband við notendur.
    • Mælt er með að slökkva á eða takmarka eins og hægt er möguleika fyrir ytri aðila til að hafa samband við nemendur kennslukerfa, þegar slíkt er mögulegt.

Gagnameðhöndlun

Eru gögnin vistuð í skýi (þ.e. ekki einungis í viðkomandi tæki))?

  • Þegar gögn eru einungis vistuð á tækinu sjálfu er áhættan talsvert minni varðandi mögulegan aðgang óviðkomandi að skráðum upplýsingum. Þegar gögn eru vistuð í tölvuskýi getur verið nauðsynlegt að kanna hverjir gætu haft aðgang að þeim upplýsingum. Þetta atriði þarf að skoða sérstaklega í ljósi þess hvaða persónuupplýsingar eru skráðar í kerfið. Ef mikið magn af persónuupplýsingum eru vistaðar á tækinu sjálfu er mikilvægt að tryggja eins og hægt er að tækin séu ekki aðgengileg óviðkomandi og að viðunandi ráðstafanir séu gerðar til að takmarka aðgengi að tækinu.

Hvar eru gögnin vistuð?

  • Ef gögn eru vistuð innan Evrópusambandsins eða EES svæðisins er viðhorf Persónuverndarlaga að slík vistun sé öruggari en á mörgum öðrum stöðum. Ástæða þess er að álíka kröfur um vernd upplýsinga eru gerðar innan EES. Ef gögn eru vistuð utan EES svæðis getur verið nauðsynlegt að framkvæma nánari greiningu. Þetta atriði þarf að skoða í samhengi þeirra persónuupplýsinga sem eru skráðar í kerfið. Ef engar persónuupplýsingar eru skráðar eða beitt er verklagi um nafnleynd er áhættan talsvert minni. Í þeim tilvikum þegar persónuupplýsingar eru vistaðar utan EES svæðisins er nauðsynlegt að upplýsa persónuverndarfulltrúa sem getur þurft að framkvæma frekari greiningar.

Er notast við dulritun (encryption) í kerfinu?

  • Ef notast er við dulritun minnkar áhætta umtalsvert þegar persónuupplýsingar eru vistaðar hjá framleiðanda. Það merkir að ef óviðkomandi kæmist yfir gögnin væru þau í mörgum tilvikum ónothæf og þannig ólíkleg að valda hinum skráða tjóni. Skoða þarf hvernig dulritun er háttað í þeim tilvikum þegar treyst er á dulritun og meðal annars kanna hvort dulritun sé í samræmi við bestu venjur og í samræmi við nýrri kröfur um dulritun. Athugið að þrátt fyrir að dulritun sé oftast góð er slík ráðstöfun ekki alltaf nauðsynleg. Þetta þarf að skoða í samhengi umfangs og eðlis persónuupplýsinga.

Er mögulegt að prenta úr kennslukerfinu?

  • Þegar mögulegt er að prenta úr kennslukerfi er mikilvægt að til staðar séu leiðbeiningar og fræðsla um meðferð prentaðra gagna. Prentuð gögn sem ekki á að nota ætti að farga með þeim hætti að óviðkomandi komist ekki yfir þær upplýsingar. Ef mögulegt er fyrir notendur að prenta úr kerfi þarf að veita leiðbeiningar um meðferð slíkra upplýsinga eða takmarka möguleika ef hægt er. Þetta atriði þarf að skoða í samhengi hvort persónuupplýsingar séu skráðar í kerfið.

Er mögulegt að senda gögn beint úr kennslukerfi?

  • Þegar hægt er að senda gögn beint úr kerfi, s.s. með tölvupósti eða skilaboðum, getur verið erfiðara að stjórna meðferð upplýsinga í kerfinu. Þannig er mögulegt að þrátt fyrir að engar upplýsingar séu geymdar hjá framleiðanda kerfis, er samt  möguleiki þess að  persónuupplýsingar komist í hendur óviðkomandi aðila. Hafa þarf í huga að tölvupóstur getur verið áhættusöm leið til að deila upplýsingum og mögulegt er að upplýsingar lendi í höndum óviðkomandi þrátt fyrir góðan vilja. Ef mögulegt er að deila upplýsingum beint úr kennslukerfi er mögulegt að hægt sé að takmarka slíka virkni og þannig takmarka áhættu.
    • Þegar senda á persónuupplýsingar beint úr kennslukerfi er mikilvægt að gæta vel að og staðfesta að réttir viðtakendur hafi verið slegnir inn. Verklag um slíkar sendingar getur verið æskilegt/nauðsynlegt.

Er mögulegt að hlaða niður (download) gögnum í gegnum kennslukerfið?

  • Ef mögulegt er að hlaða gögnum niður er mögulegt fyrir upplýsingar að lenda í höndum óviðkomandi. Þegar upplýsingar eru komnar á tölvu eða snjalltæki er mögulegt að deila þeim með öllum mögulegum leiðum þess tækis og þar með ekki lengur hægt að tryggja að upplýsingar lendi ekki í höndum óviðkomandi. Ef mögulegt er að hlaða gögnum niður þarf að skoða hvort  hægt sé að takmarka slíka virkni í kerfi og þannig takmarka áhættu.
    • Ef gögn eru tekin út fyrir kennslukerfi skal tryggja að vernd þeirra sé ekki síðri en þegar gögnin voru inni í kerfinu sjálfu.

Er mögulegt að hlaða upp (upload) gögnum í gegnum kennslukerfið?

  • Þegar hægt er að hlaða gögnum upp er mögulegt að persónuupplýsingum sé deilt innan kennslukerfis án þess að það sé í raun tilgangur kerfisins. Ef mögulegt er að hlaða upp myndum, myndböndum, hljóðskrám eða öðru, sem síðan er vistað hjá framleiðanda tækis eða þriðja aðila, getur það skapað aukna hættu fyrir notendur. Gæta þarf að því hvaða gögn eru á tæki sem hægt væri að hlaða upp þegar sá valmöguleiki er til staðar.
    • Ef myndir eða myndbönd eru á tæki getur þeim verið hlaðið upp í gegnum kennslukerfi, sem gerir þá þær upplýsingar mögulega aðgengilegar fleirum en ættu að hafa aðgang að þeim.

Hefur kennslukerfið aðgang að staðsetningargögnum?

  • Ef kennslukerfi hefur aðgang að staðsetningargögnum getur það verið áhættusamt. Sérstaklega skal líta til þess hvort upplýsingum sé deilt með þriðja aðila og meta í samhengi þess hvernig viðkomandi tæki er notað.
    • Ef viðkomandi tæki er bara notað innan skólabyggingar er áhættan takmörkuð, enda er þá ekki hægt að fylgjast með ferðum nemenda.
    • Ef notandi fær að fara með tæki heim eða annað getur þetta verið sérstaklega áhættusamt.
    • Lagt er til að skoðað hvort hægt sé að takmarka deilingu á staðsetningargögnum og velja þá þær stillingar sem minnka eða koma í veg fyrir áhættuna.

Hefur kennslukerfið aðgang að myndavélagögnum

  • Þegar kennslukerfi hefur aðgang að myndavélagögnum getur það alltaf verið áhættusamt, þrátt fyrir að tilgangur kennslukerfis sé ekki að taka myndir af börnum eða skólastarfi. Ef kerfi hefur aðgang að myndavél þarf að gæta þess hvar gögn eru vistuð, hvort þau séu bara vistuð á tækinu eða vistuð í skýi.
    • Ráðlagt að fræða nemendur um mikilvægi þess að virða það að ekki séu teknar myndir af því sem ekki tengist tilgangi kennslukerfisins.
    • Einnig er mögulegt að takmarka aðgengi að myndavél, ef það truflar ekki tilgang kennslukerfisins.

Hefur kennslukerfi aðgang að myndaalbúmi?

  • Þrátt fyrir að kennslukerfi hafi ekki aðgang að myndavél getur verið áhættusamt ef kennslukerfi hefur aðgang að myndaalbúmi í tækinu sem verið er að nota. Þannig er mögulegt fyrir notendur að taka mynd á tæki, hvort sem er af sjálfum sér, öðrum notenda eða einhverju öðru, sem er síðan mögulega aðgengilegt óviðkomandi.
    • Ráðlagt er að fræða nemendur um mikilvægi þess að virða að ekki séu teknar myndir af því sem ekki tengist tilgangi kennslukerfisins.
    • Einnig er mögulegt að takmarka aðgengi að myndaalbúmi, ef það truflar ekki tilgangkennslukerfisins.

Hversu lengi eru gögn vistuð hjá hýsingaraðila?

  • Ef persónuupplýsingar eru geymdar hjá hýsingaraðila er mikilvægt að vita hversu lengi gögnin eru geymd hjá viðkomandi. Ef gögn eru vistuð eftir að þjónustu lýkur getur það verið áhættusamt.
    • Ákjósanlegt er að gögnum sé eytt um leið og þjónustu lýkur til að takmarka þessa áhættu. Með lengri tíma sem gögn eru vistuð hjá hýsingaraðila aukast líkur á að óviðkomandi komist í gögnin. Þegar engin gögn eru vistuð hjá hýsingaraðila er þetta ekki áhætta sem þarf að taka tillit til.

Annað

Eru auglýsingar í kennslukerfinu?

  • Í sumum tilvikum geta komið auglýsingar sem eru ekki við hæfi barna. Þá geta börn einnig smellt á auglýsingar sem skilar þeim á óæskilegar síður á internetinu. Í einhverjum tilvikum er takmarkað af framleiðanda kerfis hvers konar auglýsingar geta birst í kerfinu. Slíkt er venjulega tiltekið af framleiðanda.

Er samþykki forsjáraðila nauðsynlegt fyrir notkun á kennslukerfinu?

  • Í þeim tilvikum þegar samþykki forsjáraðila er nauðsynlegt fyrir virkni kerfis er jafnframt nauðsynlegt að slíks samþykkis sé aflað áður en notkun á kennslukerfi er hafin. Þegar um samþykki er að ræða þarf að gæta að kröfum Persónuverndarlaga og hafa í huga að samþykki er ávallt hægt að afturkalla. Varasamt getur þess vegna verið að treysta á samþykki forsjáraðila þegar kemur að notkun á kennslukerfi. Einnig er lagt til að ferlar séu til staðar til að bregðast við ef forsjáraðili dregur samþykki sitt til baka.

Er nettenging nauðsynleg fyrir virkni kennslukerfisins?

  • Ef nettenging er nauðsynleg fyrir virkni kerfis getur verið nauðsynlegt fyrir kennara að vera undirbúinn að netsamband sé ekki til staðar. Ef netsamband er brothætt getur verið eftirsóknarvert að skoða önnur sambærileg kerfi eða skoða hvort hægt sé að bæta netsamband. Til að netsamband sé virkt eru margir þættir sem treyst er á og þess vegna vert að hafa til staðar áætlun um hvað skuli gera þegar slík tenging er ekki til staðar.

Er mögulegt að virkja margþátta auðkenningu (multifactor authentication - MFA) fyrir kennara?

  • Ef um er að ræða vefkerfi er í einhverjum tilvikum hægt að virkja margþátta auðkenningu inn á þau. Það þýðir að ekki er nægilegt að vita notendanafn og lykilorð, heldur er nauðsynlegt að hafa annan auðkenningarhlut, oftast símtæki, til að komast inn í kerfið. Þá er t.d. hægt að fá tilkynningu í símtæki sem er nauðsynlegt til að skrá inn í viðkomandi vefkerfi. Með því að virkja margþátta auðkenningu er áhætta tengd því að óviðkomandi komist yfir auðkenniupplýsingar takmörkuð umtalsvert.

Eru mismunandi tegundir aðganga í kennslukerfið?

  • Hér er aðallega átt við aðgang kennara og stjórnenda. Í einhverjum tilvikum geta verið mismunandi aðgangar, þar sem stjórnanda þarf til að útbúa aðganga en kennari sér um það sem snýr að kennslunni. Þegar mismunandi aðgangar eru til staðar styður það við aðskilnað skylduverka, þar sem kennari hefur hugsanlega ekki réttindi til að eyða eða breyta færslum eða upplýsingum um notendur. Þegar stjórnendaaðgangar eru til staðar er mikilvægt að þeir aðgangar séu varðir sérstaklega og er þá meðal annars hægt að virkja margþátta auðkenningu þegar slíkt er til staðar.

Er aðgerðarskráning til staðar í kennslukerfinu?

  • Þegar aðgerðarskráning er til staðar er hægt að rekja hvaða notandi gerði hvaða aðgerð/ir í tölvukerfi. Ef ekki er hægt að rekja með vissu hvaða notandi framkvæmdi viðkomandi aðgerð eða breytingu gætu allir notendur þurft að liggja undir mögulegum grun. Aðgerðarskráning getur verið í kerfinu sjálfu eða hjá framleiðanda ef gögn eru vistuð í skýi.

Er kennslukerfið aðgengilegt í opinberum forritabúðum (App Stores / Play Store)?

  • Þrátt fyrir að ekki sé  trygging fyrir að öll kerfi í opinberum forritabúðum (Apple App Store (IOS) eða Google Play Store (Android eða Chrome bækur)) séu örugg þá eru nokkrar stýringar í þessum búðum sem minnka líkur á að um óörugg kerfi sé að ræða.
    • Lagt er til að ekki sé leyfilegt að setja upp kerfi úr öðrum forritabúðum en opinberum, en þetta er hægt að stilla í miðlægum kerfum og tækjum.

Er mögulegt að takmarka réttindi kennslukerfis án þess að takmarka notkunarmöguleika?

  • Sum kennslukerfi óska eftir aðgengi að ýmsum þáttum sem ekki eru nauðsynlegir fyrir virkni kerfisins. Það getur verið vísbending um að viðkomandi kennslukerfi sé varhugavert. Sum tæki bjóða upp á að takmarka aðgengi kerfa að möguleikum í tæki. Ef slíkt er hægt að gera án þess að takmarka hvernig kerfið er notað er vert að nota slíka möguleika.
    • Skólastofnunum og fyrirtækjum er ráðlagt að setja sér stefnu um takmörkun réttinda kennslukerfa þegar það kemur ekki niður á notkunarmöguleikum kennslukerfis.

Er viðkomandi hýsingaraðili (hosting provider) kennslukerfis með einhverja tegund vottunar?

  • Framleiðendur kennslukerfa verða sér í einhverjum tilvikum út um vottanir óháðra aðila um rekstur, framleiðslu eða vistun gagna hjá sér. Þrátt fyrir að slíkar vottanir geti verið gagnlegar vísbendingar er mikilvægt að taka þeim með þeim fyrirvara að skoða þarf hvað það er sem hefur verið tekið út og hvort viðkomandi vottun krefjist úttektar óháðs aðila. Í einhverjum tilvikum er hægt að fá vottun eftir að hafa framkvæmt sjálfsmat en slíkt getur ekki gefið vissu um að vel sé staðið að málum hjá þeim framleiðanda.

Glósuskjal

  • Í glósuskjölum, sem munu fylgja með kerfum, hafa í mörgum tilvikum verið settar inn ábendingar og leiðbeiningar sem gott getur verið að hafa í huga þegar nota á viðkomandi kennslukerfi. Geta þar til dæmis verið leiðbeiningar fyrir kennara eða forsjáraðila um hvernig er hægt að takmarka vinnslu persónuupplýsinga eða breyta stillingum til að takmarka áhættu sem getur fylgt notkun á kennslukerfi. Glósuskjölin verður hægt að nálgast á þessum vef.