Hvornår har prinsen samfundsfag – og i hvilket lokale? Hvornår får topchefens datter fri om tirsdagen? Oplysninger, der kan identificere og afsløre gymnasieelevers opholdssted, ligger frit tilgængelig på Lectio – en platform som 90 procent af gymnasierne bruger. Også andre platforme med børns data rulles ud uden at inddrage en juridisk og etisk debat.

Undervisningsministeriet og Digitaliseringsstyrelsen har et kæmpe fokus på brug af IT i undervisningen, hvilket kun kan hilses velkomment. Styregrupper er nedsat. Digitaliseringsstrategi 2016-2020 er vedtaget.

Men som så mange gange før, er det som om, at målet helliger midlet. Og her er midlet alle danske børns personlige oplysninger. Intet sted er der nogen, som lader til at have tænkt på, at her var der nogle helt grundlæggende overvejelser om beskyttelse af privatlivets fred, som skal inddrages.

Detaljerede oplysninger om hver enkelt navngivne gymnasieelevs skemaer og skemaændringer, holdlister med navngivne kammerater og studierapporter ligger pivåbne på gymnasieplatformen Lectio. Det skrev Berlingske i den forløbne uge, selv om det faktisk er en gammel historie, som DataEthics også de sidste måneder har haft særlig fokus på. På Lectio kan man også se, om elever har brug for ekstra tid til eksamen eller ekstra undervisning. Oplysninger, der betyder, at den pågældende elev har et særligt fysisk eller psykisk behov eller et handicap.

Både elever og gymnasielærere har for længst klaget et par gange til Datatilsynet. I 2009-10 behandlede Datatilsynet en klage og vurderede, at der ikke var tale om brud på persondataloven, da det var det enkelte gymnasiums ansvar at vurdere, om det var rimeligt at lægge oplysninger, som kunne vise lærernes sygefravær og lignende, ud på Lectio. På trods af at det var nogle meget afgrænsede spørgsmål, som Datatilsynet tog stilling til, virker det som, at Lectio har smidt alle hæmninger, for nu er de »godkendt af Datatilsynet.«

Berlingske har også beskrevet, hvordan digitale læringsplatforme målrettet folkeskolerne som Meebook og MinUddannelse i øjeblikket ruller ud i landets kommuner. Forældreintra er en hel historie for sig; der er næppe mange, der har gjort sig klart, at Forældreintra drives af en international IT-virksomhed.

Alle kommuner skal være koblet på inden udgangen af i år. Men alt dette sker uden en juridisk og etisk debat. Bevares, der indgås formentlig databehandleraftaler, der skal styre udviklerne af de digitale platforme, selvom et hurtigt kig på Datatilsynets hjemmeside afslører, at det ellers ikke er denne forpligtelse, som kommunerne generelt har fokus på.

Disse aftaler skal dog også afspejle den dataetik, vi ønsker skal gælde, men som ikke er identificeret. Hvad er vores persondataretlige ambitionsniveau, når det gælder skolebørns data?

For gennem de digitale læringsplatforme kortlægges så indgribende oplysninger om vores børns skoleadfærd, læring, trivsel, udvikling osv., at man kun kan blive paranoid ved tanken om, hvad de oplysninger kan bruges til i de forkerte hænder.

I de rigtige hænder kan de digitale spor, børnene efterlader i løbet af en skoledag, bruges til at foretage meget omfattende analyser af, hvordan børn lærer. Det er viden om, hvor ofte børn logger på platformene, hvilke fejl de typisk begår, sammenhængen mellem deres sociale netværk, deres faglige og sociale udvikling, og hvordan det påvirker deres læring; værdifulde data, der kan bruges til at understøtte og hjælpe både de dygtige elever og de svageste elevers indlæring.

Pas på eleverne

Men det er afgørende, at vi også sikrer, at de samme data ikke kan bruges integritetskrænkende over for den enkelte skoleelev. At de ikke måske år senere må kunne bruges til at komme helt tæt på den enkelte skoleelevs unikke personlige profil, så barnet i voksenlivet udover de faglige resultater, bliver vurderet på eventuelle sociale eller trivselsrelaterede udfordringer fra skoletiden. At man som barn blev mobbet, betyder måske, at man ikke kan klare et toplederjob. Børn skal have lov at være børn.

»Vi står med en dataetisk udfordring. Inden vi går i gang med at indsamle alle de her data, bør vi diskutere, hvordan og til hvad vi vil bruge oplysningerne. Vi bliver nødt til at have en diskussion, ikke kun af datasikkerhed, men en filosofisk og etisk diskussion om, hvad skole egentlig er. Det er vigtigt, at vi træder et skridt tilbage og diskuterer, hvad mennesker er, hvad vi skal lære, og om der fortsat skal være plads til, at vi kan gøre noget andet end det, man forventer,« sagde Jeppe Bundsgaard til Berlingske Business. Han er til daglig professor MSO ved Institut for Uddannelse og Pædagogik, DPU, under Aarhus Universitet.

Vi kan kun være enige.

Her er 15 punkter, der bør overvejes i forbindelse med brug af børns data.

Der er ingen diskussion om, at når det kommer til de faglige bedømmelser, har disse data i det samfund, vi har, fortsat en afgørende betydning for barnets uddannelses- og jobmæssige muligheder i fremtiden.

Men oplysninger om, hvor tit barnet har været logget på digitale læringsplatforme, hvordan barnet har bevæget sig rundt på de digitale læringsplatforme, hvor hurtigt barnet har lært at løse opgaverne inden for trigonometri, hvilke venner, barnet har haft eller hvordan barnet har fastholdt eller udviklet relationen til et bestemt andet barn er alle data, som bør være genstand for en dataetisk diskussion, før vi blot lagrer og registrerer alle disse data.

Vi skal som samfund hurtigst muligt tage stilling til, om den ekstremt udviklede adfærdsbaserede analytiske profilering, som allerede foregår om os som forbrugere, direkte skal anvendes på vores børns adfærd i skoleregi.

Derfor skal vi have iværksat en debat om, hvilken viden vi som samfund ønsker om børn og unge fremadrettet – herunder hvilke forudsigelser, man ønsker. Vi må ikke lade vores passive accept af udviklingen i forbrugeranalyserende profileringsværktøjer være styrende for adgangen til vores skolebørns data uden en grundig debat herom.

Persondataforordningen, der gælder fra 25. maj 2018, giver mulighed for, at man inden for enkeltsektorer/brancher vedtager særlige adfærdskodeks eller certificeringer. Undervisningsområdet vil være et oplagt område, hvor der vedtages sådanne særlige initiativer, der supplerer persondataforordningen.

15 dataetiske nødvendigheder

1. Data om skolebørn må kun registreres, hvor der er lovgivningsmæssigt grundlag for det.

2. Data om skolebørn må kun anvendes til formål, som ligger inden for den lovgivningsmæssige ramme, som er vedtaget og kun i uddannelsesmæssige sammenhænge.

3. Data om skolebørn skal behandles på en gennemsigtig måde. Det betyder, at alle skoler skal have en klar og letforståelig persondatapolitik, så forældrene kan finde ud af, hvilke data, skolen behandler, og hvad der sker med disse data.

4. Der skal være interne retningslinjer for brug af data, herunder kontrol med efterlevelsen.

5. Der må kun registreres data om skolebørn i det omfang, det er relevante data, og kun hvad der er nødvendigt i forhold til formålet, se pkt. 2.

6. Bortset fra de data, der bruges til at danne et eksamensbevis, må data om skolebørn kun opbevares identificerbart, så længe det er nødvendigt ud fra det lovgivningsbaserede formål, til hvilket oplysningerne er indsamlet, se pkt. 2, og skal senest slettes når barnet forlader skolen.

7. Data om skolebørn skal være rigtige og ajourført.

8. Alle lærere, pædagoger, administrativt personale mv. skal uddannes i persondatabeskyttelse og god digital adfærd, og skal opdateres mindst én gang om året.

9. Sikring af samtykke. Skolen ejer ikke data om skolebørn eller forældre. Derfor skal skolen i mange sammenhænge have samtykke til at behandle en lang række af de data, som behandles i dag. Samtykket skal være letforståeligt i et klart sprog – og i hvert fald hvis barnet er under 13 år, skal forældrene give samtykke.

10. Data om skolebørn skal beskyttes efter højeste tekniske og organisatoriske standarder både under opbevaring og under transmission.

11. Data om skolebørn skal opbevares i Danmark eller i hvert fald EU, hvor vi har lovgivning om god databeskyttelse, sammenlignet med fx USA, Indien eller en række andre lande uden for EU.

12. Data skal opbevares i nærmere afgrænsede geografiske positioner og ikke i uafgrænsede cloudløsninger,

13. Stram cookiepolitik. Anvendelsen af cookies på digitale platforme skal være yderst begrænset og kun til saglige og legitime formål. Som udgangspunkt skal der være forbud mod 3. part cookies.

14. Det skal være forbudt at profilere børn under 16 år.

15. Principper for håndtering af data om skolebørn skal være forankret hos og besluttes af et centralt ledelsesorgan i den enkelte kommune, sammensat af skoleledere, fagpersoner (inklusiv viden om IT og jura) samt skolebestyrelser.

Catrine Søndergaard Byrne er advokat med speciale i persondataret. Pernille Tranberg er dataetisk rådgiver i DataEthics Consult. Begge er bestyrelsesmedlemmer i den europæiske tænkehandletank DataEthics.