Leiðbeiningar um fjarkennslu í skólum

24.3.2020

Í þeim sérstöku aðstæðum sem ríkja nú í samfélaginu er mikilvægt að geta notað þær tæknilausnir sem til eru til að fást við breytt starfs- og námsumhverfi. Með lokun menntastofnana eykst þörfin fyrir að nýta stafrænar lausnir, bæði til heimanáms og samskipta skóla og heimilis.

Persónuvernd hefur tekið saman nokkur atriði sem hafa ber í huga þegar kemur að nýtingu tæknilausna í fjarkennslu.

1. Skólastjórnendur eru hvattir til að veita kennurum, foreldrum og nemendum greinargóðar upplýsingar um þau tæki og tæknilausnir sem notast á við.

2. Æskilegt kann að vera að þeir sem fara með málefni skólasamfélagsins innan sveitarfélaganna hugi að því að samræma notkun tæknilausna á milli skóla, eins og við getur átt. Ef skólastjórnendur eru ekki vissir um að notkun tiltekinna tæknilausna sé heimil og í samræmi við persónuverndarlög, meðal annars að því er varðar öryggi upplýsinga, ættu þeir að hafa samband við persónuverndarfulltrúa sveitarfélagsins. Þá getur þurft að gera áhættumat áður en ný tækni er tekin í notkun og innleiða viðeigandi öryggisráðstafanir.

3. Mikilvægt er að kennarar kanni afstöðu skólastjórnenda til tiltekinna tæknilausna áður en þær eru teknar í notkun.

4. Vakin er sérstök athygli á því að ávallt þarf að gæta fyllstu varkárni við vinnslu viðkvæmra persónuupplýsinga, ekki síst þegar nýttar eru stafrænar lausnir. Þannig mælist Persónuvernd til þess að upplýsingakerfi skólanna séu fyrst og fremst notuð fyrir vinnslu slíkra upplýsinga.

5. Hvað varðar upptökur af kennslustundum og hvernig skuli bera sig að við þá lausn telur Persónuvernd að líta verði til þess lögbundna hlutverks skólanna að veita nemendum kennslu. Ekki verður séð að skólum sé fært að framfylgja því hlutverki sínu við núverandi aðstæður án þess að nýta tæknilausnir til fjarkennslu. Minnt er á nauðsyn þess að veita öllum hlutaðeigandi aðilum, svo sem kennurum, nemendum og forráðamönnum þeirra, viðeigandi fræðslu, m.a. um að tiltekin kennslustund eða viðburður séu tekin upp og upptakan varðveitt, eftir atvikum. Ef varðveita á upptökur þarf að huga að því hvort þær falli undir reglur um rafræna vöktun, en rafræn vöktun er vöktun sem er viðvarandi eða endurtekin reglulega. Loks þarf að gæta að öryggi upplýsinganna í hvívetna, t.a.m. að þær séu ekki gerðar aðgengilegar óviðkomandi.

6. Vakin er athygli á að í tilmælum Persónuverndar til skólasamfélagsins um að nota ekki samfélagsmiðla þegar kemur að vinnslu persónuupplýsinga um börn er sérstaklega tekið fram að upplýsingar, til dæmis um viðburði á vegum skóla og tilkynningar þar um, teljast ekki til persónuupplýsinga. Er því ekkert því til fyrirstöðu að nýta slíka miðla til að dreifa þess háttar upplýsingum. Að sama skapi verður talið að skólasamfélaginu sé heimilt að nýta sér þann vettvang til samskipta, til dæmis til tilkynninga um námsfyrirkomulag, kennsluáætlanir, kennslu á notkun á tækjabúnaði og annað slíkt, að því gefnu að ekki sé um að ræða vinnslu persónuupplýsinga um nemendur. Hins vegar er æskilegt að miðlun á almennum persónuupplýsingum um börn frá skólunum til foreldra eða nemendanna sjálfra fari fram í gegnum öruggan hugbúnað á vegum skólans eða í tölvupósti, t.d. miðlun á upplýsingum um hópaskiptingu o.fl. Sé þörf á að miðla viðkvæmum persónuupplýsingum rafrænt þarf sérstaklega að gæta að öryggi þeirra, þ.e. að þær verði ekki aðgengilegar óviðkomandi. Í því sambandi er áréttað að almennt er skólum óheimiltað senda viðkvæmar persónuupplýsingar um börn í ódulkóðuðum tölvupósti. Þá er skólum almennt óheimilt að miðla viðkvæmum persónuupplýsingum um börn í gegnum samfélagsmiðla.

7. Öryggi persónuupplýsinga í fjarvinnu (fyrir starfsmenn skólanna)

Persónuvernd hefur birt leiðbeiningar vegna vinnslu persónuupplýsinga í fjarvinnu. Þar segir eftirfarandi um öryggi persónuupplýsinga við þær aðstæður:

Ákvörðun um fjarvinnu starfsmanna, þ.e. með veitingu aðgangs að kerfum utan innra nets vinnustaðar sem innihalda persónuupplýsingar, þarf allajafna að byggjast á áhættumati, sem tekur mið af eðli þeirra upplýsinga sem starfsmenn vinna með. Því viðkvæmari eða umfangsmeiri sem upplýsingarnar eru, því strangari kröfur þarf að gera til þeirra ráðstafana sem grípa þarf til í því skyni að tryggja öryggi innri neta í viðkomandi starfsemi.

Algengasta öryggisráðstöfunin nú er að setja upp svokallaðar VPN-tengingar á vinnutölvur starfsmanna. Með vinnutölvum starfsmanna er átt við tölvur sem vinnuveitandi útvegar og eru ekki notaðar í einkaerindum. Í VPN-tengingu felst að samskipti starfsmanns við innra net eru dulkóðuð yfir Netið. Almennt hefur sú ráðstöfun þótt nægileg til að tryggja öryggi þeirra upplýsinga sem unnið er með á viðunandi hátt en Persónuvernd ítrekar að það hvort slík ráðstöfun sé nægileg þarf að byggjast á áhættumati. Eftir sem áður þarf jafnframt að tryggja að lykilorð séu sterk, vera með virkar aðgangsstýringar og brýna fyrir starfsmanni almenna öryggisvitund, s.s. að vista skjöl í skjalavistunarkerfum eða öðrum öruggum stöðum og að eyða skjölum sem hlaðið hefur verið niður á drif vinnutölvunnar þegar búið er að vinna í þeim. Í því sambandi er bent á að nauðsynlegt getur verið að setja verklagsreglur um fjarvinnu starfsmanna.

Almennt má ætla að ríkar ástæður, svo sem með tilliti til almannaöryggis og almannahagsmuna, þurfi að koma til svo starfsmenn geti farið með viðkvæm pappírsgögn út af starfsstöð vinnuveitanda. Í þeim tilvikum þarf einnig að framkvæma áhættumat og grípa til viðeigandi öryggisráðstafana, svo sem með setningu verklagsreglna um afhendingu/skil gagna til starfsmanns, hvernig öryggi gagna er tryggt á heimili o.s.frv.

Að öðru leyti er gott að hafa eftirfarandi í huga við fjarvinnu starfsmanna:

Símar og spjaldtölvur og önnur minni tæki:

· Gæta varúðar um að smærri tæki, svo sem USB-lyklar, símar, spjaldtölvur og tölvur, týnist ekki eða lendi á röngum stað

· Allur hugbúnaður sé búinn nýjustu uppfærslu

· Tæki séu notuð á öruggu svæði, t.d. þar sem ekki eru líkur á að einhver annar sjái hvað þú ert að gera í tölvunni, sérstaklega ef unnið er með viðkvæmar upplýsingar

· Notaðu virkar ráðstafanir til að stýra aðgangi, svo sem tveggja þátta auðkenningu eða sterkt lykilorð. Í sumum tilvikum þarf að nota dulkóðun til að stýra aðgangi og draga úr áhættu sé búnaði stolið eða hann týnist.

· Ef búnaði er stolið eða hann týnist þarf að gera ráðstafanir umsvifalaust til að eyða gögnum af honum.

Tölvupóstur og innri samskipti:

· Fylgdu verklagsreglum vinnustaðarins við notkun á tölvupósti.

· Notaðu vinnutölvupóstinn en ekki einkatölvupóst fyrir samskipti vegna vinnu þegar senda þarf persónuupplýsingar. Ef þú þarft nauðsynlega að nota einkapóstinn til að senda mikilvægar upplýsingar þá getur þurft að dulkóða skjöl með sterku lykilorði, ef þau innihalda persónuupplýsingar.

· Gakktu úr skugga um að þú sért að senda á réttan viðtakanda og rétt viðhengi fylgi. Jafnvel getur verið nauðsynlegt að opna viðhengið úr póstinum til að ganga úr skugga um að rétt viðhengi fylgi.

· Forðastu að eiga samskipti á samfélagsmiðlum við samstarfsmenn um viðkvæm mál. Hér þarf að fylgja verklagsreglum vinnustaðarins í hvívetna.

Skýjaþjónusta og netkerfi:

· Þegar starfsmaður vinnur fjarvinnu skal leitast við að hann vinni eingöngu á innra neti viðkomandi starfsemi og að öllum skipulagslegum ráðstöfunum sé fylgt hvað varðar þær þjónustur sem vinnustaðurinn býður upp á.