Hva betyr det for arbeidet med digitale læringsverktøy i skolen?

Datatilsynet fortsetter arbeidet med å sikre barn og unges personvern i grunnskolen. Etter den omfattende gjennomgangen av skolesektoren i 2025, vil det nå gjennomføres fem nye stedlige tilsyn der kommunenes etterlevelse av personvernregelverket skal kontrolleres. Kommunene som er valgt ut for tilsyn våren 2026 er Hustadvika, Bardu, Målselv, Stavanger og Sola. Dette fremgår av Datatilsynets egen kunngjøring om de kommende tilsynene (Datatilsynet, 2026).

Tilsynene er en naturlig videreføring av arbeidet som allerede er gjort på området. De viser tydelig at forventningene til struktur, dokumentasjon og systematisk styring nå er høyere enn før. Samtidig er kravene Datatilsynet kontrollerer ikke nye. De representerer minimumsstandarder som allerede følger av personvernregelverket og gjelder for alle skoleeiere. For kommuner og skoleeiere handler dette først og fremst om å kunne vise hvordan arbeidet er organisert og hvordan vurderinger faktisk gjennomføres i praksis.

Samtidig er budskapet relevant for alle kommuner. Selv om fem er valgt ut nå, kan din kommune være den neste. Når varselet kommer, skal omfattende dokumentasjon leveres innen to uker. Dette er dokumentasjon kommunen etter loven allerede skal ha på plass som en del av sin løpende internkontroll. For kommuner som ikke allerede har samlet og strukturert arbeidet, kan dette bety et betydelig ressursløft på kort tid, i praksis hundrevis, i noen tilfeller tusenvis av arbeidstimer for å samle, kvalitetssikre og systematisere dokumentasjon.

Gratis verktøy: For kommuner som ønsker å forberede seg systematisk på de varslede tilsynene, finnes det en gratis versjon av Edudata som kan tas i bruk umiddelbart for å samle oversikt og strukturere dokumentasjon, steg for steg, før et eventuelt tilsyn varsles.

Hva vil tilsynet omfatte?

Datatilsynet vil blant annet se på:

• Oversikt over digitale læringsverktøy i bruk
  
• Gjennomføring av risikovurderinger og DPIA (personvernkonsekvensvurderinger)
  
• Vurdering av leverandørers bruk av elevdata
  
• Informasjon gitt til elever og foresatte
  
• Roller og ansvar i styringen av området
  
  

Erfaringene fra gjennomgangen av skolesektoren i 2025 danner grunnlaget for disse prioriteringene. Gjennomgangen viste blant annet at det i flere tilfeller manglet oversikt over hvilke digitale læringsverktøy som faktisk var i bruk og hvordan elevdata ble behandlet.

Funnene viste også at det kan være krevende å følge opp leverandører over tid. Mange tjenester er skybaserte, bruker underleverandører eller lagrer data i ulike jurisdiksjoner. Selv når databehandleravtaler er inngått, krever det løpende vurdering å sikre at lagring, viderebruk og tekniske løsninger fortsatt er i tråd med kommunens ansvar etter personvernregelverket.

Når flere leverandører er involvert og tjenestene utvikles kontinuerlig, for eksempel gjennom nye funksjoner eller økt bruk av kunstig intelligens, øker kompleksiteten. Dette stiller krav til strukturert oppfølging, ikke bare ved anskaffelse, men gjennom hele bruksperioden.

Dokumentasjon må sendes innen to uker

Før selve tilsynet må kommunen sende inn dokumentasjon via eFormidling. Dette inkluderer blant annet:

• Rutiner for anskaffelse av digitale læringsverktøy
  
• Beskrivelse av prosesser for risikovurdering og DPIA
  
• Oversikt over alle verktøy i bruk
  
• Vurderinger av tredjeparts databruk
  
• Dokumentasjon på informasjon til elever og foresatte
  
  

Når fristen er to uker, blir det tydelig hvor viktig det er at oversikt og vurderinger allerede er strukturert og tilgjengelige, ikke samlet i etterkant. Evnen til å levere innen fristen er ikke målet i seg selv, det er et resultat av at elevenes rettigheter ivaretas gjennom god og dokumentert styring.

Under selve tilsynet skal følgende roller være til stede:

• Kommunedirektør
  
• IKT-leder for skole
  
• Personvernombud
  
• To lærere og én IKT-ressurs (i siste del av møtet)
  

I forkant holdes det et digitalt informasjonsmøte for berørte kommuner.

Helhetlig styring: en forutsetning for å møte tilsynet

Tilsynene understreker behovet for helhetlig styring av digitale læringsverktøy. Det handler ikke bare om teknisk tilgang eller Feide-pålogging, men om dokumenterte vurderinger av personvern, databruk og risiko, samlet og tilgjengelig når det etterspørres.

Basert på Edudata.io sine mange års arbeid og analyser innen utdanningsfeltet, ser vi at det i mange kommuner kan være mellom 200 og 1000 ulike digitale læringsverktøy i bruk i grunnskolen alene. Dette gir store muligheter for læring og tilpasset undervisning, men også en betydelig styringsutfordring.

Når et så høyt antall systemer og leverandører er involvert, blir det krevende å holde løpende oversikt over databehandling, lagring, underleverandører og endringer i tjenestene. Det er nettopp her strukturert internkontroll blir avgjørende. God internkontroll handler ikke om å unngå tilsyn, men om å sikre forutsigbar og ansvarlig styring i det daglige.

Struktur som støtte i arbeidet

Edudata.io er utviklet for å støtte kommuner i arbeidet med helhetlig styring av digitale læringsverktøy som en del av den løpende internkontrollen. Plattformen gjør det mulig å håndtere risiko knyttet til personvern, kunstig intelligens, sikkerhet og universell utforming samlet på ett sted.

I praksis betyr dette at kommunen kan bygge den strukturen Datatilsynet forventer:

• Samlet og oppdatert oversikt over digitale læringsverktøy i bruk
  
• Strukturert arbeid med risikovurderinger og DPIA
  
• Dokumentasjon tilgjengelig når den etterspørres
  
• Klare roller og ansvar i beslutningsprosessen
  
  

Når dokumentasjon må leveres innen to uker, blir det tydelig hvor avgjørende det er at denne strukturen allerede er etablert.

Gjennom Edudata sin plattform får kommuner blant annet:

• Tilgang til et bibliotek med over 5000 digitale læringsverktøy
  
• 50 000 risikovurderingsanbefalinger utviklet av CIPP/E-sertifiserte juridiske rådgivere
  
• Dokumentasjon av databehandling tilgjengelig 24/7 for elever og foresatte gjennom en egen personvernvisning
  
• Automatisk generert behandlingsprotokoll (RoPA) basert på registrerte og vurderte verktøy
  
• Varsling om når en vurdering utløser behov for DPIA eller FRIA
  
• En risikoprosess basert på nordisk lovverk og offentlig beslutningsprosess

Det betyr at kommunen ikke trenger å starte et omfattende skippertak dersom et tilsyn varsles. Dokumentasjonen er allerede strukturert og tilgjengelig og kan rapporteres raskt. Forskjellen ligger i når arbeidet gjøres. Enten gradvis og kontrollert over tid, eller konsentrert under to ukers tidspress med mobilisering av store interne ressurser.

Tilsynene i 2026 viser at forventningene er tydelige. Din kommune kan være den neste. Å starte nå handler ikke bare om å være forberedt på tilsyn, men om å sikre elevenes rettigheter gjennom god og dokumentert styring. Gratis versjonen av Edudata kan tas i bruk umiddelbart. Det er langt enklere å bygge struktur gradvis enn å samle dokumentasjon under tidspress.