Datatilsynet varsler nye tilsyn med kommuner i 2026
Hva betyr Datatilsynets nye tilsyn med kommuner i 2026?
Datatilsynets nye tilsyn i 2026 krever at norske kommuner har fullstendig kontroll over personvernet ved bruk av digitale læringsverktøy i skolen. Fem utvalgte kommuner må dokumentere risikovurderinger (DPIA), databehandleravtaler og internkontrollrutiner innen en streng frist på to uker, noe som setter krav til systematisk og løpende dokumentasjonsarbeid for alle skoleeiere.
Datatilsynet fortsetter arbeidet med å sikre barn og unges personvern i grunnskolen. Etter den omfattende gjennomgangen av skolesektoren i 2025, vil det nå gjennomføres fem nye stedlige tilsyn der kommunenes etterlevelse av personvernregelverket skal kontrolleres. Kommunene som er valgt ut for tilsyn våren 2026 er Hustadvika, Bardu, Målselv, Stavanger og Sola. Dette fremgår av Datatilsynets egen kunngjøring om de kommende tilsynene.
Tilsynene er en naturlig videreføring av arbeidet som allerede er gjort på området. De viser tydelig at forventningene til struktur, dokumentasjon og systematisk styring nå er høyere enn før. Samtidig er kravene Datatilsynet kontrollerer ikke nye. De representerer minimumsstandarder som allerede følger av personvernregelverket og gjelder for alle skoleeiere. For kommuner og skoleeiere handler dette først og fremst om å kunne vise hvordan arbeidet er organisert og hvordan vurderinger faktisk gjennomføres i praksis.
Samtidig er budskapet relevant for alle kommuner. Selv om fem er valgt ut nå, kan din kommune være den neste. Når varselet kommer, skal omfattende dokumentasjon leveres innen to uker. Dette er dokumentasjon kommunen etter loven allerede skal ha på plass som en del av sin løpende internkontroll. For kommuner som ikke allerede har samlet og strukturert arbeidet, kan dette bety et betydelig ressursløft på kort tid, i praksis hundrevis, i noen tilfeller tusenvis av arbeidstimer for å samle, kvalitetssikre og systematisere dokumentasjon.
Hva vil tilsynet omfatte?
Datatilsynet vil blant annet se på:
- Oversikt over digitale læringsverktøy i bruk
- Gjennomføring av risikovurderinger og DPIA (personvernkonsekvensvurderinger)
- Vurdering av leverandørers bruk av elevdata
- Informasjon gitt til elever og foresatte
- Roller og ansvar i styringen av området
Erfaringene fra gjennomgangen av skolesektoren i 2025 danner grunnlaget for disse prioriteringene. Gjennomgangen viste blant annet at det i flere tilfeller manglet oversikt over hvilke digitale læringsverktøy som faktisk var i bruk og hvordan elevdata ble behandlet.
Funnene viste også at det kan være krevende å følge opp leverandører over tid. Mange tjenester er skybaserte, bruker underleverandører eller lagrer data i ulike jurisdiksjoner. Selv når databehandleravtaler er inngått, krever det løpende vurdering å sikre at lagring, viderebruk og tekniske løsninger fortsatt er i tråd med kommunens ansvar etter personvernregelverket.
Når flere leverandører er involvert og tjenestene utvikles kontinuerlig, for eksempel gjennom nye funksjoner eller økt bruk av kunstig intelligens, øker kompleksiteten. Dette stiller krav til strukturert oppfølging, ikke bare ved anskaffelse, men gjennom hele bruksperioden.
Dokumentasjon må sendes innen to uker
Før selve tilsynet må kommunen sende inn dokumentasjon via eFormidling. Dette inkluderer blant annet:
- Rutiner for anskaffelse av digitale læringsverktøy
- Beskrivelse av prosesser for risikovurdering og DPIA
- Oversikt over alle verktøy i bruk
- Vurderinger av tredjeparts databruk
- Dokumentasjon på informasjon til elever og foresatte
Når fristen er to uker, blir det tydelig hvor viktig det er at oversikt og vurderinger allerede er strukturert og tilgjengelige, ikke samlet i etterkant. Evnen til å levere innen fristen er ikke målet i seg selv, det er et resultat av at elevenes rettigheter ivaretas gjennom god og dokumentert styring.
Påkrevde roller under det stedlige tilsynet
| Rolle | Deltakelse og funksjon |
|---|---|
| Kommunedirektør | Overordnet ansvarlig for kommunens etterlevelse. |
| IKT-leder for skole | Faglig ansvarlig for systemer og teknisk infrastruktur. |
| Personvernombud | Rådgivende organ og kontrollør av personvernforhold. |
| To lærere og én IKT-ressurs | Deltar i siste del av møtet for å belyse praktisk klasseromsbruk. |
I forkant av det fysiske tilsynet holdes det et digitalt informasjonsmøte for de berørte kommunene.
Helhetlig styring: en forutsetning for å møte tilsynet
Tilsynene understreker behovet for helhetlig styring av digitale læringsverktøy. Det handler ikke bare om teknisk tilgang eller Feide-pålogging, men om dokumenterte vurderinger av personvern, databruk og risiko, samlet og tilgjengelig når det etterspørres.
Basert på Edudata.io sine mange års arbeid og analyser innen utdanningsfeltet, ser vi at det i mange kommuner kan være mellom 200 og 1000 ulike digitale læringsverktøy i bruk i grunnskolen alene. Dette gir store muligheter for læring og tilpasset undervisning, men også en betydelig styringsutfordring.
Når et så høyt antall systemer og leverandører er involvert, blir det krevende å holde løpende oversikt over databehandling, lagring, underleverandører og endringer i tjenestene. Det er nettopp her strukturert internkontroll blir avgjørende. God internkontroll handler ikke om å unngå tilsyn, men om å sikre forutsigbar og ansvarlig styring i det daglige.
Struktur som støtte i arbeidet
Edudata.io er utviklet for å støtte kommuner i arbeidet med helhetlig styring av digitale læringsverktøy som en del av den løpende internkontrollen. Plattformen gjør det mulig å håndtere risiko knyttet til personvern, kunstig intelligens, sikkerhet og universell utforming samlet på ett sted.
I praksis betyr dette at kommunen kan bygge den strukturen Datatilsynet forventer:
- Samlet og oppdatert oversikt over alle digitale læringsverktøy i aktiv bruk.
- Strukturert og målrettet arbeid med risikovurderinger og DPIA.
- Kvalitetssikret dokumentasjon som er umiddelbart tilgjengelig ved tilsyn.
- Klare og forutsigbare roller i hele beslutningsprosessen.
Når dokumentasjon må leveres innen to uker, blir det tydelig hvor avgjørende det er at denne strukturen allerede er etablert.
Dette får kommuner gjennom Edudata-plattformen:
- Tilgang til et omfattende bibliotek med over 5000 ferdig kartlagte digitale læringsverktøy.
- Over 50 000 risikovurderingsanbefalinger utarbeidet av CIPP/E-sertifiserte juridiske rådgivere.
- Løpende dokumentasjon av databehandling tilgjengelig 24/7 for elever og foresatte via en egen personvernportal.
- Automatisk generert behandlingsprotokoll (RoPA) basert på registrerte verktøy.
- Automatisert varsling når en verktøyvurdering utløser krav om DPIA eller FRIA.
- En strukturert risikoprosess tilpasset nordisk lovverk og offentlige beslutningsprosesser.
Det betyr at kommunen slipper å iverksette et krevende skippertak dersom et uventet tilsyn varsles. Dokumentasjonen ligger allerede klar og strukturert. Forskjellen ligger i når arbeidet gjøres: enten gradvis og kontrollert i forkant, eller under intenst tidspress med unødig høyt ressursforbruk.
Tilsynene i 2026 viser at forventningene er høye, og din kommune kan stå for tur neste gang. Å starte det systematiske arbeidet i dag handler om å ivareta elevenes rettigheter på en trygg måte. Gratisversjonen av Edudata kan tas i bruk umiddelbart for å sikre at dere er forberedt.
WRITTEN BY
Edudata.io Norway