De siste årene har mye av diskusjonen rundt digitale læringsverktøy i skolen handlet om personvern og informasjonssikkerhet. Etter flere tilsyn fra Datatilsynet har mange kommuner styrket arbeidet med risikovurderinger, behandlingsgrunnlag og kontroll over hvordan elevdata behandles.
Men i dag stopper ikke ansvaret der.
Når skoler tar i bruk digitale læringsverktøy, må de også forholde seg til krav knyttet til kunstig intelligens (KI), universell utforming. Flere regelverk gjelder samtidig og ansvaret ligger hos skoleeier.
For mange betyr dette at det ikke lenger holder å spørre om et verktøy er GDPR-vennlig. Man må også vurdere hvordan løsningen påvirker elever, hvilke risikoer den innebærer, og hvilke krav som gjelder på tvers av flere regelverk.
Kunstig intelligens: Nye krav gjennom AI Act
EU har vedtatt KI-forordningen (Regulation (EU) 2024/1689), verdens første omfattende regelverk for kunstig intelligens. Forordningen innfører et risikobasert rammeverk for bruk av KI og vil også gjelde i Norge gjennom EØS.
Flere typer løsninger brukt i skolen kan omfattes av regelverket, spesielt systemer som:
- analyserer elevprestasjoner
- genererer læringsinnhold
- gir automatiserte vurderinger eller anbefalinger
I henhold til KI-forordningen kan slike systemer klassifiseres som høyrisiko KI-systemer (Annex III – Education), noe som stiller krav til blant annet:
- dokumentasjon og risikovurdering
- transparens og forklarbarhet
- kontroll med hvordan systemene påvirker brukere
For skoleeiere betyr dette at man må ha oversikt over hvilke verktøy som faktisk bruker kunstig intelligens og hvordan disse påvirker elever og læringsprosesser.
Les mer om hva KI-forordningen innebærer i praksis: Sjekkliste for norske kommuner og skoleeiere i 2026.
Universell utforming er et lovkrav
Digitale løsninger i skolen må også oppfylle krav til universell utforming av IKT.
I Norge er dette regulert gjennom Likestillings- og diskrimineringsloven §18 og forskrift om universell utforming av IKT-løsninger. Kravene bygger på standarden WCAG 2.1 (Web Content Accessibility Guidelines), som definerer hvordan digitale løsninger skal utformes for å være tilgjengelige for alle.
Kravene innebærer blant annet at digitale læringsverktøy skal:
- kunne brukes med skjermlesere
- ha god kontrast og lesbarhet
- kunne navigeres uten mus
- presentere innhold på en tilgjengelig måte
Formålet er å sikre at alle elever, uavhengig av funksjonsevne, har lik tilgang til undervisning.
Tilsyn med regelverket føres av Digitaliseringsdirektoratet (UU-tilsynet). Ved brudd på kravene kan virksomheter få pålegg om retting, og i alvorlige tilfeller ilegges tvangsmulkt (dagsbøter) frem til forholdene er rettet.
Hvis et læringsverktøy ikke oppfyller kravene, kan det i praksis føre til at enkelte elever ikke får lik tilgang til undervisningen og samtidig utsette skoleeier for regelverksbrudd.
Personvern og sikkerhet er fortsatt grunnmuren
Selv om nye regelverk kommer til, er personvern og informasjonssikkerhet fortsatt helt sentralt.
Personvernforordningen (GDPR) stiller klare krav til hvordan personopplysninger behandles i skolen. Skoleeiere må blant annet sikre:
- gyldig behandlingsgrunnlag
- risikovurderinger av digitale løsninger
- databehandleravtaler
- oversikt over hvilke systemer som brukes
Samtidig stilles det krav til informasjonssikkerhet, som handler om å beskytte data mot uautorisert tilgang, endring og tap.
I praksis innebærer dette blant annet:
- tilgangsstyring og autentisering (hvem har tilgang til hva)
- kryptering av data under lagring og overføring
- logging og overvåkning av aktivitet
- rutiner for håndtering av sikkerhetsbrudd
Krav til informasjonssikkerhet følger både av GDPR og av nasjonale føringer, og er en forutsetning for å kunne beskytte elevenes personopplysninger i praksis.
Datatilsynets tilsyn viser at mange kommuner fortsatt mangler tilstrekkelig oversikt over hvilke digitale verktøy som er i bruk, og hvordan elevdata behandles og sikres i praksis.
Flere regelverk – ett ansvar
Når man ser disse kravene samlet, blir det tydelig at skolens digitale ansvar har blitt mer omfattende. Skoleeiere må i dag ha kontroll på flere områder samtidig: personvern (GDPR), informasjonssikkerhet, bruk av kunstig intelligens (AI Act), krav til universell utforming og ikke minst helhetlig risikostyring.
I mange kommuner håndteres disse områdene fortsatt i separate prosesser. Personvern vurderes et sted, sikkerhet et annet, og krav til tilgjengelighet eller kunstig intelligens blir ofte først vurdert når konkrete spørsmål oppstår. Samtidig mangler det ofte en strukturert tilnærming til risikostyring på tvers av disse områdene.
Resultatet kan bli at oversikten blir fragmentert, og det blir krevende å få et helhetlig bilde av hvilke krav og risikoer som faktisk gjelder for de digitale verktøyene som brukes i skolen.
Behov for bedre oversikt og risikostyring
For å sikre lovlig og trygg bruk av digitale læringsverktøy må skoleeiere ha oversikt over:
- hvilke løsninger som brukes
- hvilke data som behandles og hvordan
- hvilke risikoer som finnes
- hvilke regelverk som gjelder
Dette handler i praksis om risikostyring: å identifisere, vurdere og håndtere risiko på tvers av personvern, sikkerhet, kunstig intelligens og tilgjengelighet.
Når disse områdene vurderes samlet som en del av én helhetlig prosess, blir det enklere å sikre at digitale løsninger faktisk oppfyller kravene som gjelder for skolesektoren.
Edudata.io er utviklet for å støtte denne typen helhetlig risikostyring. Plattformen gir skoleeiere oversikt over digitale læringsverktøy og samler vurderinger på tvers av flere risikoområder – inkludert personvern, informasjonssikkerhet, kunstig intelligens og tilgjengelighet.
Gjennom en strukturert tilnærming til risikovurdering og dokumentasjon gjør Edudata det mulig å jobbe systematisk med etterlevelse av regelverk, samtidig som man får bedre kontroll over hvilke verktøy som brukes og hvilke risikoer de innebærer.
Ønsker dere bedre oversikt og kontroll? Edudata tilbyr en gratis versjon som gir dere en enkel start på arbeidet med risikostyring og etterlevelse.
WRITTEN BY
Edudata.io Norway