De siste årene har mye av diskusjonen rundt digitale læringsverktøy i skolen handlet om personvern og informasjonssikkerhet. Etter flere tilsyn fra Datatilsynet har mange kommuner styrket arbeidet med risikovurderinger, behandlingsgrunnlag og kontroll over hvordan elevdata behandles.
Men i dag stopper ikke ansvaret der.
Når skoler tar i bruk digitale læringsverktøy, må de også forholde seg til krav knyttet til kunstig intelligens (KI), universell utforming. Flere regelverk gjelder samtidig og ansvaret ligger hos skoleeier.
For mange betyr dette at det ikke lenger holder å spørre om et verktøy er GDPR-vennlig. Man må også vurdere hvordan løsningen påvirker elever, hvilke risikoer den innebærer, og hvilke krav som gjelder på tvers av flere regelverk.
EU har vedtatt KI-forordningen (Regulation (EU) 2024/1689), verdens første omfattende regelverk for kunstig intelligens. Forordningen innfører et risikobasert rammeverk for bruk av KI og vil også gjelde i Norge gjennom EØS.
Flere typer løsninger brukt i skolen kan omfattes av regelverket, spesielt systemer som:
I henhold til KI-forordningen kan slike systemer klassifiseres som høyrisiko KI-systemer (Annex III – Education), noe som stiller krav til blant annet:
For skoleeiere betyr dette at man må ha oversikt over hvilke verktøy som faktisk bruker kunstig intelligens og hvordan disse påvirker elever og læringsprosesser.
Les mer om hva KI-forordningen innebærer i praksis: Sjekkliste for norske kommuner og skoleeiere i 2026.
Digitale løsninger i skolen må også oppfylle krav til universell utforming av IKT.
I Norge er dette regulert gjennom Likestillings- og diskrimineringsloven §18 og forskrift om universell utforming av IKT-løsninger. Kravene bygger på standarden WCAG 2.1 (Web Content Accessibility Guidelines), som definerer hvordan digitale løsninger skal utformes for å være tilgjengelige for alle.
Kravene innebærer blant annet at digitale læringsverktøy skal:
Formålet er å sikre at alle elever, uavhengig av funksjonsevne, har lik tilgang til undervisning.
Tilsyn med regelverket føres av Digitaliseringsdirektoratet (UU-tilsynet). Ved brudd på kravene kan virksomheter få pålegg om retting, og i alvorlige tilfeller ilegges tvangsmulkt (dagsbøter) frem til forholdene er rettet.
Hvis et læringsverktøy ikke oppfyller kravene, kan det i praksis føre til at enkelte elever ikke får lik tilgang til undervisningen og samtidig utsette skoleeier for regelverksbrudd.
Selv om nye regelverk kommer til, er personvern og informasjonssikkerhet fortsatt helt sentralt.
Personvernforordningen (GDPR) stiller klare krav til hvordan personopplysninger behandles i skolen. Skoleeiere må blant annet sikre:
Samtidig stilles det krav til informasjonssikkerhet, som handler om å beskytte data mot uautorisert tilgang, endring og tap.
I praksis innebærer dette blant annet:
Krav til informasjonssikkerhet følger både av GDPR og av nasjonale føringer, og er en forutsetning for å kunne beskytte elevenes personopplysninger i praksis.
Datatilsynets tilsyn viser at mange kommuner fortsatt mangler tilstrekkelig oversikt over hvilke digitale verktøy som er i bruk, og hvordan elevdata behandles og sikres i praksis.
Når man ser disse kravene samlet, blir det tydelig at skolens digitale ansvar har blitt mer omfattende. Skoleeiere må i dag ha kontroll på flere områder samtidig: personvern (GDPR), informasjonssikkerhet, bruk av kunstig intelligens (AI Act), krav til universell utforming og ikke minst helhetlig risikostyring.
I mange kommuner håndteres disse områdene fortsatt i separate prosesser. Personvern vurderes et sted, sikkerhet et annet, og krav til tilgjengelighet eller kunstig intelligens blir ofte først vurdert når konkrete spørsmål oppstår. Samtidig mangler det ofte en strukturert tilnærming til risikostyring på tvers av disse områdene.
Resultatet kan bli at oversikten blir fragmentert, og det blir krevende å få et helhetlig bilde av hvilke krav og risikoer som faktisk gjelder for de digitale verktøyene som brukes i skolen.
For å sikre lovlig og trygg bruk av digitale læringsverktøy må skoleeiere ha oversikt over:
Dette handler i praksis om risikostyring: å identifisere, vurdere og håndtere risiko på tvers av personvern, sikkerhet, kunstig intelligens og tilgjengelighet.
Når disse områdene vurderes samlet som en del av én helhetlig prosess, blir det enklere å sikre at digitale løsninger faktisk oppfyller kravene som gjelder for skolesektoren.
Edudata.io er utviklet for å støtte denne typen helhetlig risikostyring. Plattformen gir skoleeiere oversikt over digitale læringsverktøy og samler vurderinger på tvers av flere risikoområder – inkludert personvern, informasjonssikkerhet, kunstig intelligens og tilgjengelighet.
Gjennom en strukturert tilnærming til risikovurdering og dokumentasjon gjør Edudata det mulig å jobbe systematisk med etterlevelse av regelverk, samtidig som man får bedre kontroll over hvilke verktøy som brukes og hvilke risikoer de innebærer.
Ønsker dere bedre oversikt og kontroll? Edudata tilbyr en gratis versjon som gir dere en enkel start på arbeidet med risikostyring og etterlevelse.