Kommunenes utfordringer med risikostyring i skolen: Et system under press

By Edudata.io Norway In KI, edudata.io, databeskyttelse, informasjonssikkerhet

Digitaliseringen av norsk skole har gitt store muligheter – men også nye og komplekse risikoer. En fersk rapport fra Datatilsynet avdekker at mange kommuner står uten tilstrekkelige verktøy, rutiner eller ressurser for å håndtere disse risikoene på en trygg og systematisk måte (Datatilsynet, 2025). Hvordan havnet vi her, og hva kan gjøres?

Hvordan påvirker det nye risikobildet personvernet i skolen?

Det nye risikobildet utfordrer personvernet fordi skolen tar i bruk hundrevis av digitale verktøy uten tilstrekkelige risikovurderinger (DPIA) eller behandlingsprotokoller (RoPA). Kommuner mangler ofte oversikt og systemer for å håndtere dette ansvaret, noe som overlater vanskelige juridiske vurderinger til lærere og skoleledere uten tilstrekkelige verktøy.

Skoler og barnehager bruker i dag et stort antall digitale tjenester – alt fra digitale læringsplattformer og kommunikasjonsverktøy til KI-baserte læremidler. Med dette følger et ansvar for å sikre at elevenes personopplysninger behandles lovlig, at teknologiene er trygge og at de pedagogiske virkemidlene støtter lovpålagte mål i opplæringen.

Datatilsynets rapport “Funn fra tilsyn med personvernet i skolen” (2025) viser at mange kommuner ikke har tilstrekkelige strukturer eller systemer for å håndtere dette ansvaret. Rapporten peker blant annet på:

  • Manglende DPIA-er (personvernkonsekvensvurderinger), til tross for at flere teknologier innebærer høy risiko (jf. GDPR art. 35).
  • Ufullstendig eller fraværende RoPA-dokumentasjon, altså behandlingsprotokollen som skal gi oversikt over hvilke personopplysninger som behandles og hvorfor (jf. art. 30).
  • Fragmentert ansvar der vurderinger overlates til skoleledere eller lærere – som verken har mandat, tid eller verktøy til å gjøre jobben riktig.

Dette er ikke bare et teoretisk problem: Elever og foresatte får ikke den innsynsretten de har krav på (jf. GDPR art. 13–15), og kommunene klarer i mange tilfeller ikke å etterleve sine rettslige forpliktelser – noe som i verste fall kan medføre avviksmeldinger, bøter eller tapt tillit.

Juridiske krav krever handling

Risikostyring i skolen er ikke frivillig. Flere lovverk – både nasjonale og europeiske – stiller eksplisitte krav:

  • Personopplysningsloven/GDPR: Krever lovlighet, åpenhet, ansvarlighet, DPIA, RoPA og tilgangsrett for elever og foresatte.
  • Opplæringsloven § 13-3e: Slår fast at digitale læremidler skal være trygge og pedagogisk forsvarlige.
  • Sikkerhetsloven og den kommende AI-forordningen (EU): Pålegger risikobasert vurdering, styring og dokumentasjon av teknologibruk, spesielt ved bruk av KI.

Likevel mangler mange kommuner oversikt over hvilke apper og digitale tjenester som faktisk er i bruk – ofte mellom 200 og 1000 ulike verktøy per skole. Mange kommuner kjenner ikke til omfanget, og har ikke systemer for å kartlegge eller følge det opp.

Systemiske svakheter i kommunesektoren

Flere offentlige rapporter viser at norske kommuner erkjenner økende digital risiko – men mangler verktøy, ressurser og struktur for å håndtere dem systematisk. Dette skaper et strukturelt «paradoks»: Kommunene vet de står overfor økt risiko, men mangler kapasitet og systemer til å gjøre noe med det (KS, 2023; SSB, 2023).

Typiske utfordringer inkluderer:

  • Lav kompetanse innen personvern, informasjonssikkerhet og AI – over 50 % av kommunene rapporterer mangel på IKT-kompetanse (SSB, 2023).
  • Manglende samhandling mellom IT, jus og skoleledelse – KS peker på svak tverrfaglig forankring av informasjonssikkerhet (KS, 2023).
  • Store forskjeller i hvordan risiko håndteres mellom kommuner – avhenger av ressurser, størrelse og organisering (SSB, 2023).
  • Mange kommuner mangler riktige verktøy – arbeidet skjer manuelt, er tidkrevende og lite oversiktlig.

I tillegg gjør bruken av gratisapper og ikke-godkjente verktøy (“skygge-IT”) det vanskelig å holde kontroll. I praksis innebærer dette at skoler bruker hundrevis av ulike digitale verktøy som samler inn personopplysninger, uten at de er vurdert, dokumentert eller en gang kjent for kommunen.

Hva står på spill?

Konsekvensene av mangelfull risikohåndtering er mange:

  • Brudd på GDPR kan føre til sanksjoner fra Datatilsynet.
  • Manglende informasjonssikkerhet kan utsette elever for datalekkasjer og ID-tyveri.
  • Tillitstap kan svekke samarbeidet mellom skole, hjem og kommune.
  • Overbelastning av lærere og rektorer kan føre til feilvurderinger og frustrasjon.

Med økende bruk av KI i skolen og strengere krav fra EU og norske myndigheter, er det ikke lenger tilstrekkelig å ta ting etter hvert. Kommunene må ha verktøy og støtte som gjør det mulig å håndtere risiko på en dokumentert, effektiv og lovmessig måte.

Edudata.io – Et spesialutviklet verktøy for risikostyring i skolesektoren

For å møte dette behovet er Edudata.io utviklet – en digital tjeneste for risikohåndtering som allerede brukes av over 100 kommuner i Sverige og Finland, og som nå er fullt tilpasset norske forhold.

Tjenesten tilbyr blant annet:

  • Et samlet verktøy for risikohåndtering innen personvern, informasjonssikkerhet og kunstig intelligens.
  • Over 6000 risikovurderte digitale læringsverktøy, klare for vurdering og bruk.
  • Automatisk generering og vedlikehold av behandlingsprotokoll (RoPA) i henhold til GDPR art. 30.
  • Støtte for gjennomføring og oppfølging av DPIA i samarbeid med nordiske CIPP/E-sertifiserte personvernjurister.
  • Privacy App som gir elever og foresatte innsyn i hvilke apper som er godkjent og hvordan data behandles.

Edudata.io støtter også opprettelsen av tverrfaglige risikogrupper, noe som er avgjørende for god risikostyring i kommunen. Vår plattform sikrer effektiv samhandling på tvers av roller som personvernombud, IT-ledere og skoleadministrasjon.

Tid for handling

Datatilsynets rapport er ikke bare en påminnelse – det er et varsko. Kommunene må ta grep nå for å sikre at barn og unge får en trygg, rettferdig og digitalt forsvarlig skolehverdag.

Edudata.io gir kommunene et klart alternativ: Et systematisk, kostnadseffektivt og faglig forankret verktøy for å møte de faktiske kravene de står overfor.

Bestill uforpliktende demo med Edudata.io her

Referanser

  1. Datatilsynet. (2025). Funn fra tilsyn med personvernet i skolen. Datatilsynet - Rapport 2025
  2. KS. (2023). Digital robusthet i kommunal sektor. KS - Digital robusthet
  3. Statistisk sentralbyrå. (2023). Digitalisering i kommunene. SSB - Digitalisering i kommunene
  4. Nasjonal sikkerhetsmyndighet (NSM). (2021). IKT-risikobildet i offentlig sektor. NSM - IKT-risikobilde (PDF)
  5. Røed, S. (2023). Advarer mot skygge-IT. Kode24. Kode24 artikkel
  6. Lovdata. (2018). Lov om behandling av personopplysninger. Lovdata - Personopplysningsloven
  7. Lovdata. (1998). Lov om grunnskolen og den vidaregåande opplæringa. Lovdata - Opplæringslova
  8. European Commission. (2024). EU Artificial Intelligence Act. EC - AI Act
profile-image

WRITTEN BY

Edudata.io Norway