Kommunenes utfordringer med risikostyring i skolen: Et system under press

Digitaliseringen av norsk skole har gitt store muligheter – men også nye og komplekse risikoer. En fersk rapport fra Datatilsynet avdekker at mange kommuner står uten tilstrekkelige verktøy, rutiner eller ressurser for å håndtere disse risikoene på en trygg og systematisk måte (Datatilsynet, 2025). Hvordan havnet vi her, og hva kan gjøres?

Et nytt risikobilde for skolen – men verktøyene henger etter

Skoler og barnehager bruker i dag et stort antall digitale tjenester – alt fra digitale læringsplattformer og kommunikasjonsverktøy til KI-baserte læremidler. Med dette følger et ansvar for å sikre at elevenes personopplysninger behandles lovlig, at teknologiene er trygge og at de pedagogiske virkemidlene støtter lovpålagte mål i opplæringen.

Men Datatilsynets rapport “Funn fra tilsyn med personvernet i skolen” (2025) viser at mange kommuner ikke har tilstrekkelige strukturer eller systemer for å håndtere dette ansvaret. Rapporten peker blant annet på:

• Manglende DPIA-er (personvernkonsekvensvurderinger), til tross for at flere teknologier innebærer høy risiko (jf. GDPR art. 35)
  
  
• Ufullstendig eller fraværende RoPA-dokumentasjon, altså behandlingsprotokollen som skal gi oversikt over hvilke personopplysninger som behandles og hvorfor (jf. art. 30).
  
  
• Fragmentert ansvar der vurderinger overlates til skoleledere eller lærere – som verken har mandat, tid eller verktøy til å gjøre jobben riktig
  
  

Dette er ikke bare et problem i teori: Elever og foresatte får ikke den innsynsretten de har krav på (jf. GDPR art. 13–15), og kommunene klarer i mange tilfeller ikke å etterleve sine rettslige forpliktelser – noe som i verste fall kan medføre avviksmeldinger, bøter eller tapt tillit.

Juridiske krav krever handling

Risikostyring i skolen er ikke frivillig. Flere lovverk – både nasjonale og europeiske – stiller eksplisitte krav:

• Personopplysningsloven/GDPR: Krever lovlighet, åpenhet, ansvarlighet, DPIA, RoPA og tilgangsrett for elever og foresatte.
  
  
• Opplæringsloven § 13-3e: Slår fast at digitale læremidler skal være trygge og pedagogisk forsvarlige.
  
  
• Sikkerhetsloven og den kommende AI-forordningen (EU): Pålegger risikobasert vurdering, styring og dokumentasjon av teknologibruk, spesielt ved bruk av KI.
  
  

Likevel mangler mange kommuner oversikt over hvilke apper og digitale tjenester som faktisk er i bruk – ofte mellom 200 og 1000 ulike verktøy per skole. Mange kommuner kjenner ikke til omfanget, og har ikke systemer for å kartlegge eller følge det opp.

Systemiske svakheter i kommunesektoren

Flere offentlige rapporter viser at norske kommuner erkjenner økende digital risiko – men mangler verktøy, ressurser og struktur for å håndtere dem systematisk. Dette skaper et strukturelt ‘paradoks’: Kommunene vet de står overfor økt risiko, men mangler kapasitet og systemer til å gjøre noe med det (KS, 2023; SSB, 2023).

Typiske utfordringer inkluderer:

• Lav kompetanse innen personvern, informasjonssikkerhet og AI – over 50 % av kommunene rapporterer mangel på IKT-kompetanse (SSB, 2023)
  
  
• Manglende samhandling mellom IT, jus og skoleledelse – KS peker på svak tverrfaglig forankring av informasjonssikkerhet (KS, 2023)
  
  
• Store forskjeller i hvordan risiko håndteres mellom kommuner – avhenger av ressurser, størrelse og organisering (SSB, 2023)
  
  
• Mange kommuner mangler riktige verktøy – arbeidet skjer manuelt, er tidkrevende og lite oversiktlig. Selv der det finnes dedikerte team, vil et digitalt verktøy sikre mer effektiv, jevn og dokumentert risikohåndtering.
  
  

I tillegg gjør bruken av gratisapper og ikke-godkjente verktøy ("skygge-IT") det vanskelig å holde kontroll. I praksis innebærer dette at skoler bruker hundrevis av ulike digitale verktøy – apper, nettsider, plattformer og kommunikasjonsløsninger – som samler inn personopplysninger. Mange av disse er ikke vurdert, dokumentert eller en gang kjent for kommunen.

Det gjør det krevende å vurdere risiko, etterleve lovverket og gi foresatte og elever oversikt over hvordan data brukes. I tillegg brukes mange verktøy utenfor det pedagogiske miljøet – for eksempel at elever logger inn med private enheter eller gjennom ikke-godkjente lenker, noe som svekker både kontroll og sikkerhet.

Hva står på spill?

Konsekvensene av mangelfull risikohåndtering er mange:

• Brudd på GDPR kan føre til sanksjoner fra Datatilsynet
  
  
• Manglende informasjonssikkerhet kan utsette elever for datalekkasjer og ID-tyveri
  
  
• Tillitstap kan svekke samarbeidet mellom skole, hjem og kommune
  
  
• Overbelastning av lærere og rektorer kan føre til feilvurderinger og frustrasjon
  
  

Med økende bruk av KI i skolen og strengere krav fra EU og norske myndigheter, er det ikke lenger tilstrekkelig å “ta det etter hvert”. Kommunene må ha verktøy og støtte som gjør det mulig å håndtere risiko på en dokumentert, effektiv og lovmessig måte.

Edudata.io – Et spesialutviklet verktøy for risikostyring i skolesektoren

For å møte dette behovet er Edudata.io utviklet – en digital tjeneste for risikohåndtering som allerede brukes av over 100 kommuner i Sverige og Finland, og som nå er fullt tilpasset norske forhold.

Tjenesten tilbyr blant annet:

• Et samlet verktøy for risikohåndtering innen personvern, informasjonssikkerhet og kunstig intelligens
  
  
• Over 6000 risikovurderte digitale læringsverktøy, klare for vurdering og bruk
  
  
• Automatisk generering og vedlikehold av behandlingsprotokoll (RoPA) i henhold til GDPR art. 30
  
  
• Støtte for gjennomføring og oppfølging av DPIA i samarbeid med nordiske CIPP/E-sertifiserte personvernjurister
  
  
• Privacy App som gir elever og foresatte innsyn i hvilke apper som er godkjent og hvordan data behandles
  
  

Edudata.io støtter også opprettelsen av tverrfaglige risikogrupper, noe som er avgjørende for god risikostyring i kommunen. Tilnærmingen vår legger til rette for at nøkkelroller som personvernombud, IT-leder, skoleledelse og juridiske rådgivere kan samarbeide effektivt. Gjennom en felles plattform med delte maler, arbeidsflyter og analyseverktøy, blir det enklere å fordele, dokumentere og gjennomføre arbeidet i praksis. Dette sikrer at risikovurderingene blir helhetlige og i tråd med samtlige krav fra GDPR, opplæringsloven og andre relevante regelverk.

Tid for handling

Datatilsynets rapport er ikke bare en påminnelse – det er et varsko. Kommunene må ta grep nå for å sikre at barn og unge får en trygg, rettferdig og digitalt forsvarlig skolehverdag.

Edudata.io gir kommunene et klart alternativ: Et systematisk, kostnadseffektivt og faglig forankret verktøy for å møte de faktiske kravene de står overfor.

Ta kontakt for en uforpliktende gjennomgang av hvordan Edudata.io kan fungere i din kommune.

Referanser

1. Datatilsynet. (2025, mai). Funn fra tilsyn med personvernet i skolen. https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2025/funn-fra-tilsyn-med-personvernet-i-skolen/
2. KS. (2023). Digital robusthet i kommunal sektor. https://www.ks.no/fagomrader/forskning-og-utvikling-fou/forskning-og-utvikling/digital--robusthet-i-kommunal-sektor/
3. Statistisk sentralbyrå. (2023). Digitalisering i kommunene. https://www.ssb.no/teknologi-og-innovasjon/informasjons-og-kommunikasjonsteknologi-ikt/artikler/digitalisering-i-kommunene
4. Nasjonal sikkerhetsmyndighet (NSM). (2021). IKT-risikobildet i offentlig sektor. https://www.nsm.no/getfile.php/137495-1635323653/NSM/Filer/Dokumenter/Rapporter/NSM_IKT-risikobilde_2021_ny_B_enkeltside.pdf
5. Røed, S. (2023, nov. 1). Advarer mot skygge-IT: – Problem for både sikkerhet og effektivitet. Kode24. https://www.kode24.no/artikkel/advarer-mot-skygge-it-problematisk-for-bade-sikkerhet-og-effektivitet/163449
6. Lovdata. (2018). Lov om behandling av personopplysninger (personopplysningsloven). https://lovdata.no/lov/2018-06-15-38
7. Lovdata. (1998). Lov om grunnskolen og den vidaregåande opplæringa (opplæringslova). https://lovdata.no/lov/1998-07-17-61
8. European Commission. (2024). EU Artificial Intelligence Act – overview. https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai