Personvernhensyn ved digital undervisning
Utfyllende retningslinjer for behandling av personopplysninger i forbindelse med digital undervisning og vurdering ved Universitetet i Bergen
Rev. dato: 10.03.2022.
Retningslinjene er utarbeidet med utgangspunkt i UiBs retningslinje Overordnede rammer for behandling av personopplysninger [1] og UiBs Styringssystem for informasjonssikkerhet og personvern (SIP) [2] og veiledende retningslinje om videoundervisning og personvern [3] fra Unit.
Overordnet ansvarlig for undervisningsvirksomheten ved UiB er rektor. Etter delegert beslutningsmyndighet er disse retningslinjene vedtatt av rektor.
1. Formålet med retningslinjene
Målgruppen for retningslinjene er undervisere, sensorer (interne og eksterne) og studenter ved UiB. Retningslinjen er også relevant for ansatte i administrative stillinger ved UiB.
Digital undervisning og vurdering kan innebære behandling av personopplysninger til undervisere/sensorer og studenter. Dette gjelder både når det gjøres opptak og når det ikke gjøres opptak. Behandling av personopplysninger i disse situasjonene er regulert av EUs personvernforordning (GDPR) [4] og personopplysningsloven [5] med forskrifter (samlet betegnet som personvernregelverket). Supplerende bestemmelser for behandling av personopplysninger er gitt i universitets- og høyskoleloven [6]
Retningslinjene har til formål å avklare:
Hvilket rettslig grunnlag (lovhjemmel) UiB har for å kunne behandle personopplysninger til undervisere/sensorer i forbindelse med digital undervisning og vurdering
Hvilket rettslig grunnlag UiB har til å kunne behandle personopplysninger til studenter i forbindelse med digital undervisning og vurdering
Hva det kan legges vekt på ved vurderingen om:
Studenter kan pålegges å delta i undervisningen med sitt eget navn, påslått kamera og/eller mikrofon
Personvernregelverket åpner for å gjøre opptak av undervisningen/vurderingen i den konkrete undervisnings- eller vurderingssituasjonen
Hvilke personvernrettigheter undervisere [7] /sensorer og studenter har i forbindelse med digital undervisning
Hvor lenge personopplysninger om undervisere/sensorer og studenter kan lagres, og informasjonssikkerhet
Retningslinjene har til hensikt å hjelpe fakultetene/instituttene med å utforme regelverk og praksis som etterlever personvernregelverket, samtidig som det tas hensyn til formålet med undervisningsog vurderingsformer.
2. Definisjoner og begreper
En utfyllende oversikt over definisjoner og begreper finnes på Personvernportalen til UiB . Her kan man lese nærmere hvordan en personopplysning, særlige kategorier personopplysninger, Behandling av personopplysninger, Behandlingsgrunnlag.
I denne sammenhengen er det viktig å fremheve at en digital undervisnings- og vurderingssituasjon som omfatter opptak, lagring, overføring, deling, tilgjengeliggjøring mv av bilder/video av personer og stemmelyd, alltid vil innebære behandling av personopplysninger.
3. Ulike typer undervisnings- og vurderingssituasjoner
Det kan skilles mellom følgende typer undervisnings- og vurderingssituasjoner ut fra personvernhensyn:
Undervisning der kun underviseren bidrar. Her er det kun underviserens personopplysninger som blir behandlet, herunder påslått kamera og mikrofon. Denne typen undervisning tilsvarer «tradisjonelle» forelesninger hvor studentenes aktivitet i form av f.eks spørsmål eller diskusjon ikke registreres. Slik forelesninger kan foregå som:
Undervisning i sanntid, dvs. direkte undervisning (streaming/strømming), også kalt synkron undervisning, med eller uten opptak
Undervisning som ikke skjer direkte, men som ligger tilgjengelig på nett for studenter/andre personer med tilgangsrettigheter som f.eks administrativt ansatte, også kalt asynkron undervisning
Undervisning hvor studentene medvirker med påslått kamera og/eller mikrofon. Eksempler på slik undervisning er seminarer, gruppeundervisning, forelesninger hvor studentene stiller spørsmål (både muntlig og ved å bruke chat-funksjon og ved å angi sitt eget navn, og hvor studentene diskuterer med underviseren og med hverandre, undervisning hvor studentene skal holde en presentasjon eller muntlig fremføring, veiledning i forbindelse med innleveringer og oppgaver på bachelor- eller masternivå. I slike undervisnings- og vurderingssituasjoner kan man også skille mellom:
Undervisning i sanntid med eller uten opptak
Undervisning som ikke skjer direkte, men som ligger tilgjengelig på nett for studenter/andre personer med tilgangsrettigheter, herunder administrasjonsansatt
4. Rettslig grunnlag for behandling av personopplysninger i forbindelse med digital undervisning
4.1 Samtykke om rettslig grunnlag?
Samtykke vil vanligvis ikke være et relevant rettslig grunnlag for behandling av personopplysninger i undervisnings- og vurderingssitusjoner. Dette gjelder også når undervisningen skjer digitalt. Personvernforordningen setter strenge krav til samtykke som behandlingsgrunnlag. Et gyldig samtykke etter personvernforordningen forutsetter en informert, frivillig, utvetydig, spesifikk erklæring, som fritt skal kunne trekkes tilbake uten konsekvenser for den enkelte. Grunnet manglende reell frivillighet og utfordringer med å håndtere følgene av tilbaketrekking av et samtykke, er samtykke ikke å anse som et egnet rettslig grunnlag i undervisnings- og vurderingssituasjoner.
Det samtykket/aksept som eksempelvis Zoom eller andre løsninger ber om når man skal start opptak må ikke forveksles med samtykke som behandlingsgrunnlag etter personvernregelverket.
4.2. Rettslig grunnlag for behandling av personopplysninger til undervisere/sensorer
Behandlingsgrunnlaget for personopplysninger om undervisere/sensorer er GDPR art. 6 nr. 1 b), dvs. «behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse». Det er innholdet i arbeidsavtalen og arbeidsgivers styringsrett som gjelder for ansatte. Dette gjelder tilsvarende for avtaler med ekstern underviser der slik undervisning er en del av ytelsen.
4.3. Rettslig grunnlag for behandling av personopplysninger til studenter
Behandlingsgrunnlaget for å behandle personopplysninger om studenter er GDPR artikkel 6 nr. 1 bokstav e), dvs. «behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt». Supplerende rettslig grunnlag er universitets- og høyskoleloven (uhl.) § 1-3, § 3-8 om undervisning, § 3-9 om eksamen og sensur, § 4-2 om utdanningsplan og § 4-3 om studentenes læringsmiljø.
UiB utfører en oppgave i allmennhetens interesse, dvs. tilbyr høyere utdanning som er finansiert og kvalitetssikret av staten. For at UiB skal kunne tilby undervisning på et høyt faglig nivå er institusjonen nødt til å behandle personopplysninger til studenter i det omfanget som er nødvendig i den aktuelle undervisnings- eller vurderingssituasjonen. Det overordnede formålet med å behandle personopplysninger gjennom digital undervisning er å øke studentenes kunnskap.
I samsvar med prinsippet om dataminimering skal behandlingen av personopplysninger begrenses til det som er nødvendig for formålene de behandles for [8] . Dette kan for eksempel bety at studenter som ikke holder en presentasjon eller innleder til diskusjon, ikke trenger å bli eksponert/synlige i strømmingen eller opptaket.
5. Institusjonens formål med behandling av personopplysninger og krav om nødvendighet
Personvernforordningen krever at den konkrete behandlingen av personopplysninger må være nødvendig. Det betyr at behandlingen av personopplysninger må både være relevant og hensiktsmessig for å oppnå formålet med behandlingen. I en undervisnings-/vurderingssituasjon må behandlingen være nødvendig for å oppfylle arbeidsavtalen for undervisere/sensorer. For studenter må behandlingen være nødvendig for den aktuelle undervisnings- og vurderingssituasjonen.
Nødvendighetskravet tolkes strengt. Det må vurderes om det er mulig å oppnå formålet uten å behandle personopplysninger eller ved å behandle færre personopplysninger. Hvis svaret er ja, er behandlingen av personopplysninger ikke nødvendig eller ikke nødvendig i det omfanget som var tiltenkt. At det er praktisk å behandle visse personopplysninger er ikke nok for å oppfylle nødvendighetskravet.
Formålet med undervisningen skal være beskrevet i institusjonens digitale læringsplattform, og være tydeliggjort for den eller de personene som er med i opptaket eller direktestrømmen. Dersom et emne har flere undervisnings- eller vurderingsaktiviteter av samme karakter, for eksempel en forelesningsrekke, kan formålet beskrives felles for undervisningsaktiviteter som er like.
6. Når er det anledning til å stille krav om at studenter deltar med påslått kamera og/eller mikrofon?
6.1. Vurderingsmomenter
Det må gjøres en konkret vurdering hvor karakteren av den aktuelle undervisnings- eller vurderingssituasjonen er avgjørende. Krav om at studenter deltar med påslått kamera og/eller mikrofon skal ha klar sammenheng med læringsutbyttebeskrivelsene og vurderingsformene for emnet. Følgende elementer inngår i en vurdering om det er nødvendig å kreve at studentene deltar med påslått kamera og/eller mikrofon?
Er undervisningen obligatorisk eller frivillig?
Er det oppmøtekrav eller ikke?
Hva som skal til for å sikre læringsutbytte?
Er det nødvendig med dialog med underviseren og medstudentene?
Er en diskusjon eller muntlig fremføring/presentasjon en del av opplegget?
Er det noe arbeidskrav som kontrolleres ved studentens/studentenes aktivitet?
Fakultetene/instituttene avgjør hvilke emner/undervisningssituasjoner det kan stilles krav til at studenter deltar med påslått kamera/mikrofon og informerer om dette før undervisning begynner.
6.2. Særlig om opptak
Opptak av personopplysninger i forbindelse med undervisning og vurdering kan utgjøre et større inngrep i personvernet til underviseren/sensoren og studenter. Det bør avklares om det er nødvendig å gjøre opptak av undervisningen ut fra formålet. Ved vurderingen kan det legges vekt på om det er særlige hensyn som studenters behov for å få tilgang til undervisningen eller smittevernhensyn.
Ved vurderingssituasjoner kan formålet med opptak være å dokumentere studentenes prestasjon. Nødvendighetskravet må vurderes ut fra formålet.
7. Rettighetene til undervisere og studenter – rett til informasjon
Det skal gis informasjon om behandling av personopplysninger til de som blir berørt av et opptak. Informasjonen skal omfatte:
At undervisningen innebærer behandling av personopplysninger
At UiB v/rektor er behandlingsansvarlig
Hva som er formålet med behandlingen
Hva som er behandlingsgrunnlaget for behandling av personopplysninger
Om det skal gjøres opptak, og hva som er formålet med opptaket
I tilfelle det skal gjøres opptak, hvordan og hvor lenge opptaket lagres
I tilfelle det skal gjøres opptak, hvordan opptaket gjøres tilgjengelig for andre
I tilfelle det skal gjøres opptak, hvem som har tilgang til opptaket
Rett til å protestere mot behandlingen av personopplysninger når behandlingsgrunnlaget er allmennhetens interesse, jf. GDPR art. 21 nr. 1.
Informasjonen skal gis i forkant av undervisningen, på emnesiden tilknyttet undervisningen og/eller gjennom læringsmiljøplattformen Mitt UiB. Se nærmere om rettigheter i UiBs personvernerklæring.
8. Lagring, bruk, redigering og sletting av opptak
8.1. Lagring og sletting
Lagring av personopplysninger er tillatt så lenge det er nødvendig for å oppnå formålet med lagringen, eksempelvis at studenter fra det aktuelle emnet skal ha tilgang til opptak frem til undervisning og eksamen er gjennomført. Så snart formålet ikke lenger er til stede, skal man enten begrunne lagring ut fra et annet formål og nødvendighet eller slette personopplysninger (opptak).
8.2. Bruk og redigering av opptak og chat
Ved behov for bistand med redigering av opptak, og eventuell sletting av deler av opptaket der personopplysninger om andre utilsiktet er kommet med, kontaktes Læringslaben. Chat som lastes ned lokalt og lagres som tekstfiler skal ikke distribueres.
9. Informasjonssikkerhet
Løsninger som brukes for digital undervisning skal være risikovurdert og godkjent for formålet. Det er UiBs IT-direktør som har ansvar for at de valgte løsningene tilfredsstiller kravene til informasjonssikkerhet som personvernregelverket krever. UiB skal ha en oversikt over anbefalte løsninger og systemer på området.
Fotnoter
Dato |
Kommentar |
Lagt inn av |
---|---|---|
31.03.2022 |
Reveidert retningslinje |
Mona Viksøy |