Utvidet spørsmål
Elevene i femte klasse bruker Fronter der det er en side med bl.a. anmerkninger for brudd på skolereglene. Elevene må logge seg på med brukernavn og passord. Vi har erfart at elever har klart å gjette brukernavn/passord til andre elever i klassen. I tillegg deles passord med venner, og en liste over brukernavn og passord for hele klassen ligger i en ulåst skuff i klasserommet. Har skolen lov til å legge ut opplysninger som for eksempel anmerkninger på en slik innlogget side? Dersom skolen har lov til dette, kan vi som foreldre nekte at dette gjøres for vårt barn?Svar
Kravene til sikring av at personopplysninger ikke blir tilgjengelige for uvedkommende avhenger selvsagt av opplysningenes innhold. Opplysninger om anmerkninger er belagt med taushetsplikt, og slike opplysninger skal sikres på betryggende måte, se forvaltningsloven § 13c annet ledd.
Forskriften til personopplysningsloven stiller nærmere krav til hvordan det skal arbeides med informasjonssikkerhet. Et hovedpunkt i reguleringen er at det skal gjennomføres risikovurderinger (jf forskriftens § 2-4). Bestemmelsen er vurderingspreget og gir forholdsvis stort rom for skjønn. Det er likevel neppe tvilsomt at oppbevaring av liste med alle brukernavn og passord i en ulåst skuff gir ulovlig stor risiko for at taushetspliktige opplysninger kommer på avveie. Her kan vesentlig bedre sikring skje ved enkle og billige tiltak. Slik oppbevaring er derfor trolig brudd på kravene til sikring i forvaltningsloven og personopplysningsforskriften.
Kravet til risikovurdering er også utgangspunkt for bedømmelsen av om det gir tilstrekkelig sikkerhet å beskytte taushetspliktige opplysninger mv ved hjelp av brukernavn og passord som gis elever i femte klasse. Også dette avhenger av en konkret vurdering som gir rom for skjønn. Etter vår mening er det imidlertid neppe i tråd med kravene til sikring av konfidensialitet for taushetsbelagte personopplysninger å la beskyttelsen være avhengig av at barn i femte klasse klarer å behandle sitt passord strengt hemmelig. Opplysninger i spørsmålet kan også tyde på at det ikke stilles tilstrekkelig strenge krav til hvorledes passord skal være sammensatt (dersom det er mulig å gjette seg fram til passord).
Når det gjelder beskyttelse av opplysninger som ikke er belagt med taushetsplikt, er det grunn til å anta at ordningen i utgangspunktet kan vurderes som forsvarlig. Det er også et poeng at unge elever må kunne gis tillit og få erfaringer med et slikt ansvar som de uansett må kunne takle når de blir eldre.
Selv om det i utgangspunktet har vært grunn til å tro at femteklassinger vil kunne klare å behandle passord forsvarlig, plikter den som står ansvarlig for sikkerheten (skolen) å revurdere sikkerheten dersom det skjer hendelser som viser at sikkerheten svikter. Slike erfaringer skal med andre ord lett kunne føre til endrede og strengere rutiner, jf personopplysningsforskriften § 2-6.
Når det gjelder foresattes rett til å nekte skolen å ha tilgjengelig opplysninger om sitt barn på Fronter e.l., kommer svaret an på hva som er det rettslige grunnlaget for at skolen behandler opplysningene på denne måten. Dersom opplysningene behandles ut i fra samtykke (noe som er sannsynlig), kan slikt samtykke trekkes helt eller delvis tilbake med den konsekvens at skolen straks mister rett til å behandle opplysningene slik det er samtykket til. I så fall må opplysningene slettes fra Fronter, men kan beholdes i skolens administrative system. Det er foresatte som samtykker og trekker tilbake samtykke på vegne av barn under 12 år, se lovkommentaren.
