Legg til ny
    Legg til ny

    Dysmate

    Literate AS

    Om tenesta

    Dysmate er dysleksitestar som har blitt utvikla for å kartleggja lese- og skrivevanskar og dysleksi hjå barn, ungdom og vaksne.

    Testane byggjer på mange års forsking og består av både screeningtestar og oppfølgingstestar.

    Testane er digitale og enkle å administrera. Ein screeningtest tek vanlegvis rundt 40–45 minutt, og kan gjennomførast på ei heil gruppe eller klasse samtidig. Oppfølgingstestane tek om lag 15–25 minutt, og må gjennomførast 1:1, med testleiar og testkandidat. Testane er normerte, og resultata er tilgjengelege rett etter at testen er ferdig.

    For å ta i bruk Dysmate må testleiar gjennomføra eit obligatorisk sertifiseringskurs. For å bli testleiar må ein ha utdanning som lærar, førskulelærar, spesialpedagog, logoped, psykolog eller tilsvarande kompetanse.

    Rapport frå pilotering

    Styrker

    • Meir effektiv testing, og kjem dermed gjennom fleire elevar samtidig.
    • Meir lystbetont for elevane å gjennomføra, samanlikna med Logos.
    • Vesentleg mindre etterarbeid for testleiar.
    • Moglegheit for å gjennomføra screeningtestar i større grupper/heile klassar.
    • Vurderinga/resultata vil bli meir objektive, sidan alt føregår med den same, oppleste stemmen.
    • NAV Hjelpemiddelsentralen godkjenner òg tildeling av lisens til Lingdys Pluss på bakgrunn av Dysmate-testing.
    • Positivt at ein kan gjennomføra screeningtest heilt ned i første klasse.
    • Betre visuelt bilete av skiljet mellom dysleksi og språkvanskar, betre overblikk over kandidaten sine testresultat.

    Svakheiter

    • Dysmate blir ein meir "kognitiv" test enn Logos sin hurtigbenevningstest, sidan kandidaten både skal nemna figurar og fargar samtidig.
    • Har opplevd at deltesten hurtignemning krev meir forklaring frå testleiar, enn berre det som den innspelte stemmen forklarer.
    • I oppfølgingstesten bør testleiar kunna justera resultatet etterpå, viss ein har trykt feil undervegs i testen.
    • I tillegg til rapporten frå Dysmate, er testleiar nøydd til å gjera ei meir heilskapleg vurdering, for eksempel språkbakgrunn, lærevanskar, vurdera sekundærfaktorar, etc.
    • Dei som ikkje har erfaring med testing i Logos, vil slita med å føreslå tiltak etter å ha gjennomført testing i Dysmate.
    • Læringsbrett fører til nokre feilkjelder i Ordkjedetesten, kontra ordkjedetest på papir (vanskelegare å vera nøyaktig med oppdeling av ord på skjerm).
    • Skrivetesten: Handlar det om dysleksi, eller handlar det om tastaturferdigheiter? Skrivetesten er ikkje nok til å gje indikasjonar om dysleksi, men kan hjelpa testleiar til å forstå resultata på Orddiktat.
    • Verken screening- eller oppfølgingstesten gjev høve til å testa leseflyt og korleis kandidaten les, slik som ein til dømes kan i Logos.

    Parallellitetskrav: Dysmate finst både på nynorsk og bokmål.

    Tilsvarande tenester: Logos

    Plattform
    Bruksområde
    Digital kompetanse
    Er tenesta godkjent?
    Tenesta er godkjent for bruk i Sauda, Suldal, Hjelmeland og Strand.
    Kva kommunar bruker tenesta?
    Innlogging
    Feide
    Lagring
    Filene blir lagra i skyteneste hjå leverandør
    Lisensmodell
    Tenesta er lisensbasert (betalt)
    Personopplysningar
    • Tenesta lagrar personopplysningar
    • Følgjande brukarar blir registrerte i tenesta: elevar, tilsette
    • Følgjande personopplysningar blir lagra i tenesta: namn, fødselsdato, fødselsnummer, telefonnummer, e-postadresse, målform, rolle, eining, organisasjon, fagleg progresjon, sensitive personopplysningar
    Databehandlarar
    • Leverandør: Literate AS
    • Underleverandør(ar): Amazon Web Services EMEA SARL, Uninett AS, Benzin AS, Signicat AS
    • Personopplysningar blir ikkje utleverte til tredjepart.
    • Personopplysningar blir ikkje overførte til tredjestat.
    Sikkerheitstiltak
    • Rutinar for lagring, sletting og informasjonstryggleik:

      Lagring:

      • Skulen må etablera retningsliner for korleis informasjonen skal handterast. Dette gjeld både fysiske og digitale dokument til gjennomgang/vurdering med logoped og eventuelt føresette, samt overføring til arkivsystem.

      Sletting:

      • Alle testar blir automatisk og permanent sletta etter 3 år, då det ikkje er føremålstenleg å lagra desse opplysningane lenger enn 3 år.
      • Testadministrator kan òg sletta brukte og fullførte testar som er 3 månader gamle. Testane blir automatisk sletta éin månad etter at testadministrator har merka dei for sletting.
      • Når kommunen seier opp avtalen, blir alle personopplysningar sletta seinast 90 kalenderdagar etter at hovudavtalen opphøyrer.

      Informasjonstryggleik:

      • Pålogging skal berre skje via Feide.
      • Lærar som skal gjennomføra test av elev, må ha gjennomført kurs for å bli sertifisert testleiar.
      • Det er berre tilsette som har sertifiseringskurs som kan få tilgang til tenesta.
      • Når ein lærar med Dysmate-tilgang sluttar, må skulen gje beskjed til leverandør, slik at brukarkontoen blir sletta.
    • Organisatoriske sikkerheitstiltak: grundig opplæring i bruk av tenesta, rutinar for bruk av tenesta, inngått avtale med leverandør, systemansvarleg i kommunen, dokumentasjon av tenesta
    • Tekniske sikkerheitstiltak: fleirfaktor-autentisering, passordbeskyttelse, kryptering, tilgangsavgrensing, overvaking og logging
    Personvernstatus
    • Leverandørerklæring
    • Gjennomført innleiande vurdering?
    • Gjennomført risiko- og sårbarheitsvurdering?
    • Gjennomført vurdering av personvernkonsekvensar?
    • Signert databehandlaravtale?
      Sauda, Suldal, Hjelmeland, Strand
    • Revisjonsfrist
      22.01.2027
    Personvernombod
    Samanstilling og presentasjon av funn

    Dei viktigaste tiltaka som er valde for å sikre etterleving av personvernregelverket sine grunnleggande prinsipp, kan oppsummerast slik:

    • Tydeleg føremålsavgrensing og lovheimel: Me har definert føremålet (dysleksikartlegging) klart og knytt det til opplæringslova sine krav om individuell opplæring, og kommunen har forankra behandlinga rettsleg i dette.
    • Dataminimeringstiltak: Systemet er konfigurert slik at berre nødvendige data samlast inn – anamnese er valfri, mange felt er frivillige, og lærarar er instruert om å ikkje leggje inn meir enn nødvendig.
    • Informasjonsflyt til registrerte: Det er laga forståeleg personverninformasjon til elevar og føresette, og lenke til personvernerklæringa er publisert saman med informasjonen om Dysmate.
    • Avgrensa lagringstid: Automatisk sletting etter 3 år er implementert for å ivareta lagringsbegrensing.
    • Kvalitetssikring av data: Feilregistrering blir unngått med digital innhenting, og det finst prosedyrar for retting ved behov.
    • Dei registrerte sine rettar: Kommunen har prosedyrar for å handtere innsyn, retting og sletting forespørslar frå registrerte.
    • Innebygd personvern: Leverandøren har innarbeidd personvern som standardinnstilling (for eksempel deaktivering av visse funksjonar) og kommunen har kontroll på aktivering av eventuelle ekstraopplysningar.

    Alle desse tiltaka er med på å sikre at behandlinga varetar grunnleggande prinsipp som lovlegheit, føremålsavgrensing, dataminimering, riktigheit, lagringsavgrensing, integritet og konfidensialitet (jf. GDPR art. 5).

    • Autentisering og tilgangskontroll: Tilgang til Dysmate krev pålogging via Feide, som gir høg autentiseringsstyrke. Der dette er støtta, blir sterk autentisering (to-faktor) nytta. Tilgangen er rollebasert, og ein brukar har berre tilgang til dei elevane vedkomande har tenstleg behov for. Elevdata er logisk skilde per kommune, og ein lærar kan berre sjå eigne elevar sine resultat.
    • Kryptering og sikker kommunikasjon: Alle personopplysningar blir overførte over krypterte samband (HTTPS), og data er krypterte både under transport og ved lagring. Dette reduserer risikoen for uautorisert innsyn eller avlytting.
    • Drift, lagring og fysisk tryggleik: Systemet er drifta hos ein etablert skyleverandør (AWS Frankfurt) innanfor EU/EØS. Løysinga har høg grad av fysisk og nettverksmessig sikring, inkludert redundans, brannmurar og tilgangskontroll til datasenter. Berre eit svært avgrensa tal teknisk personell hos leverandøren kan, ved behov og etter autorisasjon, få tilgang på databasenivå.
    • Logging og overvaking: Alle påloggingar og relevante handlingar i systemet blir logga. Det er etablert overvaking for å oppdaga mistenkjeleg aktivitet, som gjentekne mislykka innloggingar eller forsøk på å omgå tilgangskontroll.
    • Backup og kontinuitet: Leverandøren har etablerte backuprutinar for å sikra data mot tap. Backupane er sikra på same nivå som primærdata og inngår i leverandøren sitt ordinære drifts- og beredskapsopplegg.
    • Avvikshandtering og beredskap: Det ligg føre rutinar for handtering av tryggleiksavvik. Leverandøren har plikt til å varsla kommunen ved brot på personopplysningssikkerheita, og kommunen har ansvar for vidare oppfølging og eventuell varsling til Datatilsynet og registrerte.
    • Organisatoriske tryggingstiltak: Tilsette som brukar Dysmate, har fått opplæring i sikker bruk av systemet og i generell handtering av personopplysningar. Dette omfattar mellom anna teieplikt, ansvar for innlogging, og krav om forsvarleg handsaming av testresultat.
    • Risikovurdering og revisjon: Det er gjennomført risiko- og sårbarheitsvurdering (ROS) av løysinga, og identifiserte risikoar er vurderte og handterte. Tryggleiken blir vurdert jamleg, og det er planlagt revisjon av tiltak ved behov, for eksempel ved endringar i funksjonalitet eller trusselbilete.
    • Underleverandørar: Underleverandørar som AWS og Feide/Uninett er etablerte aktørar med høg tryggleiksstandard. Bruk av desse er regulert gjennom databehandlaravtalar, og dei har ikkje tilgang til personidentifiserande innhald i Dysmate.

    DPIA-arbeidet identifiserte fleire potensielle risikoar for dei registrerte, som me deretter har analysert med omsyn til sannsyn og konsekvensar og sett inn nødvendige avbøtande tiltak.

    Nokre av dei sentrale risikoane var:

    • Personvernrisiko for barn (sårbare registrerte): Opphavleg vurdering: høg konsekvens (barn kan skadast av misbruk av data) men låg sannsyn (data er godt sikra). Etter tiltak: restrisiko svært låg.
    • Uautorisert tilgang eller datalekkasje: Opphavleg: moderat konsekvens (sensitive opplysningar på avvegar) og låg sannsyn (etablerte sikkerheitstiltak, men alltid ein reell risiko). Etter tiltak (sterk tilgangsstyring, kryptering, logging): Restrisikoen er vurdert som svært låg.
    • Manglande informasjon til elevar og føresette (openheit): Opphavleg: moderat sannsyn (lett å gløyme å informere nok) og moderat konsekvens (kan føra til misnøye, klager). Etter tiltak (tydelege rutinar for info): Restrisiko låg (skulle informasjon glipp for ein enkelt, kan rettast raskt; generelt dekkjer vi alle).
    • Feil bruk av data (til andre formål eller lenger lagring): Opphavleg: låg sannsyn (lærarar har lite insentiv til misbruk) men høg konsekvens om det skjer (f.eks. data delt med utanforståande). Etter tiltak (avtalar, bevisstgjering, tekniske sperrer): restrisiko veldig låg.
    • Feildiagnostisering/stigmatisering av elev: Opphavleg: moderat sannsyn (feil i testinga og overtolking av testresultat kan skje) og moderat konsekvens (lagrar feil informasjon om ein elev). Tiltak (berre sertifiserte testleiarar, sakkunnig vurdering i tillegg til test, rett til å klaga på vurderinga): Restrisiko låg (tilfelle kan skje, men blir fanga opp av systemet rundt).
    • Manglande medbestemming: Opphavleg: moderat konsekvens (prinsipielt problem) og moderat sannsyn. Etter tiltak (info og delvis samtykke der mogleg): Restrisiko låg/akseptabel. Screeningtest for å fanga opp elevar som treng tettare, individuell oppfølging er både nødvendig og lovfesta.

    Kvar risiko har altså blitt redusert med eitt eller fleire nivå. Ingen identifiserte risikoar ligg igjen i raud sone; dei fleste er grøn (låg) nokre få gul (moderat), men akseptabelt når ein jamfører risikoen mot nytteverdien.

    Gjennom DPIA-prosessen blei det identifisert nokre nye tiltak som vil styrka personvernet ytterlegare:

    1. Utarbeida og senda ut eit eige informasjonsbrev til alle foreldre ved aktuelle klassetrinn før oppstart av Dysmate-testing kvart skuleår. Ansvar: Skuleeigar i samarbeid med rektor. Frist: Før neste testrunde.
    2. Utarbeida eit kort elev-venleg informasjonsark (eller klassesamtale) om kvifor testen blir tatt, og kva som skjer med resultata, for å sikra at elevane si medverking. Ansvar: Skuleeigar i samarbeid med sertifiserte testleiarar. Frist: I god tid før oppstart av neste testrunde.
    3. Gjennomføra internkontroll, for å sjekka at rutinar blir følgde (for eksempel at aktive testleiarar framleis er tilsette i kommunen/PP-tenesta, og at alle er sertifiserte. Ansvar: Systemansvarleg i samarbeid personvernombod. Frist: 6–12 månader etter oppstart.
    4. Følgje opp med leverandøren om planlagte nye funksjonar (f.eks. talegjenkjenning) i god tid, og om nødvendig oppdatere DPIA dersom ny teknologi tas i bruk. Ansvar: systemansvarleg. Løpande.
    5. Kontinuerleg vurdere personvernkonsekvensar av forskingsdelen i Hjelmeland og om utvida samtykke er nødvendig frå dei registrerte. Ansvar: Hjelmeland oppvekstsjef i dialog med personvernombod. Løpande.

    Nokre av desse tiltaka (1, 2, 3) skal fullførast før eller ved implementering, og er vilkår for oppstart. Andre (4, 5, 6) er løpande kvalitetsforbedringsgrep. Handlingsplanen sikrar at eventuelle restpunkt frå DPIA blir teke tak i og at personvernet vil halde seg på eit høgt nivå over tid. Leiinga vil følgje opp framdrifta i planlagte møte.

    Behandlinga sin art

    Dysmate er eit digitalt testverktøy utvikla for å kartleggja lese- og skrivevanskar (inkludert dysleksi) hjå barn, ungdom og vaksne . Løysinga inneheld både screeningtestar for tidleg å avdekkja elevar som strevar, og oppfølgingstestar for nærare utgreiing av mogleg dysleksi . Behandlinga omfattar innsamling, lagring og analyse av personopplysningar knytt til elevane sine testar og resultat. Dei fire kommunane planlegg å ta i bruk Dysmate som ein del av oppfølginga av elevar i skulen. Merk: Berre Hjelmeland kommune har opna for bruk av Dysmate-data til forskingsføremål, med ein eigen signert databehandlaravtale som dekkjer dette føremålet . Dei andre kommunane vil berre nytta Dysmate til ordinære pedagogiske formål, og data vert ikkje nytta til forsking der.

    Kor kjem personopplysningane frå?

    Kjeldene til personopplysningar i denne behandlinga er primært:

    • Opplysningar direkte frå den registrerte, dvs. eleven sjølv (gjennom svar på testoppgåver og eventuelt utfylling av eigenerklæring/anamnese).
    • Informasjon frå skulen sitt system/brukardatabase via Feide (Feide-pålogginga gir namn, fødselsdato, skole tilknyting, e-postadresse m.m. som allereie er registrert om eleven i skuleadministrative system).
    • Lærarar eller testleiarar kan leggja inn nokre opplysningar manuelt, som t.d. kva klassetrinn eleven er på, eller dersom eleven er så ung at læraren fyller ut namn/ID for dei.

    Det kan òg tenkjast at PPT eller føresette bidreg med bakgrunnsinformasjon for anamnesen (t.d. om familiehistorikk for dysleksi), men i Dysmate sjølv er det anten eleven eller testleiaren som registrerer slike svar.

    Ingen eksterne register er direkte kopla til Dysmate. Systemet samlar ikkje inn data frå sosiale medier, helsejournalar eller liknande. Det er heller inga overvaking eller sensordata involvert.

    Samla sett er kjeldene kjende for eleven/skulen (ingen skjulte datakjelder).

    Kor blir personopplysningane lagra?
    i skyteneste hjå leverandør

    Korleis blir personopplysningane lagra?

    Innsamla data blir lagra elektronisk hos leverandøren (Literate AS) si skyteneste . Alle personopplysningar vert lagra i ein sikra, kryptert database i skyen (tenester levert av Amazon Web Services i Frankfurt, Tyskland) . Databasane er krypterte for å ivareta konfidensialitet, og leverandøren har dokumenterte sikkerheitstiltak for lagring og handsaming av data . Det er definert klare reglar for kor lenge data kan lagrast, og rutinane inneber òg automatisk sletting av data som ikkje lenger trengst.

    Korleis blir personopplysningane brukte?

    Personopplysningane blir brukte utelukkande for dei oppgitte formåla knytt til Dysmate-testane. Det vil seia å administrera testar, generera resultat og rapportar, og følgja opp elevane sitt læringsutbytte og behov for tiltak . Screeningtestane vert nytta for å identifisera elevar med mogleg risiko for dysleksi tidleg i skuleløpet, og oppfølgingstestane for å gje grunnlag til ein eventuell dysleksi-diagnose og tilpassa opplæring . Data om testresultat kan brukast av skulen og PPT-tenesta (pedagogisk-psykologisk teneste) til å avgjera om eleven skal få ekstra hjelp eller vidare utgreiing. I Hjelmeland kommune er det i tillegg opna for å nytta anonyme eller aggregerte data frå Dysmate i forskingsøyemed, i samarbeid med leverandøren, basert på ein eigen avtale for dette formålet . Utover dette vert opplysningane ikkje brukte til andre føremål, profilering eller automatiserte avgjerder som påverkar eleven sine rettar direkte.

    Kven har tilgang til personopplysningane?

    Autoriserte brukarar i skulen
    Tilgangen til personopplysningane er avgrensa til autorisert personell. Lærarar og spesialpedagogar som har gjennomført obligatorisk sertifisering i Dysmate, får tildelt brukartilgang som testleiarar. Desse har berre tilgang til testar og resultat for elevar på eigen skule. Kvar skule eller kommune skal ha ein definert systemansvarleg, som administrerer brukartilgangar, inkludert oppretting og fjerning av brukarar.

    Leverandør og underleverandørar
    Leverandøren, Literate AS, har i utgangspunktet ikkje tilgang til identifiserande elevdata. Avgrensa innsyn kan førekoma på databasenivå i samband med systemdrift eller vedlikehald, og berre etter instruks frå kommunen. Dette er regulert i databehandlaravtalen. Underleverandørar som AWS (drift), Feide (autentisering), Benzin AS og Signicat AS har teknisk tilgang til systemet, men ikkje til innhaldet i elevtestane eller personopplysningar.

    Autentisering og tilgangsstyring
    Alle brukarar autentiserer seg via Feide med sikre innloggingsrutinar, inkludert tofaktorautentisering der dette er støtta. Det blir logga kven som har hatt tilgang til systemet og kva som er gjort. Når ein tilsett sluttar eller ikkje lenger skal bruka Dysmate, skal skulen melda frå slik at tilgangen blir fjerna.

    Elevar og føresette
    Elevar og føresette har ikkje direkte tilgang til Dysmate-systemet. Dei har likevel rett til informasjon om eigne resultat, som blir formidla gjennom skulen, til dømes i samtalar, rapportar eller som del av sakkyndig vurdering.

    Interne mottakarar i kommunen
    Internt i kommunen kan relevante aktørar få tilgang til opplysningar som del av den ordinære oppfølginga. Dette gjeld særleg deling mellom skule og PPT i samband med fagleg vurdering. Skule og PPT er begge del av kommunen sitt behandlingsansvar, og blir rekna som interne mottakarar.

    Eksterne mottakarar og forsking
    Personopplysningar blir i utgangspunktet ikkje utleverte til tredjepartar utanfor den etablerte behandlingskjeda.Ingen kommersielle aktørar eller andre offentlege styresmakter får tilgang til personopplysningar som blir lagra i Dysmate.

    I Hjelmeland kommune kan anonymiserte eller aggregerte data nyttast til forskingsføremål i tråd med eigen avtale, sidan utvalde klassar i Hjelmeland kommune deltar i ein normeringsstudie som skal bidra til å auka kvaliteten på Dysmate-testane. Data som blir samla inn til forskingsføremål skal ikkje knytast til identifiserbare elevar.

    Vidare saksbehandling
    Dersom Dysmate-resultat inngår i ei formell sak om spesialundervisning, kan relevante opplysningar bli del av sakkyndig vurdering og vedtak. Dette skjer innanfor ordinær informasjonsflyt i skuleverket og i samsvar med gjeldande regelverk.

    Behandlinga sitt omfang

    Omfanget av behandlingsaktiviteten omfattar alle elevar i aktuelle klassetrinn som skal gjennomføra Dysmate-testane, samt tilsette som administrerer testane. Dette utgjer eit avgrensa, definert datasett med personopplysningar per elev, men inneber behandling av nokre sensitive opplysningar (helserelaterte) i samband med dysleksiutgreiing.

    Geografisk er omfanget avgrensa til kommunane Sauda, Suldal, Hjelmeland og Strand, men sjølve lagring skjer på datasenter i Tyskland eller andre EU/EØS-land. Behandlinga skjer i utgangspunktet i avgrensa skala på kvar skule, men om skulane vel å gjennomføra screeningtesten på heile klassar eller trinn, kan det innebera behandling av data om mange elevar samtidig. Likevel kan dette samanliknast med vanlege nasjonale kartleggingsprøvar i skulen, og blir ikkje rekna som meir omfattande behandling enn det som er vanleg i skulesektoren.

    Kva slags personopplysningar blir lagra?
    namn, fødselsdato, fødselsnummer, telefonnummer, e-postadresse, målform, rolle, eining, organisasjon, fagleg progresjon, sensitive personopplysningar

    Blir det behandla sensitive personopplysningar (særskilde kategoriar av personopplysningar)?
    Ja, det blir behandla særskilde kategoriar av personopplysningar (sensitive personopplysningar).

    I Dysmate blir det behandla særlege kategoriar personopplysningar (helseopplysningar), jf. GDPR artikkel 9 nr. 1. Dette gjeld særleg:

    • testresultat som kan indikera lese- og skrivevanskar, inkludert mogleg dysleksi
    • opplysningar frå anamnese der denne funksjonen er tatt i bruk
    • faglege vurderingar der Dysmate-resultat inngår som grunnlag for pedagogisk-psykologisk arbeid

    Behandlinga er lovleg etter GDPR artikkel 9 nr. 2 bokstav g og h, fordi den er nødvendig for å gjennomføra pedagogisk-psykologisk arbeid knytt til vurdering av funksjonsevne og tilpassa opplæring. Behandlinga har heimel i opplæringslova §§ 11-2, 11-3 og 25-1, som pålegg kommunen å kartleggja elevane si utvikling og setja inn eigna tiltak.

    I enkelte tilfelle blir uttrykkeleg samtykke nytta som supplerande grunnlag, for eksempel ved registrering av anamnese eller ved deltaking i normeringsstudien (for tida berre i Hjelmeland kommune). Samtykke skal ikkje vera behandlingsgrunnlag for ordinær kartlegging i skulen.

    Behandlinga er avgrensa til det som er nødvendig, skjer under streng teieplikt og er i samsvar med krava i personvernregelverket.

    Kva kommunar blir det samla inn personopplysningar frå?
    Strand, Suldal, Hjelmeland, Sauda

    Kven og kor mange blir det samla inn personopplysningar om?
    mellom 1.000 og 9.999 elevar, tilsette

    Kor ofte blir det samla inn personopplysningar?
    fleire gonger, uregelmessig

    Kor lenge blir personopplysningane lagra?

    Testdata blir lagra berre så lenge dei har eit pedagogisk føremål. Alle testar blir automatisk sletta etter tre år, sidan opplysningane då ikkje lenger er naudsynte. Testadministrator kan òg sletta testar eldre enn tre månader; desse blir då automatisk fjerna etter éin månad.

    Ved avslutta kundeforhold skal leverandøren sletta alle personopplysningar seinast 90 dagar etter at avtalen er avslutta. Skule og PPT tar ved behov ut rapportar og journalfører relevante opplysningar i elevarkiv før sletting, slik at nødvendig dokumentasjon blir tatt vare på.

    Behandlinga sin kontekst

    Behandlinga av personopplysningar i Dysmate skjer innanfor ramma av offentleg grunnopplæring og spesialpedagogisk oppfølging. Konteksten er ein ordinær skulekvardag der elevane allereie er vane med kartleggingar og testar, som nasjonale prøver og andre pedagogiske vurderingar. Dysmate framstår som eit tilsvarande verktøy, retta spesifikt mot avdekking og oppfølging av lese- og skrivevanskar.

    Kommunane har eit lovpålagt ansvar for å følgja med på elevane si læringsutvikling og setja inn tiltak ved behov. Dette gjer behandlinga nødvendig og legitim i denne konteksten. Samtidig omfattar behandlinga barn, som er ei sårbar gruppe, noko som stiller særlege krav til varsemd, personvern og etisk vurdering. Skulekonteksten er regulert av klare reglar om teieplikt og handtering av elevopplysningar, og det er ei etablert forventning om konfidensialitet.

    Ryfylke-kommunane samarbeider om bruk av digitale verktøy som Dysmate, mellom anna gjennom erfaringsdeling. Behandlingsansvaret for personopplysningar om elevane ligg likevel hjå kvar kommune for seg, og det skjer ingen samanslåing eller felles behandling av elevdata på tvers av kommunane.

    Behandlinga skjer i eit maktforhold der skulen har kontroll, medan elevane og deira føresette har avgrensa moglegheit til å påverka behandlinga. Kartlegginga er i praksis obligatorisk, og sjølv om føresette kan stilla spørsmål og gje samtykke der det er aktuelt, ligg styringa hjå kommunen.

    Elevane er ei sårbar gruppe, og mange av dei som blir testa kan òg vera fagleg sårbare. Feil bruk eller uheldig deling av opplysningar kan difor få store konsekvensar for den registrerte. Dette stiller krav til open informasjon, tydelege roller og strengt avgrensa tilgang. Leverandøren behandlar data berre på vegner av kommunen gjennom databehandlaravtale. Samla sett er denne sårbarheita tatt omsyn til gjennom informasjon, tilgangsavgrensing og formålsavgrensa bruk.

    Elevane (dei registrerte) har avgrensa kontroll over eigne personopplysningar i denne behandlinga, både grunna deira alder og det faktum at testane i praksis er obligatoriske som del av undervisningsopplegget. I utgangspunktet vert data samla inn utan aktiv styring frå elevane sjølve utover at dei svarar på testar og gir eventuell anamneseinformasjon. Dei kan ikkje sjølve redigera eller slette opplysningar i systemet. For mindreårige er det føresette som representerer deira interesser; føresette vil som regel bli informerte om at testing skjer, og kan i nokre tilfelle bli bedne om samtykke (t.d. for innhenting av helseopplysningar i anamnese for ein oppfølgingsprøve). Dette tyder at det er mogleg for ein registrert å få opplysningane fjerna, men berre gjennom manuelle prosessar via skule/leverandør – ikkje direkte i systemet. Når det gjeld innsyn og retting har ikkje eleven ein portal der dei kan sjå alt, men dei kan via skulen få utskrift av resultatrapportane sine og be om retting av eventuelle faktiske feil (t.d. stavefeil i namn) gjennom at testadministrator kan oppdatera enkelte personopplysningar i systemet . I praksis er registrerte sin kontroll over eigen data altså indirekte og i stor grad delegert til skule/foresatte. Dette er avbøtt noko gjennom at elevane får delta i samtalar om resultat (t.d. i elevsamtale eller med PPT) der deira synspunkt kan komme fram, men når det gjeld sjølve datalagringa og -bruken, ligg kontrollen hovudsakleg hjå behandlingsansvarleg.

    Frå elevane og føresette sitt perspektiv vil Dysmate-behandlinga sannsynlegvis bli oppfatta som ein del av det ordinære støtteapparatet i skulen. Så lenge skulen kommuniserer godt kva testen går ut på og kvifor den blir gjennomført, vil mange oppfatta det som eit positivt tiltak for å få hjelp tidleg. Elevar som tek testen kan oppleva det som ein vanleg prøve på data, og resultatet blir formidla som hjelp eller vidare oppfølging, ikkje som ein karakter. Ei potensiell utfordring er om enkelte elevar/føresette kan føla uro for stigmatisering – at dei blir «registrerte» som svake lesarar eller dyslektikarar. Openheit rundt formålet (å hjelpe eleven, ikkje «merke» dei) er derfor viktig for oppfatninga. Det er kjent frå før at skulane ofte gjennomfører kartleggingsprøver; Dysmate skil seg ikkje mykje frå dette, bortsett frå at det er eit nytt digitalt verktøy . Dermed truleg ingen stor overrasking for dei registrerte. Når det gjeld personvern, er det ikkje sikkert elevane tenker over at data om dei blir lagra i ein skyteneste – her må føresette eventuelt stille spørsmål om tryggleiken. Kommunane har forsøkt å adressere dette ved å informere via personvernerklæring og ved å understreka at ingen uvedkommande får tak i data. Generelt vil føresette flest akseptere at slike testar er naudsynte for barnets beste, men det kan finnast ulike oppfatningar: Nokon kan meine at så unge barn ikkje burde utsetjast for «diagnosetest», medan andre er glade for tidleg innsats. Difor er dialog med dei registrerte sine representantar (foreldre) sentralt for å sikre at oppfatninga er mest mogleg positiv og at eventuelle misforståingar blir oppklart.

    Personvernprinsippa

    Kva er behandlingsgrunnlaget?
    Nødvendig for å utøva offentleg mynde.

    Behandlinga av personopplysningar i Dysmate har eit klart rettsleg grunnlag og er nødvendig for å utøva offentleg mynde og oppfylla skuleeigar sitt ansvar i opplæringslova, jf. GDPR artikkel 6 nr. 1 bokstav e.

    Opplæringslova § 11-2 pålegg kommunen å følgja med på elevane si utvikling og setja inn tiltak dersom det er tvil om eleven har tilfredsstillande utbytte av opplæringa. Vidare stiller opplæringslova § 11-3 krav om at kommunen raskt skal gje elevane på 1.–4. trinn eigna intensiv opplæring dersom dei står i fare for manglande progresjon i lesing, skriving eller rekning. For å kunna oppfylla desse pliktene er kommunen avhengig av eigna kartleggingsverktøy som gjer det mogleg å identifisera elevar med lese- og skrivevanskar og risiko for dysleksi. Bruk av Dysmate er del av dette lovpålagde arbeidet, og i praksis er det skulen i samarbeid med PPT som gjennomfører dette arbeidet.

    Opplæringslova § 25-1 gir kommunen heimel til å behandla personopplysningar når det er nødvendig for å utføra oppgåver etter lova. Dette omfattar også særlege kategoriar personopplysningar, inkludert helseopplysningar. I Dysmate kan dette gjelda kognitive testresultat og opplysningar frå anamnese, som blir nytta som del av screening og vidare oppfølging. Behandlinga av desse opplysningane er avgrensa til det som er fagleg nødvendig og skjer innanfor ramma av kommunen sitt ansvar etter opplæringslova.

    I praksis kan det i enkelte situasjonar også bli innhenta samtykke frå føresette, til dømes før meir omfattande oppfølgingstestar eller der testen inneber særleg sensitive spørsmål. Samtykke kan då fungera som eit supplerande behandlingsgrunnlag, jf. GDPR artikkel 6 nr. 1 bokstav a og artikkel 9 nr. 2 bokstav a. Samtykke er likevel ikkje hovudgrunnlaget for den ordinære kartlegginga, som primært er forankra i lov.

    For Hjelmeland kommune sitt forskingsføremål blir behandlingsgrunnlaget vurdert særskilt. Forsking skjer anten på grunnlag av uttrykkeleg samtykke frå dei registrerte eller føresette, eller med heimel i GDPR artikkel 9 nr. 2 bokstav j (vitskapleg forsking), kombinert med personopplysningslova § 9. Forsking blir ikkje gjennomført utan at rettsleg grunnlag er avklart og regulert gjennom signert avtale.

    Føremålet med behandlinga er å setja skule og PPT i stand til å følgja med på elevane si lese- og skriveutvikling, avdekkja risiko for dysleksi og setja inn eigna tiltak så tidleg som mogleg. Bruk av Dysmate er eit pedagogisk verkemiddel for å oppfylla kommunen sitt ansvar etter opplæringslova, men det er i praksis skule og PPT som følgjer opp dette ansvaret.

    Dysmate består av screeningtestar og oppfølgingstestar med ulike, men samanhengande føremål. Screeningtestane blir brukt på enkeltelevar, grupper eller heile klassar, for tidleg å identifisera elevar som strevar med lesing og skriving. Elevar som viser tydelege avvik i screeningresultata, kan bli følgde opp med ein meir omfattande oppfølgingstest. Oppfølgingstesten blir brukte saman med annan relevant pedagogisk og fagleg informasjon for å forstå eleven sine vanskar og leggja grunnlag for vidare oppfølging og tilrettelegging i skulen.

    Personopplysningane blir behandla utelukkande for klart definerte og legitime føremål i skulesamanheng. Bruken er avgrensa til gjennomføring av testar, vurdering av resultat og oppfølging av elevar. Opplysningane skal ikkje nyttast til andre føremål, verken internt eller eksternt, og ikkje til evaluering av lærarar, generell forsking, marknadsføring eller samanstilling med andre register. Alle brukarar med tilgang er gjorde kjende med denne føremålsavgrensinga.

    Eit avgrensa unntak gjeld Hjelmeland kommune, der enkelte klassar deltek i ein normeringsstudie knytt til vidareutvikling av Dysmate-testane. Denne vidarebehandlinga er avtalefesta, tidsavgrensa og vurdert som foreinleg med det opphavlege føremålet, då ho har som mål å betra kvaliteten på testane til beste for elevane. For Sauda, Suldal og Strand kommunar er behandlingsføremålet strengt avgrensa til ordinær kartlegging og oppfølging av elevar i skulen.

    Blir personopplysningane brukte til…

    … kontrollføremål (skatt, NAV, toll, politi, forsikring)?
    … systematisk og omfattande analyse av personlege aspekt?
    … avgjerder som får betydning for den registrerte?
    … profilering av den registrerte?
    … avdekka ukjende sider eller mønster?
    … vidarebehandling til nye formål (t.d. forsking)?

    Løysinga er utforma med prinsippet om dataminimering i fokus. Det vert ikkje samla inn fleire opplysningar enn det som er nødvendig for å oppnå formålet med testinga. Kvar enkelt datavariabel som blir etterspurt, er vurdert og grunngitt pedagogisk (t.d. treng ein fødselsdato for å berekne elevens alder opp mot normen, klassetrinn for å vurdere resultata, osv.). Dersom ein opplysning ikkje er naudsynt, blir den heller ikkje registrert. For eksempel er anamnese-delen valfri og som standard deaktivert for å unngå innsamling av unødig sensitive opplysningar. Skulane kan la vere å aktivere anamnese dersom dei meiner dei klarer seg utan – slik kan ein minimere mengda helseopplysningar. Vidare kan ein del personfelt stå tomme: Systemet treng eigentleg berre at kvar elev har ei unik identifikasjon (som Feide-ID), klassetrinn og namn for at testinga skal fungere korrekt. Felt som e-postadresse eller telefonnummer er ikkje strengt nødvendige for testformålet og kan droppast (dei er mest for kommunikasjon ved behov). Ein har høve til å bruke pseudonyme identifikatorar (t.d. elevID, initialar) i staden for fulle namn i systemet, dersom ein ønskjer å skjerma identiteten – Dysmate støttar at lærar kan registrere ein elev med kode i staden for namn, så lenge lærar veit kven koden refererer til. Dette kan brukast ved særlege behov for anonymisering, men normalt registrerer ein namn for praktisk bruk. Allereie ved design av systemet har leverandøren følgt prinsippet privacy by default, ved at felt som ikkje treng utfylling, er valfrie, og ved at systemet som nemnt ikkje aktiverer ekstra datainnsamling utan at skulen sjølv tar grep. I sum er berre nødvendige personopplysningar samla inn, og det er mogleg å justera detaljgraden ned etter behov (t.d. ikkje ta oppfølgingstest om det ikkje er nødvendig, ikkje fylle ut anamnese om det ikkje trengst). Dette sikrar dataminimering i praksis.

    For å oppnå prinsippet om at personopplysningane skal vera korrekte og oppdaterte, har ein fleire tiltak. For det første kjem mange opplysningar direkte frå eleven sjølv eller offisielle kjelder (Feide), noko som normalt garanterer at dei er riktige – ein elev skriv t.d. sitt eige namn i Feide, og Feide er knytt til folkeregisteret for fødselsdato. Lærar som registrerer yngre elevar, nyttar informasjon frå skulen si elevliste som allereie er kvalitetssikra (klasselister, fødselsdatoar, osv.). For det andre blir testdata (svar på oppgåver) registrert elektronisk idet eleven svarar, og kan ikkje endrast i etterkant. Dette sikrar at data (resultat) ikkje vert utsett for manuell feilføring eller manipulering i ettertid – dei er ein direkte logg av elevens input. Systemet er utforma slik at ingen kan gå inn og endra ein elev sitt testresultat i etterkant; dette er viktig for integriteten (også om ein testleiar skulle ønskja å "rette opp" noko, finst ikkje funksjonalitet for det – ein må i så fall ta ny test). Personopplysningar som namn og e-post kan i utgangspunktet korrigerast av ein administrator om det oppdagast feil (t.d. stavefeil), men det er berre få som har slik admin-tilgang. Elles er det lite som treng oppdatering: fødselsdato endrar seg ikkje, klassetrinn er viktig at er rett når testen tas (og kan justerast av lærar før test om det ligg feil), og slike feil vil lærar som regel fanga opp. Feilaktige data kan også rettast ved at skulen kontaktar leverandøren, som kan oppdatere i databasen om det skulle være noko kritisk feil. I tillegg har ein sikra riktigheit over tidved å ikkje lagra data lenger enn 3 år; dermed unngår ein at utdaterte eller irrelevante opplysningar ligg att i systemet. Oppsummert: Riktigheit blir ivareteke gjennom direkte innhenting frå pålitelege kjelder, begrensa moglegheit for menneskelege feil (digital registrering), og rutinar for korrigering ved behov. Eventuelle diagnostiske konklusjonar (t.d. "dyslektisk elev") vert alltid kvalitetssikra av fagpersonar (PPT) uavhengig av systemet, slik at ingen elev feilaktig får ein merkelapp kun basert på feil data.

    Det er sett klare grenser for lagring av personopplysningar i Dysmate. Alle elevtestar blir automatisk sletta etter 3 år. Denne perioden er vurdert tilstrekkeleg for at skulen skal kunne nytte resultata i oppfølging og eventuelt overføre nødvendig informasjon til elevmappe. Etter 3 år er ikkje dataene lenger nødvendige for formålet (ein elev vil då som regel ha kome langt vidare i løp og nye testar kan takast om behov)

    Systemet har òg funksjon for tidleg sletting: Testadministrator kan initiere sletting av gamle testar allereie etter 3 månader, og desse vert då fjerna permanent etter ytterlegare 1 månad. Vidare sikrar kommunen at data ikkje blir lagra utover avtaletida: ved oppseiing av tenesta slettar leverandøren alle personopplysningar seinast innan 90 dagar. Kommunen har dessutan interne rutinar for lagringsavgrensing: tilsette skal ikkje lasta ned eller oppbevara Dysmate-data lokalt utover det som er nødvendig for saksbehandling. Til dømes, om elevens Dysmate-resultat skal leggjast ved ein PPT-rapport, blir det gjort, men sjølve Dysmate-systemet vil likevel sletta testdata etter 3 år. Det at data vert anonymisert og brukt i forsking (gjeld berre for Hjelmeland) påverkar ikkje dette prinsippet, då anonymiserte data ikkje er personopplysningar. Alt i alt sørgjer desse tiltaka for at personopplysningar ikkje blir lagra lenger enn det som er nødvendig for føremålet med behandlinga.

    Behandlingsansvarleg: Kvar av dei fire kommunane (ved kommunedirektøren eller delegert til kommunalsjef) er behandlingsansvarleg for behandlinga av personopplysningar om sine elevar. Dei fire kommunane samarbeider om prosessen, men kvar kommune har ansvar for at regelverket blir følgt for sine data.

    Databehandlar: Literate AS (leverandøren av Dysmate) er databehandlar og handsamar data utelukkande på vegner av kvar kommune, i tråd med inngått databehandlaravtale.

    Underleverandørar: Databehandlar sine underleverandørar er AWS (driftssenter i EU), Uninett AS (Feide-tenester), Benzin AS (utviklingspartner) og Signicat AS (BankID/Feide-løysing). Alle underleverandørar er godkjende i databehandlaravtalen, og er forplikta til å følgja dei same reglane.

    Databehandlaravtalar: Alle kommunane som skal bruka Dysmate har signert databehandlaravtalar med leverandøren. Hjelmeland sin avtale inkluderer eit spesifikt tillegg som godkjenner bruk av data til forsking. Dei andre kommunane sin avtale avgrensar bruken til ordinær drift (ingen forsking eller vidare deling).

    Personvernombod: Alle kommunane har utpeika personvernombod som har ansvar for å vareta dei registrerte sine interesser, og for å gje råd og rettleiing til skuleiegar.

    Systemansvarleg: Det er peika ut ein systemansvarleg kontaktperson som har det daglege ansvaret for forvaltning av Dysmate i samarbeidet.

    Ansvar og roller internt: Skuleeigar (kommunen) sørgjer for nødvendige beslutningar og ressursar, rektor/skuleleiing har operativt ansvar for gjennomføring lokalt, lærarar/PPT utfører testane og følger opp elevane, og personvernombodet og systemansvarleg støttar med råd, tilsyn og vedlikehald av avtalar/rutinar.

    Dei registrerte sine rettar og fridommar

    Kommunane sikrar at elevar og føresette får informasjon om Dysmate-behandlinga. Rett til informasjon vert ivaretatt gjennom personvernerklæringar og samtykkeskjema: Leverandøren si personvernerklæring for Dysmate er tilgjengeleg på nettsida, og kommunen gir utfyllande informasjon i brevs form til føresette før oppstart av testing. Informasjonen dekkjer kva data som blir samla, formål, rettsleg grunnlag, og kontaktpunkt for spørsmål. Vidare har kommunen sørgja for at testadministratorane har ei brukarstøtteside med vanlege personvernspørsmål, slik at dei kan svare elevane/foreldra godt. Når det gjeld rett til innsyn, kan ein elev (eller deira føresette) be om å få vite kva opplysningar som er registrert om dei. Sidan eleven sjølv ikkje har eigen innlogging til systemet, vil innsyn bli handtert via skulen: testadministrator kan hente ut elevens resultatrapport og opplysningar og formidle dette til den førespurnaden gjeld. For vidaregåande elevar over 18 år kan dei be kommunen eller direkte leverandøren om innsyn. I tillegg følgjer det av forvaltningslova §18 at ein part har rett til innsyn i dokument i saka si, og opplæringslova §5-4 tredje ledd gir elev/foresatte rett til å bli involvert i korleis spesialpedagogiske behov blir handtert – dette omfattar også Dysmate-resultata i den grad dei inngår i sakkyndig vurdering. Såleis vil ein elev/føresett i praksis få innsyn i testresultata sine gjennom dialog med skulen eller PPT, eller ved formell innsynskrav til kommunen. Kommunen legg til rette for å oppfylla innsynskrav raskt og i forståeleg form (typisk ved å utlevera ein skriftleg rapport med resultat og lagra opplysningar).

    Retting: Dersom ein elev eller føresett meiner at det er feil i registrerte personopplysningar, har dei rett til å få retta dette. Sidan elevdata hovudsakleg kjem frå Feide eller eleven sjølv, er feil sjeldne. Men dersom eksempelvis eit namn er feilstava eller feil klasse er registrert, kan skulen (testadministrator eller systemansvarleg) korrigera dette i Dysmate sitt administrasjonsgrensesnitt. Elevar har ikkje sitt eige grensesnitt for å endra data sjølve, så dei må kontakta skulen for å få utført rettingar. Testresultata i seg sjølve kan ikkje endrast (ein kan ikkje «rette» elevens svar i ettertid, då det ville undergrave testen sin integritet). Men dersom eit resultat skulle vera openbart feil på grunn av teknisk feil eller liknande, kan ein sletta testen og la eleven ta den på ny, som eit indirekte rettetiltak.

    Sletting: Rett til sletting (retten til å bli gløymd) blir handtert i Dysmate ved at ein elev/testkandidat kan få sletta sine data anten automatisk etter utløp av lagringstid eller på oppmoding. Som nemnt blir alle testar uansett sletta etter 3 år. Men dersom ein registrert ønsker å få sletta sine opplysningar tidlegare, kan dei eller deira føresette be om det. For elevar under 16 år må slik førespurnad gå via behandlingsansvarleg (kommunen/skulen. Til dømes kan føresette ta kontakt med skulen og krevje sletting. Skulen har då to vegar: Anten kan testadministrator sjølv sletta eleven sine testar dersom dei er over 3 månader gamle (jf. funksjonen for tidleg sletting), eller dei kan kontakte leverandøren for å få sletta ein elevprofil fullstendig. For elevar over 16 år (som i praksis kan samtykkje sjølve), har leverandøren etablert ein eige e-post deleteme@literate.no der ein kan retta slettingsførespurnad direkte. Ei slik sletting vil bli tolka som at eleven trekkjer tilbake eit eventuelt samtykke til behandling, og data blir sletta så lenge det ikkje finst anna lovgrunnlag som hindrar dette. I normaltilfelle vil skulen imøtekome slettingsførespurnader med mindre elevens data trengst for ein pågåande lovpålagt prosess.

    Avgrensing av behandling: Ein elev eller føresett kan i teorien be om at bruken av deira data blir midlertidig avgrensa (t.d. om dei meiner noko er feil og vil vente med vidare bruk til det er avklart). I praksis vil dette bli løyst ved at skulen eventuelt sett testing eller bruk av resultata på pause. Tekniske verktøy for avgrensing (frys av data) finst ikkje i Dysmate utover det at ein kan velje å ikkje ta testen eller ikkje seie oppfølgingstiltak. Men kommunen pliktar å respektere eit legitimt krav om avgrensing, som til dømes kan bety å ikkje dele resultata vidare til PPT før ein klage er behandla.

    Protest: I prinsippet kan ein registrert protestera på at kommunen behandlar deira data. Men sidan behandlinga er nødvendig for lovpålagde oppgåver (kartlegging i skule), vil kommunen i utgangspunktet kunne avslå ein protest dersom behandlinga er strengt nødvendig. Likevel vil kommunen måtta vurdera kvar enkelt protest individuelt. For eksempel kan ein føresett protestere på at barnet gjer ein bestemt test, fordi dei meiner det ikkje er nødvendig. Skulen kan då velje å bruke alternativ kartlegging eller liknande. Protest på sjølve datalagringa vil vanlegvis ikkje føra fram, så lenge skulen har plikt til å dokumentere elevens opplæring, men etter at testane er tatt, kan foreldre be om at data ikkje blir vidarebehandla, noko som i praksis overlappar med retten til sletting.

    Dataportabilitet: Denne retten gjeld berre for data behandla automatisk på grunnlag av samtykke eller avtale med den registrerte. Her er grunnlaget offentleg myndighetsutøving, så retten til dataportabilitet kjem ikkje automatisk til anvending. Elevane har altså ikkje krav på å få utlevert testdata i maskinlesbart format for å flytte til annan teneste, fordi det finst ingen alternativ leverandør å flytte til: Dysmate er eit unikt verktøy i regi av skulen. Likevel, skulle ein elev flytta til ein skule i ein annan kommune, kan den nye skulen få tilsendt rapportar manuelt dersom det er relevant for eleven sitt opplæringsløp (med samtykke frå føresette). Slik "portering" skjer då meir som ledd i samarbeidet mellom skulane, og ikkje via formell GDPR-portabilitet.

    Behandlinga sin påverknad på dei registrerte sine fridomar er nøye vurdert. I hovudsak er føremålet med Dysmate å styrka elvane sine rettar (retten til tilpassa opplæring) ved å avdekka behov tidleg, og ikkje å innskrenka fridomane deira. Likevel kan visse personvernrelaterte fridomar bli ramma om risikoane ikkje blir handterte, eksempelvis retten til privatliv og retten til å ikkje bli diskriminert.

    Det er ein viss risiko for at sensitive opplysningar om ein elev sine lesevanskar kan bli kjent, og føra til uønska behandling (stigma). Me ser òg på om denne databehandlinga kan påverka elevane sin fridom til å utvikla seg utan å føla at dei blir "overvaka".

    Vår vurdering er at inngrepet i elevane sine fridomar er proporsjonale og avgrensa. Det førekjem ingen skjult overvaking:  Elevane veit at dei tar ein test, og testane er avgrensa i tid. Systemet tar ikkje automatiske avgjerder som nektar eleven nokon tenester eller rettar; snarare tvert imot: Resultata blir brukte for å gje elevane ekstra hjelp og tilrettelegging.

    Ein kan argumentera for at elevane sin fridom til å velja sjølve (eksempelvis å takka nei til ein test) er avgrensa, men kommunen vurderer dette som nødvendig av omsyn til barna sitt beste og dette er forankra i lovkrav. Teieplikta syt for at kommunen behandlar resultata konfidensielt. Ein elev skal sleppa å bli sett i bås som "dårleg til å lesa". Vidare er retten til utdanning (som er ei grunnleggande fridom etter Barnekonvensjonen) styrka ved at ein gjer slike testar for å tilretteleggja utdanninga.

    Så lenge tiltaka i handlingsplanen blir følgde, vurderer me at behandlinga ikkje medfører uakseptable konsekvensar for den registrerte sine grunnleggande rettar og fridommar. Behandlinga er snarare eit hjelpemiddel for å sikra eleven sin rett til tilpassa opplæring.

    Risiko- og sårbarheitsvurdering

    Risiko: Testresultat kan bli tilgjengelege for feil person, anten gjennom feil tilknyting mellom elev og testleiar, eller gjennom uforsvarleg bruk av rapportar og utskrifter.

    Konsekvens: Middels. Brot på konfidensialitet for sensitive elevopplysningar, med risiko for stigmatisering og svekka tillit.

    Sannsyn: Låg. Rollebasert tilgang og innebygde avgrensingar reduserer risikoen, men menneskeleg feil kan framleis skje.

    Tiltak:

    • Rollebasert tilgang i Dysmate
    • Testleiar har berre tilgang til elevar knytta til sin eigen konto
    • Logging av innsyn
    • Aktiv handling krevst for å generera rapportar
    • Tilgang avgrensa til sertifiserte brukarar

    Rest-risiko: Låg til middels. Risikoen er i hovudsak knytt til menneskeleg bruk av funksjonar og handtering av rapportar, ikkje tekniske svakheiter i systemet.

    Risiko: Testresultat kan bli feil eller knytt til feil elev, grunna menneskelege feil i gjennomføringa (feil elev, uro, feil instruksjon eller feil val av elevprofil), samstundes som resultata blir lagra og brukt vidare som om dei er korrekte.

    Konsekvens: Middels. Kan føra til feil faglege vurderingar, feil eller manglande oppfølging, og alvorlege feil i elevgrunnlaget.

    Sannsyn: Låg til middels. Avhengig av korrekt bruk av verktøyet, sjølv om innebygde kontrollar reduserer risikoen.

    Tiltak:

    • Krav om sertifisering for bruk av Dysmate
    • Standardiserte testprosedyrar i løysinga
    • Elevval må gjerast eksplisitt i Dysmate
    • Avgrensa moglegheit til å endra resultat eller identitet i etterkant
    • Logging av aktivitet

    Rest-risiko: Middels. Sjølv med gode kontrollar er integriteten avhengig av korrekt gjennomføring i praksis, og menneskelege faktorar kan framleis påverka resultata.

    Det er ikkje identifisert risikoar knytt til tilgjengelegheit, utover det som allereie er vurdert på overordna nivå og i vurderinga av personvern i Feide.

    Risiko: Elevane og føresette kan oppleva at dei ikkje har reell medbestemming om eigen data eller deltaking i Dysmate-testing, sidan screeningtestane i praksis er obligatoriske, og testleiar som hovudregel vil gjennomføra oppfølgingstest på dei elevane som screeningtesten fangar opp.

    Konsekvens: Middels. Kan svekka tillit, skapa uro og i nokre tilfelle motstand mot testane. Kan òg bli eit rettsleg problem dersom samtykke gir inntrykk av val som eigentleg ikkje finst.

    Sannsyn: Middels. Dei fleste følgjer opplegget, men enkelte føresette eller elevar kan reagera.

    Tiltak:

    • Tydeleg informasjon om kvifor testane er nødvendige
    • Moglegheit for føresette å ta kontakt med skulen/PPT for å drøfta reservasjonar
    • Alternative opplegg kan vurderast i særlege tilfelle
    • Samtykke blir brukt dersom lovgrunnlaget åleine ikkje strekk til (for eksempel ved registrering av anamnese)
    • Alderstilpassa informasjon til elevane, med høve til å stilla spørsmål

    Rest-risiko: Låg. Elevane og føresette får betre forståing og opplever større grad av involvering.

    Risiko: Manglande openheit om Dysmate-bruken gjer at elevar og føresette ikkje forstår kva som skjer med personopplysningane. Dette kan svekka tillit, særleg dersom det ikkje blir tydeleg kommunisert at anonymiserte resultat blir brukte til forsking (gjeld berre Hjelmeland kommune).

    Konsekvens: Kan føra til klager og motstand. Elevane mistar reell moglegheit til å bruka rettane sine fordi dei ikkje veit om dei.

    Sannsyn: Moderat utan tiltak. Informasjon kan lett bli oversett i ein travel skulekvardag.

    Tiltak:

    • Personvern er del av opplæringa for testadministratorar
    • Skriftleg informasjon til føresette før oppstart
    • Informasjon om Dysmate og personvern på Ryfylkeskulen.no
    • Tydleg kommunikasjon om anonym forskingsbruk og reservasjonsrett (gjeld berre i Hjelmeland kommune)

    Rest-risiko: Låg. Dei fleste vil få med seg den viktigaste informasjonen.

    Risiko: Behandlinga kan bli opplevd som uføreseieleg dersom elevar og føresette ikkje forstår kva som skjer vidare med opplysningane, eller dersom nye bruksmåtar dukkar opp utan at dei er venta.

    Konsekvens: Kan skapa uro og svekka tillit. I verste fall kan det kjennast som eit inngrep i personvernet dersom data blir brukt på måtar dei ikkje kjende til.

    Sannsyn: Låg til moderat. Praksisen er nokså standard, men deltaking i normeringsstudie kan gjera behandlinga mindre føreseieleg.

    Tiltak:

    • Alle steg i prosessen blir forklart på førehand
    • Elevane veit at lærar ser resultat og kan involvera PPT
    • Ingen bruk av data utover det som er kommunisert
    • Forsking skjer berre etter innhenta samtykke
    • «Privacy by design» som standard (anamnese av, avgrensa deling)

    Rest-risiko: Låg. Prosessen liknar kjende rutinar i skulen, som elevar og føresette er vande med.

    Etter å ha gjennomført risikoanalysen og identifisert tiltaka ovanfor, vurderer vi at alle vesentlege personvernrisikoar ved Dysmate er håndterte og reduserte til eit akseptabelt nivå. Ingen av dei gjenståande risikoane framstår som "høge risikoar" som skulle tilseie at behandlingsaktiviteten ikkje kan starte. Risiko knytt til barns personvern (sårbar gruppe) er mitigert gjennom informasjon og begrensa bruk; risiko for datalekkasje er svært låg etter omfattande sikkerheitstiltak; risiko for misbruk av data til andre formål er praktisk talt eliminert av avtalefesting og tilgangsstyring.

    Dei restrisikoane som finst, må reknast som akseptable i lys av nytteverdien for elevane. For eksempel: Det er alltid ein liten risiko for feildiagnostisering basert på testresultat, men dette er kjent og moderert ved at testresultat alltid blir vurdert i ein større pedagogisk samanheng – denne risikoen er akseptabel når ein veit gevinsten er tidlegare hjelp til dei som treng det. Ein annan restrisiko er at ein eller annan lærar handsamar data feil (t.d. gløymer å logge ut, eller deler resultat til uvedkommande i beste meining). Dette kan skje, men med opplæring og rutinar er sannsynet liten og konsekvensen avgrensa – akseptabel gitt tiltak.

    DPIA-en har ikkje avdekt behov for store fleire tiltak utover dei som alt er planlagde. Personvernombodet hadde nokre innspel (som å presisere forskingsbruken tydeleg, og utgreie pseudonymiseringsmoglegheit), og dette er teke inn. Vi foreslår likevel to forbetringar: (1) Utarbeide ein lettfatteleg personvern-info brosjyre til elevane (særleg ungdomsskuletrinnet) for å auke forståinga deira – dette kan ytterlegare redusere risiko for uro/ubehag. (2) Sørgje for at Sauda og Suldal formelt inngår databehandlaravtale og ikkje tek i bruk Dysmate før det – dette er ein nulltoleransekrav for oppstart. Når desse to tiltaka er gjennomførte, er restrisiko enno lågare.

    Med tiltaka på plass vurderer vi restrisiko for kvar identifiserte kategori slik: Risiko for personopplysningsskade ved sikkerheitsbrot: låg. Risiko for krenking av elevens privatliv/tillit: låg (nokre elevar kan oppleve litt ubehag, men tiltaka reduserer det). Risiko for manglande oppfylling av rettar: låg (rutinar på plass). Difor konkluderer vi at den samla restrisikoen er akseptabel, og at behandlinga kan gjennomførast lovleg og ansvarleg.

    Tiltak

    Arkitektur og drift: Systemet køyrer i AWS med høg pålitelegheit. AWS-miljøet følgjer beste praksis for sikring av nettverk (isolerte virtuelle nett, tilgangskontrollistar, overvaking av uvanleg trafikk). Det finst DDoS-beskyttelse slik at systemet ikkje knekk under ytre angrep.

    Oppdateringar og vedlikehald: Leverandøren held systemet oppdatert med siste sikkerheitsoppdateringar for programvare og rammeverk. Det er etablert rutinar for handtering av uønska hendingar, for eksempel ein beredskapsplan ved tryggleiksbrot: Leverandøren skal varsla kommunen umiddelbart og seinast innan 24 timar ved avvik.

    Brukaradministrasjon: Kommunen har eit system for tilgangsstyring, der ein fører oversikt over kven som har Dysmate-tilgang. Listene blir reviderte jamnleg – minst éin gong i året – og ein fjerna tilgangen for dei som ikkje lenger treng tilgang, for eksempel når lærarar seier opp eller byter jobb.

    Fysisk sikkerheit: Alle data er tilgjengelege frå skya, og den fysiske sikringa gjeld difor berre for AWS sitt datasenter (tilgangsrestriksjonar, vakthald, brannvern, backup-strøm etc.). Ingen sensitive data skal lagrast lokalt på dei tilsette sine einingar, og all tilgang til data skal hentast via nettlesar for å minimera lokale spor. Dersom ein har behov for fysisk eller digital mellomlagring, for eksempel for å henta ut rapportar frå Dysmate for vidare behandling av PPT eller som vedlegg, skal den lokale kopien slettast så snart data er lasta opp til riktig lagringsplass.

    Opplæring: Bevisstheita om personvern og informasjonstryggleik blant personalet er styrka. Tilsette får opplæring i både Dysmate, men òg i trygg databehandling, for eksempel at dei ikkje skal skriva ut testresultat unødvendig, eller i alle fall oppbevara utskrifter sikkert.

    Retningslinjer: Dysmate er omfatta av kommunane sine eksisterande retningsliner for datatryggleik, mellom anna krav om sterke passord som blir handtert i Feide, krav om ikkje å dela kontoar og krav om å rapportera eventuelle avvik.

    Gjenoppretting: Leverandøren har scenario for å testa at data kan gjenopprettast etter uhell (f.eks. jamnlege restore-testar frå backup).

    Innebygd personvern: Systemet er designa for å samsvara best mogleg med gjeldande personvernregelverk, mellom anna at det ikkje bruker informasjonskapslar til meir enn det som er nødvendige for innlogging, og at det ikkje samlar inn metadata om bruk utover det som trengst for å drifta løysinga.

    Avtaleverk: Databehandlaravtalen forpliktar leverandøren til å følgja GDPR art. 32 (sikkerheit), og kommunen har rett til å gjennomføra revisjon.

    Styringssystem for personvern: Kommunane har internkontroll for personvern som omfattar oversikt over alle system (inkl. Dysmate), utpeikt ansvarleg (systemeigar) og rutinar for jamleg gjennomgang.

    Personvernombodet si rolle: Personvernomboda i kommunane får høve til å gje innspel til DPIA-rapporten, og dei har høve til å sjekka om nødvendige tiltak blir gjennomførte. Eventuelle råd frå personvernomboda skal følgjast.

    Opplæring og bevisstgjering: Før Dysmate kan brukast, skal alle involverte lærarar og PPT-tilsette gjennomføra nødvendig opplæring både i bruk av systemet og korleis dei skal handtera data ansvarleg og i tråd med personvernregelverket.

    Rutinar og prosedyrar: I dag er det avgrensa grad av formaliserte, dokumenterte rutinar knytt til bruk av Dysmate. I praksis er det slik at testleiar har nødvendig kompetanse og kjenner til korleis testinga skal gjennomførast fagleg og forsvarleg, inkludert handtering av testresultat og dialog med elev og føresette. Det er per ikkje etablert eigne, systematiske rutinar for informasjon til føresette, handtering av innsyns- og slettingskrav, dokumentasjon av samtykke der dette er aktuelt, eller regelmessig kontroll av tilgangar og lagringstid, utover det som følgjer av generell praksis i skulen og leverandøren sine innebygde mekanismar.

    Avtaleverk og forpliktingar: Alle kommunane som bruker Dysmate har signert databehandlaravtale med leverandøren.

    Kontroll og revisjon: Kvart år, og fortløpande ved større endringar, skal ein gjennomgå DPIA og revidera behandlingsprotokollen for bruken av Dysmate. Systemansvarleg skal jamnleg kontrollera at gamle brukarar blir sletta og at sletting av testar skjer som forventa. Personvernombodet kan gjera stikkprøvar.

    Dokumentasjon: Alle tiltak og vurderingar skal dokumentertast i denne DPIA og tilhøyrande ROS-analyse.

    Forankring i leiinga: Leiinga i kvar kommune er informerte om behandlinga, og skal vurdera og eventuelt godkjenna DPIAen.

    Innebygd personvern: Løysinga samlar berre inn data som er absolutt nødvendig, som skildra under dataminimering. Anamnese-funksjonen er frivillig og avslått som standard, noko som garanterer at sensitive helseopplysningar ikkje vert innhenta utan aktiv vurdering av nytten. Vidare er alle personopplysningar knytt til testane begrunna i føremålet og dokumentert i systemet.

    Pseudonymisering/anonimisering: Elevens identitet kan skjermast ved å bruka elevkode i staden for namn dersom ønskeleg. Alle data som eventuelt går inn i forsking, eksempelvis normeringsstudien som enkelte klassar i Hjelmeland kommune deltar i, blir anonymisert eller aggregert slik at enkeltpersonar ikkje kan identifiserast.

    Avgrensa lagring: Automatiske sletting etter 3 år syt for at data ikkje blir liggande lenger enn nødvendig.

    Avgrensa tilgang: Berre dei som treng det for oppfølging av eleven, får sjå data (lærar, PPT), og tilgangsstyringa i systemet er konfigurert deretter.

    Innsyns- og slettemekanismar: Den registrerte (eller føresette) har moglegheit til å få innsyn og be om sletting, og for elevar over 15 år har leverandøren lagt til rette for ei løysing der ein kan senda e-post for å be om sletting.

    Innhenting av samtykke: For delar av behandlinga som ikkje fell tydeleg inn under lovpålegg, som anamnese for ungdom, blir elev/føresette bedne om samtykke, og dei kan då nekta for denne behandlinga utan at hovudføremålet (screening) blir hindra.

    Informasjonskontroll: Skulane har rutinar for å ikkje lagra eller utveksle opplysningar på ein måte som aukar inngrepet. For eksempel skal rapportar frå Dysmate handterast konfidensielt, og berre delast med dei det gjeld.

    Kryptering: All personidentifiserande informasjon er kryptert, både under transport (SSL/TLS) og i databasen (AES-256). Dette hindrar at nokon snappar opp elevdata underveis eller ved eventuelle datainnbrudd.

    Autentisering og autorisering: Feide-pålogginga sikrar at berre verifiserte brukarar (tilsette i skulen) kjem inn. Sterk autentisering skal vera aktivert i Feide Kundeportal, og berre godkjende brukarkontoar (tilordna via systemansvarleg sin brukeradministrasjon) skal ha tilgang. Vidare har Dysmate rollestyring som passar på at ein lærar berre får sjå data for elevane som vedkommande har ansvar for.

    Logging og sporbarheit: Alle lesetilgangar og endringar i systemet blir logga med brukarnamn og tidsstempel. Kommunen (og leverandøren via DPO) kan gjennomgå loggar ved mistanke om misbruk. Dette verkar preventivt mot at nokon urett prøver å snoke i data, fordi det vil etterlate spor.

    Konfidensialitetsavtaler: Alle skuleansatte som får tilgang til Dysmate, er allereie underlagt teieplikt etter opplæringslova, og kommunen har interne retningslinjer som dei har signert på. Leverandøren sine ansatte har tilsvarande konfidensialitetsklausular i sine kontraktar.

    Sikker kommunikasjon: Når testresultat skal delast med PPT eller føresette, vert sikre kanalar nytta (ikkje sende personopplysningar ukryptert på e-post; heller i møtet, via sikra saksbehandlingssystem eller kryptert melding).

    Dataintegritet: Systemet inneheld mekanismar som validerer data (t.d. kan ikkje usanne fødselsnummer leggast inn, formatkontrollar). Og testresultata genererast maskinelt ut frå elevens input, noko som eliminerer risiko for feilberekning.

    Testing og kvalitetsvurdering: Leverandøren har gjennomført sikkerheitstesting av løysinga (inkludert penetrasjonstestar for vanlege sårbarheiter) og funna er utbetra.

    Sikkerheitskopiering: Data vert jamleg sikkerheitskopiert (kryptert) og lagra separat, slik at ein kan gjenskape data ved teknisk feil utan å miste integriteten. Sikkerheitskopiar følgjer same sletteregime, det vil seia at dei blir sletta når dei ikkje trengst lenger.

    Avgrensa eksport: Det er ingen generell eksportfunksjon som tillet at heile datasettet blir lasta ned av brukarane. Lærarar kan berre ta ut éin rapport per elev. Dette reduserer faren for større datalekkasje via sluttbrukar.

    Omsynet til interessentar

    Personvernombodet i Hjelmeland kommune, Anne Auglend, har gått gjennom utkast til DPIA, og understrekar særleg viktigheita av informasjonsplikta: Sidan Dysmate blir brukt til å kartlegga lese- og skriveferdigheiter blant elevar i grunnskulen, er det viktig at elevar og føresette får utfyllande og forståeleg informasjon; heller éin gong for mykje enn for lite. Tiltak 1 og 2 i handlingsplanen dekker behovet for informasjon.

    Personvernombodet understrekar òg at bruk av Dysmate til forsking krev tydeleg avgrensing, noko som kjem fram av Hjelmeland kommune sin databehandlaravtale med leverandøren, der det eksplisitt kjem fram kva reglar som gjeld bruk av personopplysningar til forskingsføremål.

    Personvernombodet har ingen motførestillingar mot at Dysmate blir tatt i bruk når dei føreslegne tiltaka er på plass, og støttar konklusjonen om at restrisikoen er akseptabel under desse føresetnadene.

    I arbeidet med DPIA har me vurdert synspunkt frå dei registrerte gjennom erfaringar frå pilotering av Dysmate ved Hjelmeland skule (Hjelmeland kommune) og Fjelltun skole (Strand kommune). Dei føresette har fått informasjon om Dysmate-kartlegginga i skulen, med opning for å stilla spørsmål, og så langt har det ikkje kome motstand eller spørsmål til sjølve testinga.

    Elevane har avgrensa føresetnad for å vurdera personvern, men kan vera opptekne av om dei kjenner seg utpeika. Me legg difor vekt på alderstilpassa informasjon i klasserommet og høve til å stilla spørsmål i samband med testinga, både screeningtesten og oppfølgingstesten.

    Samla sett opplever me at elevar og føresette aksepterer behandlinga, så lenge den openheit og gode grunngjevingar for kartlegginga. Me vil vurdera tiltaka dersom det kjem inn nye synspunkt eller klager.

    Strand kommune
    Vel målgruppe:
    Elev
    Tilsett
    Føresett
    Vel målgruppe:
    Elev
    Tilsett
    Føresett