Tjenesteleverandør til opplæring

Skal du levere digitale tjenester til skoler i Vestfold fylkeskommune? Denne siden gir deg informasjon om krav ved anskaffelse og tjenesteavtale, inkl. personopplysningsvern, universell utforming av IKT, og kompetanseutvikling/onboarding for ansatte og elever.

Anskaffelse og tjenesteleveranse

Eksisterende rammeavtaler for digitale læringsressurser

Skolene i Vestfold fylkeskommune skal fortrinnsvis anskaffe pedagogisk programvare og digitale læremidler gjennom enten BS Undervisning eller Crayon. Som leverandør bør dere i første omgang påse at deres tjenester er tilgjengelig gjennom disse tilbyderne. For anskaffelser som ikke omfattes av bestemmelsene i rammeavtalene gjelder øvrig regelverk og prosess for offentlig anskaffelser. Alle databehandleravtaler skal inngås med Vestfold fylkeskommune, som del av en aktuell anskaffelse.

Digitale læringsressurser med kunstig intelligens

Dersom tjenesten dere leverer inkluderer eller bygger på maskinlæringsmodeller, slik som språkmodeller, så skal dere opplyse om dette. Vi stiller særskilte krav til denne type tjenester.

Det er nødvendig at dere da inkluderer informasjon om:

hvilke modeller dere benytter, fra hvilken tilbyder eller om de er egenutviklede, og om modellvektene er åpent tilgjengelige.
arkitekturskisse og redegjørelse for dataflyt mellom tjenestekomponentene og hvilke kategorier av data, inkl. personopplysninger som behandles i disse.
om tjenesten inkluderer regelsett som er eksterne til maskinlæringsmodellen, slik som instrukser til hvordan modellen skal fortolke konsepter og begreper, så skal disse fremlegges.

Listen er ikke uttømmende, men et grunnlag for videre dialog.

Personopplysningsvern

Databehandleravtale

Alle digitale læringsressurser må svare til de overordnede personvernprinsippene, krav om tilgangsstyring i forskrift til opplæringsloven, samt annen relevant lovgivning — før de kan tas i bruk i opplæringen. For leverandører som engasjeres som databehandler på vegne av fylkeskommunen som behandlingsansvarlig, forutsetter det nødvendig kompetanse og en forståelse i virksomheten for de ansvar og plikter som følger av personvernforordningen artikkel 28.

For avtale om behandling av personopplysninger i digitale læringsressurser, benytter Vestfold fylkeskommune malen til Digitaliseringsdirektoratet, for databehandleravtale inkl. vedlegg. Dersom en skole ønsker å anskaffe en digital læringsressurs fra dere, vil de ta kontakt med fylkesadministrasjonen for å be om nødvendig vurdering av tjenesten og igangsettelse av prosess. Det er viktig at dere som leverandør kan frembringe nødvendig dokumentasjon i denne prosessen. Databehandleravtalen i seg selv er et offentlig dokument, men dokumentasjon og vurderinger av teknisk og organisatorisk innretning relatert til tjenesten vil kunne være underlagt taushetsplikt og unntatt offentlighet.

Noen viktige punkter ang. databehandleroppdraget:

Vestfold fylkeskommune er behandlingsansvarlig i alle tilfeller der elever og ansattes personopplysninger behandles i en digital tjeneste som benyttes i forbindelse med opplæringen.
Formål og behandlingsgrunnlag er utelukkende definert av Vestfold fylkeskommune, og viderebehandling av personopplysninger skal ikke forekomme utenom for arkiv-, forsknings- eller statistiske formål der det ansees å være forenlig med personvernforordningens artikkel 89-1.
- Vestfold fylkeskommune aksepterer ikke viderebehandling av personopplysninger til analyse- eller maskinlæringsformål uforenlig med opprinnelig formål og behandlingsgrunnlag.
- Ingen tjenester til bruk i opplæringen skal behandle opplysninger uten direkte instruks fra fylkeskommunen som behandlingsansvarlig; inklusiv analysedata til utviklingsformål, jf. personvernforordningens artikkel 29.
Innebygget personvern, som sørger for ivaretakelse av personvernprinsippene, skal være fundamentalt til utvikling av tjenesten.
- Prinsippet om dataminimering er et viktig tiltak som databehandler kan etterstrebe i forkant av prosess med databehandleravtale. F.eks. dersom det eneste behovet til tjenesten er å verifisere om en bruker er tilknyttet en skole med aktiv lisens, og ønsker å lese data fra feidekatalogen, så er det kun nødvendig å lese attributter relatert til brukerens organisasjonstilknytning og/eller skoleliste.
- Det må implementeres automatiske sletterutiner som kan ivareta kravene til sletting som stilles i databehandleravtalen.
Leverandør skal kunne dokumentere sin tekniske og organisatoriske innretning i et styringssystem for informasjonssikkerhet, samt iverksette endringer etter innspill.
- Alle sikkerhetstiltak, organisatoriske og tekniske, skal fattes på bakgrunn av den aktuelle behandlingen — ikke ut ifra generelle risikobetraktninger jf. personvernforordningens artikkel 32.
- Metode for pseudoanonymisering eller anonymisering skal beskrives i detalj og på slik måte at det kan ansees som en tilstrekkelig garanti for at valgt metode fungerer etter formål.
- Alle tjenester til bruk i opplæringen som behandler personopplysninger og muliggjør brukergenerert innhold, skal fortrinnsvis autentisere bruker og tilgangsstyre på roller via Feide.
Digitale læringsressurser skal ikke behandle personopplysninger utenfor EØS eller godkjente tredjeland — eller behandle personopplysninger etter en risikobasert tilnærming for tredjelandsoverføringer, f.eks. standard kontraktsklausuler (SCC) av 4. juni 2021.
- Eks. analyseverktøy for markedsføringsformål eller supportsystem med behandlingslokasjon i USA, utgjør type tjenester og underdatabehandlere som ikke er forenlig med personvernprinsippene og krav om tilstrekkelig beskyttelse for den registrerte.
Inngått databehandleravtale forplikter leverandør til å opptre etter bestemmelser som følger databehandleroppdraget iht. personopplysningsloven artikkel 28.
- Løpende dialog og dokumentasjon ved forespørsel, bidrar til å muliggjøre en transparent behandling, samt å tilrettelegge for at tjenesten skal kunne videreutvikles.
- For tjenester som kan benyttes til å evaluere læring, mestring og trivsel i skolen, vil fylkeskommunen være pålagt å gjennomføre en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet (DPIA) jf. personopplysningslovens artikkel 35.. Databehandler er forpliktet til å bistå fylkeskommunen med sin innsikt om egen tjeneste, i dette arbeidet.

Dere vil få tilsendt mal for databehandleravtale, kravspesifikasjon for informasjonssikkerhet (vi benytter kravspec.kins.no), samt at dere kan gi en gjennomgang av løsning og tilrettelegge for en pilot, som del av dokumentasjons- og vurderingsarbeidet.

Universell utforming av IKT

Alle digitale læringsressurser brukt i grunnopplæringen skal svare til kravene om universell utforming av IKT — om å gjøre webinnhold tilgjengelig for personer med funksjonsnedsettelse. Se WCAG 2.1 retningslinjene.

Kompetanseutvikling og onboarding

For at alle brukere, elever og ansatte, skal være i stand til å bruke digitale læringsressurser på en hensiktsmessig måte og etter formålet, er det nødvendig med god tilgang på opplæringsressurser og en prosess for å introdusere funksjonalitet og "bestepraksis". På intranett og elevsida, finnes brukertilpassede ressurser i form av tekst, steg-for-steg-instrukser og video. For at vi skal kunne tilgjengeliggjøre deres ressurser er det nødvendig med oversikt over innhold som enten kan "embedes" eller lenkes til fra relevante ressurssider.

Politikk og samfunn

Samfunnsutvikling og tjenester

Kunnskap om Vestfold

Om oss