Anskaffelse og tjenesteleveranse
Eksisterende rammeavtaler for digitale læringsressurser
Skolene i Vestfold fylkeskommune skal fortrinnsvis anskaffe pedagogisk programvare og digitale læremidler som avrop på rammeavtaler med enten BS Undervisning eller Crayon. For skolene som deltar i FoU-prosjektet AVT, kan digitale læremidler også anskaffes gjennom rammeavtaler tilknyttet BRUK. Som leverandør bør dere i første omgang påse at deres tjenester er tilgjengelig gjennom rammeavtalene til Vestfold fylkeskommune. For anskaffelser som ikke omfattes av bestemmelsene i rammeavtalene gjelder øvrig regelverk og prosess for offentlig anskaffelser.
Digitale læringsressurser med kunstig intelligens
Dersom tjenesten dere leverer inkluderer eller bygger på maskinlæringsmodeller, slik som språkmodeller, så skal dere opplyse om dette. Vi stiller særskilte krav til denne type tjenester.
Det er nødvendig at dere da inkluderer informasjon om:
- sentrale designvalg i tjenesten og til hva det er tenkt at lærere og elever skal bruke tjenesten.
- KI-tjenester skal ikke generere respons som manipulerer eller forleder brukeren på slik måte at det kan svekke tilliten til læringsressurser brukt i opplæringen. Dette inkluderer KI-systemer med agentisk atferd, slik som:
- KI-systemer designet for å etterligne historiske personer eller roller som typisk innehas av personer, og som eleven kan knytte særlig tillit til.
- KI-systemer som forsøker å analysere emosjon, eller å etterlikne eller tilpasse respons til brukerens emosjon.
- KI-tjenester skal ikke generere respons som manipulerer eller forleder brukeren på slik måte at det kan svekke tilliten til læringsressurser brukt i opplæringen. Dette inkluderer KI-systemer med agentisk atferd, slik som:
- hvilke modeller som benyttes, fra hvilken tilbyder eller om de er egenutviklede, og om modellvektene er åpent tilgjengelige og bygger på andre modeller.
- Modellkort skal helst spesifisere treningsdatasett/korpus og estimert energiforbruk basert på eksemplifiserte oppgaver.
- Leverandøren er ansvarlig for å levere innholdstjenester som bygger på lovmessig lisensiering av åndsverk.
- tjenesten inkluderer regelsett som er eksterne til modellen, slik som instrukser til hvordan modellen skal fortolke konsepter og begreper.
- Eksempelvis ved bruk av teknikker som RAG, til berikelse av utdata basert på en ekstern nettbasert kunnskapsbase.
- moderasjon og andre mekanismer for å hindre produksjon av misvisende, villedende eller skadelig innhold.
- arkitekturskisse og redegjørelse for dataflyt mellom tjenestekomponentene og hvilke kategorier av data, inkl. personopplysninger som behandles i disse.
- Inklusiv bruk av APIer mellom modell, skytjeneste og brukergrensesnitt.
- KI-tjenester integrert i digitale læringsressurser skal ikke gi mulighet til å utføre kall mot tredjepartstjenester som kan føre til skader og et ansvarsgrunnlag for personer eller for Vestfold fylkeskommune.
- behandling av personopplysninger (direkte og indirekte identifiserbare) ved bruk av maskinlæringsmodeller i tjenesten, inkludert tilgangsstyring hos databehandler og underdatabehandlere.
- Inkluderer tilgang til og omfang av logger og brukerdata.
Listen er ikke uttømmende, men skal danne et grunnlag for videre dialog.
Personopplysningsvern
Databehandleravtale
Alle digitale læringsressurser må svare til de overordnede personvernprinsippene, krav om tilgangsstyring i forskrift til opplæringsloven, samt annen relevant lovgivning — før de kan tas i bruk i opplæringen. For leverandører som engasjeres som databehandler på vegne av fylkeskommunen som behandlingsansvarlig, forutsetter det nødvendig kompetanse og en forståelse i virksomheten for de ansvar og plikter som følger av personvernforordningen artikkel 28.
For avtale om behandling av personopplysninger i digitale læringsressurser, benytter Vestfold fylkeskommune malen til Digitaliseringsdirektoratet, for databehandleravtale inkl. vedlegg. Dersom en skole ønsker å anskaffe en digital læringsressurs fra dere, vil de ta kontakt med fylkesadministrasjonen for å be om nødvendig vurdering av tjenesten og igangsettelse av prosess. Det er viktig at dere som leverandør kan frembringe nødvendig dokumentasjon i denne prosessen. Databehandleravtalen i seg selv er et offentlig dokument, men dokumentasjon og vurderinger av teknisk og organisatorisk innretning relatert til tjenesten vil kunne være underlagt taushetsplikt og unntatt offentlighet.
Noen viktige punkter ang. databehandleroppdraget:
- Vestfold fylkeskommune er behandlingsansvarlig i alle tilfeller der elever og ansattes personopplysninger behandles i en digital tjeneste som benyttes i forbindelse med opplæringen.
- Formål og behandlingsgrunnlag er utelukkende definert av Vestfold fylkeskommune, og viderebehandling av personopplysninger skal ikke forekomme utenom for arkiv-, forsknings- eller statistiske formål der det ansees å være forenlig med personvernforordningens artikkel 89-1.
- Vestfold fylkeskommune aksepterer ikke viderebehandling av personopplysninger til analyse- eller maskinlæringsformål uforenlig med opprinnelig formål og behandlingsgrunnlag.
- Dersom tjenesten skal utlevere personopplysninger for viderebehandling til forskningsformål, så skal det kun gjøres etter avtale med Vestfold fylkeskommune, samt et informert samtykke fra den registrerte om deltakelse i forskning.
- Ingen tjenester til bruk i opplæringen skal behandle opplysninger uten direkte instruks fra fylkeskommunen som behandlingsansvarlig; inklusiv analysedata til utviklingsformål, jf. personvernforordningens artikkel 29.
- Innebygget personvern, som sørger for ivaretakelse av personvernprinsippene, skal være fundamentalt til utvikling av tjenesten.
- Prinsippet om dataminimering er et viktig tiltak som databehandler kan etterstrebe i forkant av prosess med databehandleravtale. F.eks. dersom det eneste behovet til tjenesten er å verifisere om en bruker er tilknyttet en skole med aktiv lisens, og ønsker å lese data fra feidekatalogen, så er det kun nødvendig å lese attributter relatert til brukerens organisasjonstilknytning og/eller skoleliste.
- Det må implementeres automatiske sletterutiner som kan ivareta kravene til sletting som stilles i databehandleravtalen.
- Leverandør skal kunne dokumentere sin tekniske og organisatoriske innretning i et styringssystem for informasjonssikkerhet, samt iverksette endringer etter innspill.
- Alle sikkerhetstiltak, organisatoriske og tekniske, skal fattes på bakgrunn av den aktuelle behandlingen — ikke ut ifra generelle risikobetraktninger jf. personvernforordningens artikkel 32.
- Metode for pseudonymisering eller anonymisering skal beskrives i detalj og på slik måte at det kan ansees som en tilstrekkelig garanti for at valgt metode fungerer etter formål.
- Alle tjenester til bruk i opplæringen som behandler personopplysninger og muliggjør brukergenerert innhold, skal fortrinnsvis autentisere bruker og tilgangsstyre på roller via Feide.
- Digitale læringsressurser skal ikke behandle personopplysninger utenfor EØS eller godkjente tredjeland — eller behandle personopplysninger etter en risikobasert tilnærming for tredjelandsoverføringer, f.eks. standard kontraktsklausuler (SCC) av 4. juni 2021.
- Eks. analyseverktøy for markedsføringsformål eller supportsystem med behandlingslokasjon i USA, utgjør type tjenester og underdatabehandlere som ikke er forenlig med personvernprinsippene og krav om tilstrekkelig beskyttelse for den registrerte.
- Inngått databehandleravtale forplikter leverandør til å opptre etter bestemmelser som følger databehandleroppdraget iht. personopplysningsloven artikkel 28.
- Løpende dialog og dokumentasjon ved forespørsel, bidrar til å muliggjøre en transparent behandling, samt å tilrettelegge for at tjenesten skal kunne videreutvikles.
- For tjenester som kan benyttes til å evaluere læring, mestring og trivsel i skolen, vil fylkeskommunen være pålagt å gjennomføre en vurdering av hvilke konsekvenser den planlagte behandlingen vil ha for personopplysningsvernet (DPIA) jf. personopplysningslovens artikkel 35.. Databehandler er forpliktet til å bistå fylkeskommunen med sin innsikt om egen tjeneste, i dette arbeidet.
Dere vil få tilsendt mal for databehandleravtale, kravspesifikasjon for informasjonssikkerhet (vi benytter kravspec.kins.no), samt at dere kan gi en gjennomgang av løsning og tilrettelegge for en pilot, som del av dokumentasjons- og vurderingsarbeidet.
Universell utforming av IKT
Alle digitale læringsressurser brukt i grunnopplæringen skal svare til kravene om universell utforming av IKT — om å gjøre webinnhold tilgjengelig for personer med funksjonsnedsettelse. Se WCAG 2.1 retningslinjene.
Kompetanseutvikling og onboarding
For at alle brukere, elever og ansatte, skal være i stand til å bruke digitale læringsressurser på en hensiktsmessig måte og etter formålet, er det nødvendig med god tilgang på opplæringsressurser og en prosess for å introdusere funksjonalitet og "bestepraksis". På intranett og elevsida, finnes brukertilpassede ressurser i form av tekst, steg-for-steg-instrukser og video. For at vi skal kunne tilgjengeliggjøre deres ressurser er det nødvendig med oversikt over innhold som enten kan "embedes" eller lenkes til fra relevante ressurssider.