DropBox, iCloud, Microsoft Sky, Evernote, Google apps, Adobe sky, Facebook og Google+ er noen av skytjenestene som er aktuelle for oss nordmenn. Selv har jeg skrevet litt om Evernote og sikkerhet, og jeg har ikke kunnet anbefale grunnskoler å bruke delingsfunksjonen til vurdering av elevoppgaver grunnet juridiske føringer. Men så har jeg lest «ABC i personvern» fra Senter for IKT i utdanningen. Er det allikevel åpning for dette?
Personopplysningsloven er ikke å kimse av, og det er mange som er i villrede i fht hvordan forholde seg til skytjenester i grunnskolen. Temaet er stort og det er flere juridiske implikasjoner. ABC i personvern bidrar til å gjøre en del ting litt klarere. Men det er noen spørsmål som blir liggende litt i mellom. Jeg er ingen sikkerhetsekspert så jeg tenker at ved å stille spørsmålene her kan jeg få tilbakemelding og debatt med andre. Det er spørsmålene som er interessante, det er de som driver oss videre. Så er det også viktig å forsøke forme noen svar. Handlingslammelse, eller motsatt, ignorering av regelverket, er ikke gode posisjoner for skolene og andre liknende organisasjoner.
ABC i personvern skiller mellom sensitive- og alminnelige personopplysninger. Mitt første spørsmål har å gjøre med elevprestasjoner som en finner i elevoppgaver og vurderinger av elever. Er elevprestasjoner sensitiv informasjon? I eksemplene vedlagt finner ikke jeg at dette er entydig. Jeg fornemmer at det ligger nærmere sensitiv enn motsatt. Det er min ryggmargsrefleks, men jeg er ikke sikker. Noen som har synspunkter på dette?
Mitt neste spørsmål er i sammenheng med servere som ligger utenfor EUs jurisdinksjon. Veiledningen er i utgangspunktet klar på at man ikke kan benytte skytjenester som har servere utenfor EU overfor mindreårige. Allikevel åpnes det for unntak der det innhentes tillatelse, ref fotnote 30. Hva betyr dette i praksis? Kan det sammenliknes med hvordan grunnskoler innhenter tillatelse til å publisere bilder av elever?
Er det slik at Evernote kan brukes til vurdering av elevoppgaver også i grunnskolen dersom skolen innhenter tillatelse? Hva slags tillatelse kreves i så fall?
Mitt siste spørsmål har å gjøre med forretningsmodellen til skyleverandøren å gjøre. Jeg har flere ganger hevdet at Google og Facebook driver med Exchange of privacy. De har en grunnleggende målsetting om å selge privatinformasjon for å få reklameinntekter. Gjør det egentlig noen forskjell om en slik forretningsmodell ligger i bunnen? Jeg har drøftet dette med bloggeren Odin Nøsen ved flere anledninger. Han har påvist at Googles avtaleverk er relativt godt. I hht ABC i personvern er det tilstrekkelig å skaffe en god avtale og påse at avtalen blir fulgt. Hvordan er det mulig å følge opp dette i fht Google?
Jeg forsøker ha en åpen innstilling til spørsmålene. Jeg håper at jeg selv lærer noe gjennom dialog og debatt. Jeg tror fler enn meg er opptatt av temaet.
Andre artikler:
Evernote og sikkerhet
iCloud den syvende himmel?
Vurdering med Evernote-deling og iPad
Apple og Goole – to ulike forretningsmodeller
Når vil Android hamle opp med iPad
Evernote – arkivenes mor
Odin Nøsen (@MyOnlyEye)
27. oktober 2011
Elevprestasjoner er ikke personsensitive opplysninger. Da hadde fellesopptaket til videregående skoler hatt store problemer, fordi opplysningene da skal ligge på sikker sone som ikke kan nås fra internett ;-).
Hvis en skal problematisere det litt kan en si at det kanskje er det om det kommer tydelig frem fra prestasjonen at eleven har en medisinsk diagnose. Dette kan f.eks. komme frem på en klasseliste med fødselsdatoer der du da kan se om en elev har utsatt skolestart. Selv om du ikke vet hvorfor eleven har det, kan du ut i fra denne opplysningen kanskje si noe om eleven. Derfor skal en være varsom med offentliggjøring av klasselister med fødselsdato, selv om det teknisk sett ikke er personsensitive opplysninger – og du kan kreve å få utlevert klasselister med dette fra skolen om du ber om det (skolen kan nekte om de vurderer det slik at det fremkommer personsensitive opplysninger i klasselisten).
I forhold til overføring av personopplysninger til land utenfor EU/EØS har Datatilsynet godkjent Safe Harbor-avtalen mellom EU/EØS og kommersielle firma i USA. Denne avtalen sikrer at firmaene i USA respekterer lovgiving i EU/EØS omkring personopplysninger. I praksis betyr det at en kan overføre personopplysninger (ikke personsensitiveopplysninger!) til Google (som er med i Safe Harbor) uten å søke om konsesjon fra Datatilsynet. De fleste leverandører av skytjenester har en 13-års aldersgrense, men utdanningsinstitusjoner har (både i Norge og i USA) lov til å godkjenne bruk av skytjenester for barn under denne alderen – men det er da institusjonen som påtar seg ansvaret for det brukerne gjør (veeeeldig enkelt sagt).
Og som du skriver – vi har tidligere blogget litt om Google utveksler privat informasjon gratis tjenester, og jeg er fremdeles veldig sikker på at Google holder hva de lover når de i Google Apps for Education (og Business) skriver i kontrakten at det er vi som er eneeier av data og at ingen data blir kjørt igjennom reklamemotorene til Google – og at når vi sletter data, så sletter Google det. Faktisk kan dette være et problem. Amerikansk lov er også nokså opptatt av at når en bruker vil at ting skal slettes – så skal det slettes. Så hvis du i Google Apps sletter en epost og så tømmer søppelbøtten – da klarer ikke Google hjelpe deg med å få eposten igjen! Det skal sies at de i år har fått lov til å ta vare på en 30-dagers sikkerhetskopi i tilfelle en hacker kontoen din sletter all epost og tømmer søppelbøtten, men oppdager du det etter det har gått 30 dager – da har du ikke noe epost igjen og Google kan ikke hjelpe deg.
Odin Nøsen (@MyOnlyEye)
27. oktober 2011
Nå svarer jeg egentlig litt til meg selv 🙂
Jeg vil gjerne gi et par eksempler til i forhold til at elevvurderingen ikke er sensitive personopplysninger. Hvis de hadde vært det hadde itslearning, Fronter osv. ikke kunne eksistere på nett. Sensitive personopplysninger skal ikke ligge tilgjengelig på nettverk knyttet til Internett.
Og bare for å fortsette med itslearning og Fronter og kombinere den med «en god avtale og påse at avtalen blir fulgt»: En inngår ikke noen særlig avtale med itslearning og Fronter når en begynner å bruke dem – og en legger i praksis inn mer informasjon der enn en gjør i f.eks. Google Apps. En tar for gitt at den en inngår en avtale med følger avtalen. Hvis jeg oppdaget at Google ikke fulgte avtalen jeg har inngått med dem kan jeg si opp avtalen med umiddelbar virkning (og omvendt!). Spørsmålet blir i hvilken grad jeg har anledning til -å kontrollere- at de gjør det de sier de skal gjøre i avtalen. Det er et av spørsmålene som er oppe i Datatilsynet i forhold til Narvik kommune og Google Apps.
Men… dette er et høyst aktuelt spørsmål for en rekke aktører i sky-verden – og itslearning og Fronter. Jeg har ingen tro på at jeg får lov til å komme inn på datasentrene til Fronter for å kontrollere at de følger den nesten ikke-eksisterende avtalen de har inngått med skolen. Hvis Datatilsynet ikke godkjenner Narvik kommunes avtale med Google, hvor Narvik faktisk har fått innsyn i Googles eksterne revisjonsrapporter, da er det en -rekke- sky-tjenester i Norge (og ellers i verden) som kommer til å slite.
jangamre
27. oktober 2011
Takk for kommentarer, Odin
Jeg skal tenke på det du skriver, lar det synke litt inn.
Flere som har noe på hjertet?
Snorre Løvås (@snorrelo)
28. oktober 2011
En av de tingene som har kommet frem i det siste og roter til Safe Harbor er at Patriot Act overstyrer rettighetene i Safe Harbor. Så en av de tingene en skoleeier må vurdere også er om det er akseptabelt at myndighetskatører i et annet land, uten noe som helst varsel eller informasjon til noen, kan tvinge tjenestene til utlevering om all lagert informasjon om brukere i norsk utdanning/offentlig sektor. Spesielt problematisk når det er tjenester som er i regi av skolen og ikke noe brukeren selv har valgt å ta i bruk.
Og så har vi jo hele runden rundt «når et produkt er gratis er du produktet» og forholdet til reklame, direkte eller indirekte, og skoleelever.
Skulle ønske dette var mye enklere. For tiden virker det litt «damned if you do, damned if you don’t» da løypene ikke er særlig gått opp. 🙂
Og i forhold til Fronter og Itslearning over så er det en vesensforskjell med at de er under Norsk lovgivning og de faktisk kan garantere hvor dataene lagres, men om du ikke har gode nok avtaler med dem så er du rimelig ute og kjører der også. Et sett med avtaler må være på plass uansett, men innholdet kan være litt forskjellig i og med at avtaleforholdet reguleres av Norsk lov.
Har sendt over tweeten til de som har skrevet heftet, så det kommer sikkert noen kommentarer derfra også.
Odin Nøsen (@MyOnlyEye)
28. oktober 2011
Et par ting – Datatilsynet godkjenner enda Safe Harbor – og det gjør EU/EØS også. Og ja, det er en diskusjon rundt Patriot Act i EU/EØS og USA, men det er ikke -så- enkelt for amerikanske myndigheter å hente ut informasjon som du skisserer (men ja, det er anonymt om de ber om det – men det kan PST i Norge også!).
Og det der med reklame og gratisprodukter må en i alle fall slutte å snakke om for Google sin del – det -er- reklamefritt for skole. Punktum. I verste fall er det indirekte siden elevene blir vant til det, men da er omtrent ingenting mulig å ta i bruk i skolen.
Fronter er ikke norsk lengre. Det er kjøpt opp av et engelsk firma, http://www.pearson.com . Så Fronter er teknisk sett ikke under norsk lov, men innenfor EU/EØS. itslearning holder fremdeles til i Bergen.
jangamre
28. oktober 2011
Takk for kommentar Snorre.
Jeg avventer litt til med å kommentere selv. Slipper til flere innspill.
Odin: Jeg setter pris på ditt engasjement. Samtidig mener jeg du må tåle at det settes spørsmålstegn ved Googles troverdighet i saken. De har i all hovesak sine kjempeinntekter fra Exchange of privacy. Da er det problematisk å se helt bort fra dette i fht grunnskolene for min del. Jeg respekterer at andre har et annet syn.
Snorre Løvås (@snorrelo)
28. oktober 2011
Så vidt jeg vet er Fronter AS som firma fremdeles aktivt i Norge, selv om de er et selskap i Pearsongruppen. http://no.fronter.info/mnu5.shtml
live@edu og mange andre tjenester er også reklamefrie for utdanning, men det jeg sier er at skoleeier må *vurdere* om de godtar at sine brukere blir produkter (på et eller annet vis) for tjenestene. Kommersielle leverandører driver ikke ofte med velledighet. Min antakelse er at noen vil vudere det til at det er prisen en må betale, andre at det er totalt uønsket.
Om det er lett eller vanskelig å hente ut informasjon under Patriot Act er ikke poenget. Spørsmålet er om en kan tillate at det kan skje i det hele tatt som må vurderes. I forhold til PST er det igjen innenfor norsk kontroll, Patriot Act er ikke det.
Jeg sier ikke at denne geopolitikken er ønskelig, fornuftig eller god i dagens verden, men det er den vi lever med og som vi må ta hensyn til.
Og i forhold til skole og mindreårige der en skal gi en så stor trygghet som mulig må alle disse momentene vurderes spesielt godt. Det er noe annet når en selv som enkeltperson velger å ta i bruk slike tjenester.
Merker en litt amper holdning her, men som jeg sier så er det skolen/skoleeieren som er ansvarlig for vurderingen og kan selvsagt havne ned på at en ønsker å ta det i bruk om de føler det er trygt nok. Men da er det også selvsagt de som er ansvarlige om informasjon om deres elever og lærere kommer på avveie. Og så kan jo Datatilsynet komme og overprøve skolens/skoleeiers vurderinger…
Og en bør tenke seg to og tre ganger om før en sier at mine folk og innhold ikke er interessante for andre.
For min del skulle jeg ønske at dette var mye lettere å ta i bruk på en trygg nok måte, men det viktige for meg er at skolene/skoleeierne fakisk gjør en skikkelig vurdering og ikke sier «alle andre gjør jo det så hvorfor ikke hoppe i det» uten å tenke seg om. Noe som gjelder for andre tjenester også, men skytjenester har jo en del umodenhet i sektoren og får en del problemstillinger som sektoren ofte ikke har i forhold til tjenestene de kjøper.
jangamre
31. oktober 2011
Av spørsmålene jeg har stilt gjør jeg denne oppsummeringen av kommentarene:
1. Elevprestasjoner er ikke sensitive personopplysninger (takk Odin)
2. Lagring på servere utenfor EU er problematisk. Men ingen har kommentert spm om innhenting av tillatelse. Noen som vet mer om fotnote 30 i veiledningen?
3. Det blir opp til skoleieres og skolelederes skjønn å benytte Googles lagringstjenester overfor mindreårige. Rektors ansvar i dette er utvetydig. (takk Snorre)
Odin Nøsen (@MyOnlyEye)
1. november 2011
Jeg kan svare litt på punkt 2. Lagring på servere utenfor EU/EØS og i amerikanske bedrifter som ikke er med i Safe Harbor er i utgangspunktet ikke lov – uten at en kan begrunne det i inntakene i §30. Ett av punktene der er at du kan få lov av den registrerte til å overføre opplysningene og foreldre kunne gitt et positivt samtykke til å bruke tjenester som lagres i land (eller firmaer) uten nødvendig lovverk/godkjenning.
Ellers er jeg også helt enig i Snorres betraktninger om at skoleeier må gjøre en grundig vurdering når en velger IT-systemer – det være seg både interne og (spesielt) eksterne. Jeg har opplevd dårlige og usikre løsninger i begge leire. Det alt for mange som bare gjør noe fordi de synes de må – uten å tenke på hva det faktisk fører til.
Selv har jeg en stor forkjærlighet for å drifte systemer selv og det satt -langt- inne å gå over til Google Apps for Education (til tross for min glede over systemet :-). Vi gikk fra et epost-system vi hadde full kontroll over på lokale tjenere til noe vi ikke har så god kontroll over, og det er en masse innebyggede bremser som slår seg på hos meg. Zimbra lå lenge høyt oppe på listen over systemet vi skulle over på fremfor Google, nettopp fordi vi da kunne kjøre det lokalt på skolens tjenere. Det var først etter å ha lest igjennom Googles betingelser og sikkerhetsdokumenter – og Datatilsynets forskjellige ressurser – at jeg landet på at balansen hellet i Google Apps favør. De kan rett og slett tilby så mange gode tjenester med så god sikkerhet (for datatap) og så gode betingelser for skolen at Zimbra bleknet i forhold. Men, det hender at jeg tar meg selv i å lengte etter å ha gruppevareløsningen lokalt installert slik at jeg kan gå ned på serverrommet og se på diskene der jeg vet at dataene ligger lagret 🙂 Google Apps er forøvrig den eneste eksterne tjenesten vi har (utenom det vi er pålagt av udir).
jangamre
2. november 2011
Takk igjen for kommentar, Odin.
Det er påfallende at det er noen få personer som diskuterer disse temaene hver gang de er oppe. Selv de som har skrevet veiledningen velger å ikke si noe. Enda så mange som trenger at det gås opp ei løype.
Ditt bidrag er betydelig tatt i betraktning at du er inspektør og IKT-ansv på en lokal skole på vestlandet. Det fortjener respekt, Odin;) Takk for ditt bidrag!
I fht pkt 2 tar jeg deg på ordet. Jeg lager et forslag til en samtykke-erklæring i en senere artikkel om temaet, så får vi se om flere melder seg på debatten da. Jeg blir litt forundret om det er det som skal til for å løse floken. Men det kan hende at det er så enkelt. Kommer med et forslag om en uke eller to.. Har et par andre artikler i ermet først. Om helt andre og mer morsomme ting:-)