Google sine krav og Norges lover

2016-09-12-08_07_03-administrasjonskonsollNå tenker jeg du ble interessert ;-)

Den siste uken har flere kommuner kommentert at et tydelig varsel (se bildet til høyre) dukker opp når de vil skru på tjenester i Google Apps for Education som ligger utenfor GAFE-avtalen, f.eks. Maps, Blogger og YouTube. Dette er i seg selv ikke noe nytt og helt greit. Blogger, i dette tilfelle, har andre vilkår enn GAFE, så det skulle bare mangle at vi må tenke nøye igjennom ting og lage oss en egen risiko- og sårbarhetsanalyse om vi vil gjøre pålogging til Blogger tilgjengelig for elevene.

Utfordringen kommer når Google krever positivt samtykke fra foresatte for elever under 18 år.

Det er ikke det praktiske som er problemet. Det er lett å lage et skjema og sendte det ut til alle foreldre. Og siden foreldre kommer i alle varianter vil vi alltid vil få noen som svarer “Nei” og noen som aldri svarer (som da ikke gir oss et positivt samtykke).

Du sitter da med to mer eller mindre uoverkommelige hindringer. Den tekniske hindringen er at alle elever ligger mer eller mindre i samme OU i GAFE, fordi det synkroniseres opp AD / SAS. Da er det teknisk vanskelig å skru på en tjeneste for en gruppe med elever og ikke skru den på for andre elever i klassen eller på trinnet. Den pedagogiske hindringen er at om hele klassen utenom én elev har svart positivt kan læreren ikke lage et opplegg der f.eks. hele klassen bruker Google Maps til å lage turløyper i lokalmiljøet og der den ene eleven sitter og gjør noe annet. Et samtykke til slike ting i skolen må, etter Datatilsynets syn, være informert og reelt frivillig. Det betyr at det ikke skal oppleves som et press eller at det skal gå ut over eleven på noe vis om en svarer negativt.

Men det er hvis vi skal gjøre det på Google-måten. Inn spaserer så Norges lover og gir oss muligheten til å bestemme en masse ting i norsk skole uten å spørre foreldrene om tillatelse. Skolen har fått et mandat fra Stortinget, altså folket, til å drive skole. Det er både en skoleplikt og -rett i Norge. Kommunen er pålagt å drive grunnskolen og kan ut fra dette pålegget si at det er ting skolen må gjøre for å oppfylle dette kravet. Her er det Personopplysningsloven kommer inn, fordi vi trenger å samle inn personopplysninger for å drive skolen. Vi trenger en masse personalia for både elev og foreldre, vi trenger å samle inn elevarbeider, skrive tilbakemeldinger, lagre fravær osv. Personopplysningsloven krever at vi begrunner behovet for å samle inn og lagre disse personopplysningene og det er vanligvis § 13-1 og § 2-3 i Opplæringsloven vi viser til da. Dette må vi gjøre uansett om denne informasjonen er nedtegnet på papir eller lagret i en datamaskin!

Om vi så velger å ta i bruk skytjeneste X er det ingenting som bli annerledes. Vi trenger ikke å spørre foreldrene, så lenge vi som skole mener vi trenger å bruke tjeneste X for å utføre mandatet vi har fra Stortinget og at vi har orden på at de personopplysningene vi legger i X blir behandlet på rett måte. Og det er her Personopplysningsloven kommer med en del krav. Vi må kunne lage et dokument som sier noe om…

  • Hva samler vi inn av personopplysninger til tjenesten? (§ 14 og § 28 i Personopplysningsloven)
  • Hvorfor samler vi det inn? (at vi har bruk for informasjonen – § 8)
  • Hva skal vi bruke det til? (at vi ikke bruker dem til noe annet enn det vi samler dem inn for – § 11)
  • Hvordan sikrer vi opplysningene vi lagrer? (§ 13)
  • Hvordan sikrer vi (rett) rett til innsyn? (§ 18)
  • Hvem deler vi hvilken informasjon med? (§ 19 og § 20)
  • Hvordan informerer vi om hvordan vi samler inn og bruker informasjonen? (§ 19 og § 20)
  • Hvordan retter og sletter vi informasjon? (§ 27 og § 28)

(Her må du også bytte ut «vi» med «tjeneste X».)

Bare så det er sagt – dette må vi gjøre uansett om vi har satt ut behandlingen av dataene til en ekstern databehandler eller ikke! Så må vi også ha på plass en risiko- og sårbarhetsanalyse knyttet til tjeneste X (ut fra svarene vi får på spørsmålene over) og til slutt en konklusjon om tjeneste X er innenfor rimelige krav ut i fra hva den skal løse. Og hvis den er innenfor kan vi bruke den i skolen uten å spørre foreldrene om lov. Vi skal informere, men trenger ikke spørre om lov.

Det er dette vi gjør med tjenester som Visma FLYT Skole, Salaby, VOKAL, itslearning… bare tenk på hvilken som helst norsk skytjeneste. Så når Google skriver

Just like other cloud-based educational tools, Google Apps for Education requires that schools obtain parental consent for any Additional Services they allow students under the age of 18 to use.

…så stemmer ikke dette for Norge.

Kortutgaven er – I Norge trenger vi ikke foreldres velsignelse, om bruken av det skybaserte utdanningsverktøyet er definer som en del av opplæringen i skolen. Da får skolen ansvaret for å vise at den informasjonen vi samler inn i skytjenester en nødvendig og at behandlingen av den følger intensjon og lov. Om noe da skulle gå riv ruskende galt fordi vi bruker tjenesten er det uansett skolen/kommunen som i utgangspunktet har ansvaret (ikke eleven eller foreldrene).

great_seal_of_the_united_states_obverse-svgMen Google sin avtale krever noe annet (se punkt 2.5 og 10.1). Med utgangspunkt i den amerikanske COPPA-loven krever Google individuelt samtykke fra foreldre (som kan dokumenteres). Så hvordan forholder vi oss til dette? Kan Google godta at vi i Norge ikke er underlagt COPPA-loven, men har andre lover som sikrer elevenes (og alle andres) personopplysninger? Kan Google godta at vi gjennom mandatet vi er gitt fra Storting / folket / loven kan opptre på vegne av foreldrene når vi bruker Google sine skytjenester, slik vi gjør i alle andre sammenhenger? Vi er selvfølgelig pliktig å ha alle papirer på stell og vi blir kikket i kortene når vi får tilsyn både av Fylkesmannen og Datatilsynet på disse sakene.

Og bare for å toppe det hele – egentlig skal vi ha samtykke fra foreldre for elever under 13 år, hvis de skal bruke GAFE, men det er det ingen som gjør (unntatt Humanistskolen ;-). Så vi er allerede ute og kjører i forhold til Googles egne krav.

Vi kan jo bare gi blanke i dette, ha alle papirer i orden som kommune og overse kravet fra Google. Google kommer sikkert ikke til å sjekke det eller bry seg særlig om det. Men det er ikke slik vi kan gjøre det om vi vil være ordentlige og profesjonelle – og det vil vi. Dette er den lille humpen i som kan velte det store lasset, og vi vil heller ikke bli tatt med buksene nede. Det er for viktig til det.

Bare så det er sagt – vi bryter ikke norsk lov. Vi bryter ikke amerikansk lov. Vi bryter kanskje Googles betingelser for bruk av tjensten, siden de krever at vi skal følge betingelsene i COPPA-loven.

Siden jeg nå er leder for GEG Norway tok jeg kontakt med Google Norge for å se om dette var noe de kunne gjøre noe med. De tok ballen umiddelbart og jobber nå med finne en løsning – både i Google Norge og Googles lovavdelinger i Europa og USA. Blir spennende å se om de finner en løsning. Uansett er det kjekt at en liten stemme i et lite land blir lyttet til…

Oppdatering 18. september 2016 – Her er FAQ fra Google om COPPA og GAFE og her er FAQ fra Microsoft om COPPA og O365Edu (søk etter COPPA på siden). Som du ser har Google og Microsoft svært ulike utgangspunkt på spørsmålet om samtykke fra foreldre er nødvendig. Og meg bekjent burde vel Google kunne gjøre det samme som Microsoft?

One thought on “Google sine krav og Norges lover

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *