Skyen og Loven

Mens Google, Narvik og Datatilsynet prøver å bli enige om hva som er godt nok har jeg tenkt litt på skytjenester, personopplysningsloven og databehandleravtaler – og det er noe som skurrer når personopplysningsloven møter virkeligheten på det store Internettet. I det videre skriver jeg med utgangspunkt i skolen (siden det er den jeg kjenner best), men problemstillingen gjelder for alle norske virksomheter som bruker skytjenester.

Personopplysningsloven §15 stiller krav om at det skal være en avtale mellom skolen og en skytjeneste som behandler personopplysninger – en databehandleravtale. Og bare så alle er enige – en personopplysning er «opplysninger og vurderinger som kan knyttes til en person» (§2). Det er i denne sammenheng likegyldig hva slags opplysning det er. Sensitive personopplysninger er en spesiell type opplysninger om personen, som vi i denne runden ikke tar opp. Loven gjelder alle former for behandling av disse opplysningene med elektroniske hjelpemidler eller når opplysningene inngår i et personregister (altså en samling av personopplysninger). Det er skolen som må lage avtalen med skytjenesten. Selvfølgelig kan skytjenesten ha klart et forslag, men det er ansvarlige som skal opprette en avtale med behandler.

Det første jeg måtte avklare for meg selv var hvilke skytjenester som krever en avtale, og nå tenker jeg bare på at en må ha en avtale – ikke hva som skal stilles som krav i avtalen (som er sentral del av diskusjonen rundt Google Apps og Narvik). Hvilke skytjenester har opplysninger som kan «knyttes til en person»? Det er de fleste, fordi de har en eller annen form for autentisering. Da lagres automatisk en del opplysninger direkte knyttet til en person (og husk at vi nå snakker om hvilke som helst opplysninger) og da må en ha lage en avtale. Alle FEIDE-tjenester ramler inn her.

Jeg vil også ta utgangspunkt i at en bare må inngå en slik avtale når skolen bruker en skytjeneste systemisk – at elever og lærere ikke kan la være å bruke den, fordi det ligger i skolens planer at alle skal bruke tjenesten. En trenger ikke gjøre det om det er frivillig – da kan de som ikke vil bruke den bare la være.

Da sitter jeg igjen med en interessant liste med avtalepliktige skytjenester (som ikke er uttømmende):

  • Fronter
  • Cyberbook
  • NRK Skole (om du bruker FEIDE)
  • Gyldendals Smartbok
  • Kindle
  • Mobilskole
  • itslearning
  • Google Apps
  • Microsoft Live@EDU
  • iTunes/iCloud/iTunesU
  • Android Market
  • MinSkole
  • NDLA
  • Apper på mobil/nettbrett som krever identifisering (f.eks. en del kommende norske digitale lærebøker)

Du kan faktisk også kreve det av Wikipedia om elevene har som arbeidsoppgave på skolen å skrive i der, fordi da kreves det som regel en pålogging/identifisering av bruker.

Noe sier meg at skoler ikke lager slike avtaler og ingenting er som et praktisk eksempel. Jeg ville se om skoler inngår avtale med LMSene de bruker. Via via via fant jeg ut at bare en kommune har inngått en databehandleravtale med Fronter – og det er Oslo. Ingen andre. Det betyr i praksis at alle andre skoler/kommuner som bruker Fronter ikke følger det viktigste punktet i personopplysningsloven – og bruken av systemet er dermed ikke lovlig. Jeg har ikke funnet ut hvordan det står til med itslearning, men ansvarlige itslearning-administratorer der ute som kan bekrefte eller avkrefte om de har en slik avtale må bare ta kontakt. Jeg skjønner at dette er litt pirkete og at de fleste enkelt kan lage en databehandleravtale med Fronter, men det er ingen som har gjort det – eller tenker at de burde det. Tydeligvis.

Så kom jeg på enda en ting, som Google er veldig flinke til å informere deg om – hva skjer om du kobler en tredjepartstjeneste / underleverandør til skytjenesten? Jeg tar et eksempel fra Google Apps, men dette gjelder mange andre skytjenester og det mest nærliggende er kanskje Ephorus i Fronter og itslearning. I Google Apps kan du lett koble deg opp til andre tjenester som f.eks. Aviary Design Tools, som er en pakke med online-verktøy for redigere lyd og bilde. Du får promte beskjed fra Google om hvilken informasjon Aviary vil ha tilgang i Google Apps-basen:

User Provisioning (Read only)
This app will give your users access to Aviary and provide help to them get started.

Docs (Read/Write)
This app saves your creations to your Docs account for easy access and sharing.

Og vips – så ble Aviary en ny databehandler for skolen i og med at de kan lese brukerinformasjon (og bruker den for å holde orden på hvem som lager hva) og at de har sin helt egen «Security Policy» enn Google nødvendigvis har. I følge loven må skolen da også inngå en databehandleravtale med Aviary, fordi Google allerede uttrykkelig har sagt at de ikke tar ansvar for hva Aviary bruker informasjonen de henter ut av Google Apps til. Dette kommer også frem i Datatilsynets veileder for databehandleravtaler (s. 13).

Du møter kravet om databehandleravtale igjen og igjen og igjen og igjen – og det før du skal prøve å leve opp til Datatilsynets forventninger til hva du konkret skal kreve/forvente i disse avtalene. Blar du igjennom Datatilsynets krav til Narvik kommune ifm bruk av Google Apps og kikker på listen over skytjenester tidligere i innlegget, skjønner du raskt at den enkelte skole eller kommune kan få store problemer med å bruke tjenestene.

Jeg er ikke motstander av at Datatilsynet passer på at vi ikke skal finne oss i avtaler vi kommer til å angre på, men det er noe som skurrer kraftig når personopplysningsloven møter «Skyen» på denne måten. Det er noe med at «Skyen» bare ikke virker slik personopplysningsloven forutsetter at verden skal virke.

Huffda! Google Apps er forbudt i Norge

Da har Datatilsynet tenkt ferdig – og sagt at Google Apps i sin nåværende form ikke følger norsk lov. Jeg lenker videre til digi.no som trofast har fulgt saken og hvor du også finner brevet fra Datatilsynet til Narvik kommune.

I praksis sier vedtaket fra Datatilsynet at Google Apps ikke er lov å bruke av norske virksomheter som er pålagt å forholde seg til bl.a. personopplysningsloven. Utfordringen fremover er at nærmest alle skytjenester blir rammet av den samme kritikken som nå rammer Google Apps. I praksis betyr det at ingen norske virksomheter kan ta i bruk noen skytjenester – særlig om en ikke kan inngå noe annet enn en standardisert avtale. Dropbox, iTunes, iCloud, Amazon, Facebook, EverNote osv. – det er bare å tenke på en skytjeneste og sjansen er stor for at du ikke kan inngå noe annet enn en standardavtale og at de lagrer data rundt omkring i forskjellige land.

Jeg mener også at mye av kritikken til Datatilsynet også vil ramme norske skytjenester som itslearning og Fronter – og en del til. Jeg tror ikke jeg helt uten videre får lov til å kontrollere deres datalagre i den detalj Datatilsynet legger opp til. Jeg tror heller ingen klarer å garantere at det ikke ligger sensitive personopplysninger lagret der og jeg ikke at f.eks. Harestad skole får itslearning eller Fronter til å gjøre større endringer i systemet om vi skulle ønske det. Det er mang en norsk stor institusjon som har hatt sine høner å plukke med norske skytjenester uten at noe har skjedd. Meg bekjent inngår du ikke noe annet enn standardavtaler med itslearning og Fronter heller…

Hva gjør vi på Harestad og Grødem skole? Vi setter oss på gjerdet og venter. Jeg vil se hva både Narvik og Google gjør. Det er noe som får meg til å tro at Google er nokså interessert i ikke å miste hele det norske bedriftmarkedet. Og om det ikke skjer noe kommer vi rolig og stille til å rulle over på en lokal installasjon av Zimbra. Zimbra er fri programvare, men hvis vi betaler 8,- kr per elever og 80,- kr per ansatt i året får vi en god backuprutine og gode protokoller for å koble opp mobiltelefon mot løsninger – og jeg tror det er verdt det. Da likner det en del på Google Apps, men vi kommer i praksis til å gå ned i standard. Det er ingen som har en bedre webløsning enn Google – men den er foreløpig ikke lov i Norge…

OPPDATERING
Datatilsynet presiserer hvorfor de satte ned foten. De vil at Google skal endre vilkår for tjenestene sine.

Nettopp hostet opp fra Avalon (firma som selger Google-produkter i norden):

Hej Odin!
Jag vet att Google arbetar just nu för att ta fram ett avtal som lever upp till Norska Datatillsynet samt den Svenska motsvarigheten Datainspektionen.
Detta är jätteviktigt för många Google Apps kunder!
Hör av mig till er då vi vet mer.

 

Er ikke loven lik for alle?

Datatilsynet behandler nå svaret fra Narvik kommune. I en artikkel på digi.no sier IT-sjef i Narvik kommune på spørsmål fra digi.no:

– Hva gjør dere hvis Datatilsynet kommer frem til at kommunen bryter loven?
– Det må vi ta opp til drøfting der og da. Jeg vil ikke spekulere i det. Mitt håp er at flere kommuner og offentlige virksomheter tar i bruk lignende tjenester. Hvis det er et sug i markedet etter dette må vi finne en måte å regulere det på.

Så tenkte jeg – gjelder ikke personopplysningloven for alle i Norge? I praksis betyr det at alle firma i Norge som bruker Google Apps bryter loven om Narvik kommune bryter den. Da får f.eks. Nordisk film/Egmont, Schibsted Media Group (TV2) og en rekke andre store bedrifter problemer – i den grad de er underlagt norsk lov. Dette er store installasjoner hos bedrifter som ikke ønsker at informasjon skal komme på avveier – og de har valgt Google Apps. De lagrer stort sett samme type opplysninger som det Narvik kommune har tenkt å lagre i Google Apps. Bryter Narvik kommune loven gjør nok disse firmaene det også.

Ikke rart at Datatilsynet har lyst til å tenke litt på dette.

PS! Noen må gjerne korrigere meg om det er slik at personopplysningsloven ikke gjelder for private firma, men det høres helt rart ut om så skulle være tilfelle.

En trygg havn for personopplysninger?

Jeg må innrømme at første gang jeg hørte om Narvik kommune og Google Apps trodde jeg at Google skulle ta over det meste av kontorplattformen for kommunen – at de skulle bruke alle muligheter som ligger i Google Apps. Så ble det klart at det kommunen har søkt etter var en epost- og kalender-løsning. Jeg er litt overrasket over at det blir så mye styr rundt en utplassering av akkurat disse tjenestene. Hadde kommunen lagt hele dokumentsystemet sitt over til Google Apps hadde også jeg vært litt mer opptatt av at ting skulle være godt sikret og dokumentert.

Jeg bladde litt i Datatilsynets sider og fant at Datatilsynet selv skriver at «Personopplysninger kan fritt overføres fra Norge til virksomheter i USA, dersom de har sluttet seg til Safe Harbor-avtalen» – også uten å måtte søke om konsesjon for å gjøre det. Og Google Apps er godkjent med Safe Harbor (nesten helt nederst på siden). Jeg må lese meg igjennom Safe Harbor-avtalen ved anledning. Jeg vet den er omdiskutert, men det er nå den avtalen EU/EØS og USA har om datasikkerhet – og en skal forholde seg til den inntil noe annet blir bestemt (jfr. Datatilsynets godkjenning av avtalen). I Google Apps for Government kan Google garantere at all informasjon blir liggende i USA, noe som burde betyr at de lett kan sikre at Narviks data ikke beveger seg utenfor USA/EU/EØS heller (f.eks. til India) og dermed være innenfor et allerede sikret område for personopplysninger.

Jeg synes Google er nokså flinke til å informere om hva og hvordan i helt åpne skriv de har liggende, f.eks. om «Sikkerhet og personvern» i Google Apps og «Retningslinjer for personvern» (og hvis noen ble nervøse for reklamegreiene i siste lenke, er Google Apps for Business / Government / Education holdt utenfor reklamemotoren).

Det hele begynner å virke som om Datatilsynet ønsker å statuere et eksempel ut av at Narvik kommune må inngå en skriftlig avtale i og med at kommunen har valgt en ekstern databehandler til epost og kalender. Hvis det er tilfelle synes jeg byråkratiet kan bli kronglete. Hva med…

  • Fronter (engelsk) og its learning (norsk)- de lagrer og behandler personopplysninger i stort monn. De gjør ikke en gang et forsøk på å fortelle brukerne hvor ting blir lagret eller hvem som har tilgang til informasjonen.
  • Ephorus (nederlandsk) lagrer og behandler også personopplysninger og data. Heller ikke der finner du ut hvor informasjonen lagres eller hvem som har tilgang til den.
  • SATS Barnehage (svensk) har ASP-løsninger. De har også avtaler om fjerndrift. Jeg aner ikke om hvordan kommuner avtaler disse tjenestene med IST, men de lagrer og behandler i alle fall personopplysninger for kommunen – sannsynligvis også personsensitive opplysninger.
  • Identums eFeide (norsk) drifter også tunge personopplysningstjenester for mange kommuner.
  • Kvalitetslosen (norsk) – som holder orden på mange kommuners kvalitetsstyring, sentrale dokumenter og avviksmeldinger.

Dette var bare en kort liste over vanlige eksterne tjenester mange kommuner benytter seg av. Det er ikke vanskelig å lage listen mye lengre. Det hadde ikke overrasket meg om noen av disse tilfeldigvis hadde benyttet seg av f.eks. Amazon S3, men det er ikke lett å finne ut – fordi det er så få som skriver noe om hvor og hvordan de lagrer ting (eller tar sikkerhetskopier).

Og ellers… det skal visst være et møte i Randaberg kommunen med Google – spennende! Lurer på om de har gjort leksen sin og funnet ut at 4/5 av elever og ansatte i skolen allerede er en del av Google Apps for Education. Jeg vet ikke helt hva de vil, annet enn at de vil vel presentere skyløsningen sin :-)

Eventyret om Google Apps tar stadig nye vendinger

Ikke så mange nye vendinger hos oss på Harestad skole, men jeg ser at Narvik kommune har fått seg en overraskelse. De har gått over til Google Apps (også utdanningssektoren), men møter motbør etter at en privatperson (en innbygger?) klaget til Datatilsynet. Nå må kommunen svare for overgangen til Google Apps overfor Datatilsynet. Og for å lage livet enda litt mer ubehagelig for Narvik kommune har digi.no også lagt ved en artikkel om at det danske datatilsynet har forbudt danske kommuner å bruke Google Apps.

I korte trekk handler det om lagring i skyen overhode kan leve opp til kravene i personopplysningsloven. De nærliggende utfordringene er knyttet til hvor data ligger fysisk lagret og hvem som har tilgang til dem – og om Narvik kommune kan dokumentere og kontrollere dette.

I USA er Google Apps godkjent av amerkanske myndigheter til bruk i det offentlige og de er vurdert av EU og USA som sikkert nok til bruk i utdanningssektoren. Jeg regner derfor med at Narvik kommune ikke bør ha for mange problemer med en del av de tekniske spørsmålene fra Datatilsynet. Utfordringen blir nok at Google, meg bekjent, ikke kan garantere for at dataene lagres i Norge – og at amerikanske myndigheter gjennom «The Patriot Act» har tilgang til alt som er lagret av amerikanske selskaper – uansett hvor de måtte lagre det.

Jeg er ikke nervøs for at Google Apps og skole blir et problem. Vi lagrer ikke særlig mange personopplysninger i systemet og det brukes ikke til saksbehandling eller oppbevaring av f.eks. karakterer, anmerkning og fravær. Risikoen for dataene er mindre hos Google enn de var hos oss (eller i kommunen)! Google har (og garanterer) en mye bedre oppetid enn det kommunen og skolen i praksis har. Tror jeg vi lagrer ting som er spesielt interessant for amerikanske myndigheter å snoke i? Nei. Og, siden EU går god for datasikkerheten i Google Apps til undervisningsformål – så er det godt nok for meg.

Og selvfølgelig – alle personsensitive opplysninger på Harestad skole lagres alle andre steder enn i Google Apps. Vi har våre egne systemer for sikker lagring av personsensitive opplysninger på skolen, som ikke kommer utenfor skolens vegger – til stor irritasjon for lærerne, som gjerne kunne tenke seg å jobbe med IOPer hjemme.

Hvis en først skal være paranoid vil en lett få problemer med tjenester på nettet. Fronter er f.eks. eid av et engelsk selskap – og vet vi hvordan data lagret under engelsk lovgivning behandles? Ikke jeg, i alle fall :-). Mange nett-tjenester kjøper sin lagringsplass av Amazon, som jo er et amerikansk selskap og underlagt «The Patriot Act». Det betyr at alle data hos firma som kjøper lagringsplass hos Amazon og som selger sine tjenester til andre, vil stå overfor samme utfordringer som Google Apps. Jeg visste f.eks. ikke at DropBox kjøper sin lagringplass hos Amazon før jeg oppdaget det ved en tilfeldighet (selv om det unektelig ikke er vanskelig å finne det ut om du ser etter det). Apples kommende iCloud vil selvfølgelig også være underlagt samme lovverk, men de har ikke akkurat en profil for å ta over kommunale tjenester :-)

Uansett – nå er både Harestad skole og Grødem skole i Randaberg kommune over på «Google Apps for Education» med tilsammen over 1400 brukere. Vi synkroniserer brukernavn, passord og en enkel organisasjonsstruktur fra LDAP-basene våre med Google Apps slik at alle brukeropplysninger alltid er korrekte. En ting at epost-systemet til Google er fantastisk, men Google Docs kommer til å ta helt av (tror vi). Vi gleder oss til å presentere systemet for ansatte og elever når skolen starter!

PS! Det blir spennende å se når Google+ kommer til Google Apps – og om vi kan bruke det til noe bra i skolen.