13-års aldersgrense og samtykke fra foreldre

Dette er en liten oppfølger til blogginnlegget mitt om «Google sine krav og Norges lover«. Spørsmålet om Google kom til å kreve foreldres godkjenning selv om norsk lov ikke krever det, ble hengende i løse luften. I etterkant av innlegget ble det en liten dialog med Googles europeiske lovavdeling og dette ble det kortet svaret:

The crucial statement here is that schools can obtain parental consent in accordance with the laws of their jurisdiction. If your local law relieves you from obtaining parent/guardian consent, we don’t have intention to enforce the obligation to obtain consent per our standard ToS.

(De skal også gjøre endringer i ToSen hvor dette også kommer frem.)

Og for å være helt presis – ja, det finnes et sted i Personopplysningsloven som spesifikt sier at vi ikke trenger foreldres (eller elevens) positive samtykke. Det er § 8 med underpunkt b som trer i kraft i skolen.

§ 8. Vilkår for å behandle personopplysninger
Personopplysninger (jf. § 2 nr. 1) kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for
b) at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse,

Den behandlingsansvarlige er da skoleeier (kommunen) og den rettslige forpliktelsen som skal oppfylles er Opplæringslova § 13 – å drive grunnskole. For å begrunne bruk av Google sine tjenester kan du f.eks. vise til Opplæringslova § 2-3 som pålegger skolen å undervise i fag, hvor da skolen må definere inn GSuite for Education som en del av dette tilbudet.

Og når kommunen er behandlingsansvarlig trenger skolen ikke samtykke, men det påligger da kommunen å sikre at personopplysningene behandles i tråd med personopplysningsloven. Og personopplysningsloven sier at når behandlingsansvarlig ikke er databehandler må behandlingsansvarlig sikre at databehandler følger personopplysningsloven (og en databehandleravtale kan være en god måte å sikre dette på). Og vil du vite mer akkurat dette kan du sjekke ut presentasjonen med kommentarer i blogginnlegget «Livet er en pussig ting» fra 2015.

Poenget er – en skole trenger ikke samtykke for å lagre personopplysninger i en skytjeneste, så lenge skytjenesten er brukt som en del av opplæringen. Samtidig fratar dette ikke skolen ansvar for å følge Personopplysningsloven – tvert om faktisk.

Faktisk løser dette hele EFFs kritikk mot Google (og andre skytjenester), som rett og slett ikke treffer helt her i Norge på grunn av dette. Del 1 handler om utfordringer rundt foreldres informerte samtykke. Kritikken handler mye om at foreldre må gi samtykke og det er ikke alltid at dette samtykke inneholder alle detaljer. Dette er en utfordring i USA der foreldre  gi samtykke til slike tjenester før en skole kan bruke dem. Hvis du da ikke husker å spørre om at det som kan være aktuelt, er det ikke vanskelig å finne noe å kritisere i etterkant.

Del 2 i rapporten om handler amerikansk lov og den er nokså ulik norsk lov. I Norge har vi Personopplysningsloven og Datatilsynet som passer på at både offentlige institusjoner og private bedrifter følger loven. Del 3 konkluderer de egentlig med at det hadde vært fint om de i USA hadde hatt en lov som liknet en del på den norske Personopplysningsloven.

Så da er det jo bra at vi har den ;-)

Google sine krav og Norges lover

2016-09-12-08_07_03-administrasjonskonsollNå tenker jeg du ble interessert ;-)

Den siste uken har flere kommuner kommentert at et tydelig varsel (se bildet til høyre) dukker opp når de vil skru på tjenester i Google Apps for Education som ligger utenfor GAFE-avtalen, f.eks. Maps, Blogger og YouTube. Dette er i seg selv ikke noe nytt og helt greit. Blogger, i dette tilfelle, har andre vilkår enn GAFE, så det skulle bare mangle at vi må tenke nøye igjennom ting og lage oss en egen risiko- og sårbarhetsanalyse om vi vil gjøre pålogging til Blogger tilgjengelig for elevene.

Utfordringen kommer når Google krever positivt samtykke fra foresatte for elever under 18 år.

Det er ikke det praktiske som er problemet. Det er lett å lage et skjema og sendte det ut til alle foreldre. Og siden foreldre kommer i alle varianter vil vi alltid vil få noen som svarer “Nei” og noen som aldri svarer (som da ikke gir oss et positivt samtykke).

Du sitter da med to mer eller mindre uoverkommelige hindringer. Den tekniske hindringen er at alle elever ligger mer eller mindre i samme OU i GAFE, fordi det synkroniseres opp AD / SAS. Da er det teknisk vanskelig å skru på en tjeneste for en gruppe med elever og ikke skru den på for andre elever i klassen eller på trinnet. Den pedagogiske hindringen er at om hele klassen utenom én elev har svart positivt kan læreren ikke lage et opplegg der f.eks. hele klassen bruker Google Maps til å lage turløyper i lokalmiljøet og der den ene eleven sitter og gjør noe annet. Et samtykke til slike ting i skolen må, etter Datatilsynets syn, være informert og reelt frivillig. Det betyr at det ikke skal oppleves som et press eller at det skal gå ut over eleven på noe vis om en svarer negativt.

Men det er hvis vi skal gjøre det på Google-måten. Inn spaserer så Norges lover og gir oss muligheten til å bestemme en masse ting i norsk skole uten å spørre foreldrene om tillatelse. Skolen har fått et mandat fra Stortinget, altså folket, til å drive skole. Det er både en skoleplikt og -rett i Norge. Kommunen er pålagt å drive grunnskolen og kan ut fra dette pålegget si at det er ting skolen må gjøre for å oppfylle dette kravet. Her er det Personopplysningsloven kommer inn, fordi vi trenger å samle inn personopplysninger for å drive skolen. Vi trenger en masse personalia for både elev og foreldre, vi trenger å samle inn elevarbeider, skrive tilbakemeldinger, lagre fravær osv. Personopplysningsloven krever at vi begrunner behovet for å samle inn og lagre disse personopplysningene og det er vanligvis § 13-1 og § 2-3 i Opplæringsloven vi viser til da. Dette må vi gjøre uansett om denne informasjonen er nedtegnet på papir eller lagret i en datamaskin!

Om vi så velger å ta i bruk skytjeneste X er det ingenting som bli annerledes. Vi trenger ikke å spørre foreldrene, så lenge vi som skole mener vi trenger å bruke tjeneste X for å utføre mandatet vi har fra Stortinget og at vi har orden på at de personopplysningene vi legger i X blir behandlet på rett måte. Og det er her Personopplysningsloven kommer med en del krav. Vi må kunne lage et dokument som sier noe om…

  • Hva samler vi inn av personopplysninger til tjenesten? (§ 14 og § 28 i Personopplysningsloven)
  • Hvorfor samler vi det inn? (at vi har bruk for informasjonen – § 8)
  • Hva skal vi bruke det til? (at vi ikke bruker dem til noe annet enn det vi samler dem inn for – § 11)
  • Hvordan sikrer vi opplysningene vi lagrer? (§ 13)
  • Hvordan sikrer vi (rett) rett til innsyn? (§ 18)
  • Hvem deler vi hvilken informasjon med? (§ 19 og § 20)
  • Hvordan informerer vi om hvordan vi samler inn og bruker informasjonen? (§ 19 og § 20)
  • Hvordan retter og sletter vi informasjon? (§ 27 og § 28)

(Her må du også bytte ut «vi» med «tjeneste X».)

Bare så det er sagt – dette må vi gjøre uansett om vi har satt ut behandlingen av dataene til en ekstern databehandler eller ikke! Så må vi også ha på plass en risiko- og sårbarhetsanalyse knyttet til tjeneste X (ut fra svarene vi får på spørsmålene over) og til slutt en konklusjon om tjeneste X er innenfor rimelige krav ut i fra hva den skal løse. Og hvis den er innenfor kan vi bruke den i skolen uten å spørre foreldrene om lov. Vi skal informere, men trenger ikke spørre om lov.

Det er dette vi gjør med tjenester som Visma FLYT Skole, Salaby, VOKAL, itslearning… bare tenk på hvilken som helst norsk skytjeneste. Så når Google skriver

Just like other cloud-based educational tools, Google Apps for Education requires that schools obtain parental consent for any Additional Services they allow students under the age of 18 to use.

…så stemmer ikke dette for Norge.

Kortutgaven er – I Norge trenger vi ikke foreldres velsignelse, om bruken av det skybaserte utdanningsverktøyet er definer som en del av opplæringen i skolen. Da får skolen ansvaret for å vise at den informasjonen vi samler inn i skytjenester en nødvendig og at behandlingen av den følger intensjon og lov. Om noe da skulle gå riv ruskende galt fordi vi bruker tjenesten er det uansett skolen/kommunen som i utgangspunktet har ansvaret (ikke eleven eller foreldrene).

great_seal_of_the_united_states_obverse-svgMen Google sin avtale krever noe annet (se punkt 2.5 og 10.1). Med utgangspunkt i den amerikanske COPPA-loven krever Google individuelt samtykke fra foreldre (som kan dokumenteres). Så hvordan forholder vi oss til dette? Kan Google godta at vi i Norge ikke er underlagt COPPA-loven, men har andre lover som sikrer elevenes (og alle andres) personopplysninger? Kan Google godta at vi gjennom mandatet vi er gitt fra Storting / folket / loven kan opptre på vegne av foreldrene når vi bruker Google sine skytjenester, slik vi gjør i alle andre sammenhenger? Vi er selvfølgelig pliktig å ha alle papirer på stell og vi blir kikket i kortene når vi får tilsyn både av Fylkesmannen og Datatilsynet på disse sakene.

Og bare for å toppe det hele – egentlig skal vi ha samtykke fra foreldre for elever under 13 år, hvis de skal bruke GAFE, men det er det ingen som gjør (unntatt Humanistskolen ;-). Så vi er allerede ute og kjører i forhold til Googles egne krav.

Vi kan jo bare gi blanke i dette, ha alle papirer i orden som kommune og overse kravet fra Google. Google kommer sikkert ikke til å sjekke det eller bry seg særlig om det. Men det er ikke slik vi kan gjøre det om vi vil være ordentlige og profesjonelle – og det vil vi. Dette er den lille humpen i som kan velte det store lasset, og vi vil heller ikke bli tatt med buksene nede. Det er for viktig til det.

Bare så det er sagt – vi bryter ikke norsk lov. Vi bryter ikke amerikansk lov. Vi bryter kanskje Googles betingelser for bruk av tjensten, siden de krever at vi skal følge betingelsene i COPPA-loven.

Siden jeg nå er leder for GEG Norway tok jeg kontakt med Google Norge for å se om dette var noe de kunne gjøre noe med. De tok ballen umiddelbart og jobber nå med finne en løsning – både i Google Norge og Googles lovavdelinger i Europa og USA. Blir spennende å se om de finner en løsning. Uansett er det kjekt at en liten stemme i et lite land blir lyttet til…

Oppdatering 18. september 2016 – Her er FAQ fra Google om COPPA og GAFE og her er FAQ fra Microsoft om COPPA og O365Edu (søk etter COPPA på siden). Som du ser har Google og Microsoft svært ulike utgangspunkt på spørsmålet om samtykke fra foreldre er nødvendig. Og meg bekjent burde vel Google kunne gjøre det samme som Microsoft?