13-års aldersgrense og samtykke fra foreldre

Dette er en liten oppfølger til blogginnlegget mitt om «Google sine krav og Norges lover«. Spørsmålet om Google kom til å kreve foreldres godkjenning selv om norsk lov ikke krever det, ble hengende i løse luften. I etterkant av innlegget ble det en liten dialog med Googles europeiske lovavdeling og dette ble det kortet svaret:

The crucial statement here is that schools can obtain parental consent in accordance with the laws of their jurisdiction. If your local law relieves you from obtaining parent/guardian consent, we don’t have intention to enforce the obligation to obtain consent per our standard ToS.

(De skal også gjøre endringer i ToSen hvor dette også kommer frem.)

Og for å være helt presis – ja, det finnes et sted i Personopplysningsloven som spesifikt sier at vi ikke trenger foreldres (eller elevens) positive samtykke. Det er § 8 med underpunkt b som trer i kraft i skolen.

§ 8. Vilkår for å behandle personopplysninger
Personopplysninger (jf. § 2 nr. 1) kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for
b) at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse,

Den behandlingsansvarlige er da skoleeier (kommunen) og den rettslige forpliktelsen som skal oppfylles er Opplæringslova § 13 – å drive grunnskole. For å begrunne bruk av Google sine tjenester kan du f.eks. vise til Opplæringslova § 2-3 som pålegger skolen å undervise i fag, hvor da skolen må definere inn GSuite for Education som en del av dette tilbudet.

Og når kommunen er behandlingsansvarlig trenger skolen ikke samtykke, men det påligger da kommunen å sikre at personopplysningene behandles i tråd med personopplysningsloven. Og personopplysningsloven sier at når behandlingsansvarlig ikke er databehandler må behandlingsansvarlig sikre at databehandler følger personopplysningsloven (og en databehandleravtale kan være en god måte å sikre dette på). Og vil du vite mer akkurat dette kan du sjekke ut presentasjonen med kommentarer i blogginnlegget «Livet er en pussig ting» fra 2015.

Poenget er – en skole trenger ikke samtykke for å lagre personopplysninger i en skytjeneste, så lenge skytjenesten er brukt som en del av opplæringen. Samtidig fratar dette ikke skolen ansvar for å følge Personopplysningsloven – tvert om faktisk.

Faktisk løser dette hele EFFs kritikk mot Google (og andre skytjenester), som rett og slett ikke treffer helt her i Norge på grunn av dette. Del 1 handler om utfordringer rundt foreldres informerte samtykke. Kritikken handler mye om at foreldre må gi samtykke og det er ikke alltid at dette samtykke inneholder alle detaljer. Dette er en utfordring i USA der foreldre  gi samtykke til slike tjenester før en skole kan bruke dem. Hvis du da ikke husker å spørre om at det som kan være aktuelt, er det ikke vanskelig å finne noe å kritisere i etterkant.

Del 2 i rapporten om handler amerikansk lov og den er nokså ulik norsk lov. I Norge har vi Personopplysningsloven og Datatilsynet som passer på at både offentlige institusjoner og private bedrifter følger loven. Del 3 konkluderer de egentlig med at det hadde vært fint om de i USA hadde hatt en lov som liknet en del på den norske Personopplysningsloven.

Så da er det jo bra at vi har den ;-)

Mens vi venter på Datatilsynets rapport

ctrl-buttonDa har Datatilsynet gjennomført sin stedlige kontroll på Harestad skole – og ting forløp omtrent som forventet. Det var ingen hemmelighet at de fleste av dokumentene vi sendte til Datatilsynet ble til etter at de hadde meldt kontrollen – noe de kunne bekrefte at ikke var uvanlig :-)

I korte trekk må ha vi flere ting på plass. Vi må være mer profesjonelle med internkontrolldokumentene våre og gjøre mer detaljerte risikovurderinger, sammen med bedre beskrivelser av hvilke type opplysninger som lagres i hver tjeneste (hvilke intenderte opplysninger som skal lagres). Jobben blir også å pensle ut rutiner mer skriftlig, som også inkluderer veiledninger for brukere av systemet om hva systemet er ment for og ikke ment for. Så til slutt et system for å sikre at vi formidler, følger og jevnlig justerer disse rutinene. Ja, det blir litt sånn rutiner for å sikre at vi har rutiner for de rutinene vi har.

Jeg fikk anledning til å spørre dem om et par ting jeg har lurt på lenge. Er det f.eks. nok at itslearning går god for Ephorus (plagiatkontrollen i itslearning) eller må kommunen ha en egen databehandleravtale med Ephorus for å kunne bruke den? Juristen fra Datatilsynet mente at dette var en separat tjeneste levert av en ekstern aktør utenfor itslearning, så ja – kommunen må inngå en databehandleravtale med Ephorus for å oppfylle lovens krav om databehandling. Det holder ikke at itslearning går god for dem. Tygg litt på den, alle plagiatkontrollelskende itslearning-brukere der ute :-)

Forresten – du må også ha en databehandleravtale med alle du har knyttet FEIDE-autentisering mot og du må ha internkontroll-dokumenter for dem. Så det er bare å sjekke om du har gjort det mot NDLA, KorArti, Matematikk.org, Multi, NRK Skole osv…

Et morsomt poeng i kontrollen er at Google Apps har lett tilgjengelig dokumentasjon om deres internkontroll, hvordan de sikrer data både teknisk og fysisk, hvem som har tilgang til informasjonen som legges inn og hva de gjør med informasjonen. De har også gjort tilgjengelig tredjeparts vurdering om i hvilken grad de lever opp til det de sier at de gjør. Dette er per dags dato ikke mulig å oppdrive for Visma FLYT Skole og Conexus PULS/VOKAL. Ikke det – jeg har snakket med både Visma og Conexus, og de har sagt at de skal lage dette og sende det til meg. Kan noen som bruker itslearning be dem om å supplere tilsvarende informasjon (som de bør kunne oppdrive for deg som dataeier)?

For de som er nervøse for hvordan det gikk med Google Apps for Education har jeg ikke annet å melde enn at den ikke skiller seg negativt ut fra andre digitale tjenester på nett (også norske). Utfordringen fra Datatilsynet er at mange skoler forholder seg til skytjenester som «hyllevare», hvor det bare er å kjøpe tjenesten og så bruke den. Datatilsynet er opptatt av at du må gjøre en jobb i forkant før du tar i bruk tjenesten. Du skal tenke igjennom (og skrive ned) hvilken informasjon som lagres, hvordan den forholder seg til eksisterende lovverk, hvilken risiko som knytter seg til lagringen av denne informasjonen og hvilke rutiner du har for å hindre uønskede hendelser/risiko. Du må også gjøre en vurdering om leverandør har god nok sikring og gode nok rutiner for å sikre de dataene du gir dem tilgang til som dataeier (det er det du skal sikre gjennom databehandleravtalen). Trikset er at dette er helt uavhengig om det er itslearning, Fronter, Facebook, Dropbox, Google Apps for Education, iCloud, Visma FLYT Skole, iTunes, KorArti, NDLA osv. Så lenge du ber elever om å bruke en skytjeneste hvor de legger igjen (teoretisk) identifiserbar personinformasjon skal du ha dette i boks. Lykke til! (Ikke glem alle de der appene på nettbrett som lagrer noe informasjon ett eller annet sted på der ute på Internett!)

Og så lover jeg at jeg skal legge ut internkontroll-dokumentet vårt for Google Apps for Education her på bloggen når vi har revidert det :-)

Huffda! Google Apps er forbudt i Norge

Da har Datatilsynet tenkt ferdig – og sagt at Google Apps i sin nåværende form ikke følger norsk lov. Jeg lenker videre til digi.no som trofast har fulgt saken og hvor du også finner brevet fra Datatilsynet til Narvik kommune.

I praksis sier vedtaket fra Datatilsynet at Google Apps ikke er lov å bruke av norske virksomheter som er pålagt å forholde seg til bl.a. personopplysningsloven. Utfordringen fremover er at nærmest alle skytjenester blir rammet av den samme kritikken som nå rammer Google Apps. I praksis betyr det at ingen norske virksomheter kan ta i bruk noen skytjenester – særlig om en ikke kan inngå noe annet enn en standardisert avtale. Dropbox, iTunes, iCloud, Amazon, Facebook, EverNote osv. – det er bare å tenke på en skytjeneste og sjansen er stor for at du ikke kan inngå noe annet enn en standardavtale og at de lagrer data rundt omkring i forskjellige land.

Jeg mener også at mye av kritikken til Datatilsynet også vil ramme norske skytjenester som itslearning og Fronter – og en del til. Jeg tror ikke jeg helt uten videre får lov til å kontrollere deres datalagre i den detalj Datatilsynet legger opp til. Jeg tror heller ingen klarer å garantere at det ikke ligger sensitive personopplysninger lagret der og jeg ikke at f.eks. Harestad skole får itslearning eller Fronter til å gjøre større endringer i systemet om vi skulle ønske det. Det er mang en norsk stor institusjon som har hatt sine høner å plukke med norske skytjenester uten at noe har skjedd. Meg bekjent inngår du ikke noe annet enn standardavtaler med itslearning og Fronter heller…

Hva gjør vi på Harestad og Grødem skole? Vi setter oss på gjerdet og venter. Jeg vil se hva både Narvik og Google gjør. Det er noe som får meg til å tro at Google er nokså interessert i ikke å miste hele det norske bedriftmarkedet. Og om det ikke skjer noe kommer vi rolig og stille til å rulle over på en lokal installasjon av Zimbra. Zimbra er fri programvare, men hvis vi betaler 8,- kr per elever og 80,- kr per ansatt i året får vi en god backuprutine og gode protokoller for å koble opp mobiltelefon mot løsninger – og jeg tror det er verdt det. Da likner det en del på Google Apps, men vi kommer i praksis til å gå ned i standard. Det er ingen som har en bedre webløsning enn Google – men den er foreløpig ikke lov i Norge…

OPPDATERING
Datatilsynet presiserer hvorfor de satte ned foten. De vil at Google skal endre vilkår for tjenestene sine.

Nettopp hostet opp fra Avalon (firma som selger Google-produkter i norden):

Hej Odin!
Jag vet att Google arbetar just nu för att ta fram ett avtal som lever upp till Norska Datatillsynet samt den Svenska motsvarigheten Datainspektionen.
Detta är jätteviktigt för många Google Apps kunder!
Hör av mig till er då vi vet mer.