Etter runden om Google Apps for Education på NKUL har det ramlet inn eposter med spørsmål fra fjern og nær i skole-Norge. Og det er jo gøy! :-)
Det er tydeligvis en del skole og kommuner der ute som har lyst til å komme seg videre i verden med å satse på Google Apps for Education. Mange har lurt på problemstillingen rundt Google Apps for Education og databehandleravtale – og jeg har svart etter beste evne. Men… jeg har alltid hatt en gnagende tvil om det jeg har svart har vært helt riktig. Ikke det at jeg har sagt feil ting – jeg har bare ikke vært heeelt bombesikker på alle detaljene. Jeg tok derfor en liten ekstra runde med et par av aktørene knyttet til saken i Narvik og fikk litt mer ro i sjelen.
Spørsmålet om databehandleravtale mellom Google og organisasjonen er nokså greit å svare på. Bedriften/kommunen/skolen må godta standardavtalen en inngår ved oppstart av Google Apps (for Education) i tillegg til to ekstra som er laget for EU. Google signerer ikke egne kontrakter, ei heller lager unike kontrakter, knyttet til Google Apps for Education (eller for Business, for den saks skyld). Det er det samme om du er en bedrift, kommune eller skole – eller om du bruker en Google Partner som f.eks. www.avaloncloud.com – det standardkontrakten(e) med Google som gjelder om du vil bruke Google Apps. Google-partneren Avalon Cloud, som hjalp Narvik kommune på vei, mener ikke med at det er noe problem å bruke Google Apps i Norge, siden Datatilsynet har gitt grønt lys ift at det er OK å bruke Google Apps med de kontraktene som finnes i dag.
Det som du til gjengjeld ikke skal kimse av, og som jeg tror mange hopper bukk over, er at du skal gjennomføre en sikkerhets-/risikoanalyse før du går i gang med en skytjeneste. Det er det samme om det er itslearning, Google Apps, DropBox eller [sett inn navnet på skytjenesten din]. Du må dokumentere rutiner for data som går inn og ut av tjenesten og at informasjon som ikke kan eller skal være der ikke havner der. Hvilke rutiner har du for at ingen laster opp IOPer på Google Disk? Og hva gjør du for å avdekke om noen har gjort det – og hva gjør du da? Du må være sikker på at du vet hvordan du setter opp og bruker tjenesten, og hva den innebærer for organisasjonen. Disse tingene bør du også kunne vise frem om Datatilsynet spør, slik at du kan vise at du har tenkt igjennom datasikkerhet og -rutiner knyttet til systemet på en god måte.
Forresten… opp med hånden de som har laget en god sikkerhets- og risikoanalyse før de dro igang itslearning/fronter, iCloud eller [skytjeneste]? ;-)
Legg igjen en kommentar