Jeg tar meg den frihet å banne i GDPR-kirken

I forlengelsen av ideen om en støygrense skal jeg innom et par varianter som klart ikke ligger innenfor GDPR, men som kanskje ikke burde vært så farlig – og hvor det kanskje finnes en vei rundt de største hindrene.

Hva skjer når elever skal bruke tjenester som Biodigial Human eller Duolingo eller BookCreator (de supplerte meg nettopp med GDPR-kontrakten sin!) eller Kahoot eller Euclidea eller Kostholdsplanleggeren? Listen er ikke utfyllende ;-)

Noen av tjenestene over  du logge deg på for å kunne bruke, men andre er nesten meningsløse å bruke (over tid) uten at du har en konto. Når elever skal bruke Duolingo eller Biodigital må de logge seg på med en bruker. Begge er gode ressurser hver på sitt område. Biodigital lagrer navn og epost, og sikker noe om hvordan du bruker tjenesten. Biodigital trenger i utgangspunktet ikke denne informasjonen for å gi deg basistjenesten, fordi det du stort sett bruker tjenesten til er å vise / lete etter anatomi, men de vil ha den likevel. Duolingo lagrer navn og epost og progresjon i språklæringen, og sikker noe om hvordan du bruker tjenesten (sjekk ut selv ;-). Det gir mening at Duolingo trenger å lagre en eller annen form for identifikasjon, slik at nettstedet kan holde orden på hvor du var i løypen for å lære kinesisk neste gang du logger på. Dessuten sender Duolingo deg påminnelser i epost om at at du bør øve jevnt og trutt (helt til de gir opp :-).

For de fleste slike tjenester er det ikke enkelt (les umulig) å få tak i en databehandleravtale og eventuelt et godkjent overføringsgrunnlag til land/organisasjon utenfor EU/EØS. Les blogginnlegget «Samtykke og samtykke og frivillighet» nå, om du ikke har gjort det før. Du står nå i en situasjon hvor du enten må la elevene bruke tjenestene frivillig eller klare å få bruken innenfor opplæringsloven § 2-3 og si at elevene skal bruke det. Om du velger det siste tar du på deg ansvaret for personinformasjon som måtte flyte til tjenesten. Siden det ikke er mulig å få tak i en databehandleravtale må du igjen tenke litt over om du heller vil gjøre det frivillig eller om du vil prøve å få ting til så godt du kan.

Hva betyr det å få ting til så godt du kan? Jo, du må dokumentere så mye som du kan av behandlingen hos tjenesten (som er databehandler) og bruke denne dokumentasjonen til å vise at du i det minste har tenkt på hvilke og hvordan personopplysninger brukes. Sjekk ut «Terms of use«, «Privacy Policy» og liknende ressurser som alle netttjenester har. Det står mye der som kan være til hjelp med å finne ut hvordan personopplysninger blir brukt. Hvis en tjeneste ikke har disse ressursene lett tilgjengelig – da skal du tenke nøye igjennom ting! Det hjelper også godt på om du gjør deg opp en skriftlig vurdering om behandlingen av personopplysningene står i rimelig forhold til nytten og bruken av tjenesten. Og ja, jeg har laget et skjema som hjelper deg med alt dette, men det slipper jeg ikke før på sesjon 3H mandag 7. mai 2018 på NKUL 2018…

Nå lover jeg på ingen måte at dette får deg innenfor det Datatilsynet synes er godt nok. Jeg er rimelig sikker på at de av prinsipp ikke liker ting hvor du ikke har en kontraktfestet databehandleravtale. Samtidig har du absolutt ingen sjanse om du ikke har gjort det. Dette kan være forskjellen mellom en bot eller et avvik (som du vel og merke kanskje ikke klarer å lukke).

Så langt lett banning – her kommer noen mer grove gloser…

I prinsippet kan du bruke søkemotoren Google uten en databehandleravtale, men bruker du Euclidea må du ha en databehandleravtale med dem (de lagrer epost, navn og progresjon). Samtidig lagres det mindre reelle og viktige personopplysninger i Euclidea enn det som lagres når du søker etter noe på Google eller YouTube. Hvorfor må jeg ha databehandleravtale på det som er så godt som uviktig, men ingenting på det som kan inneholde mer juicy personinformasjon? Navn og epost er knapt nok personinformasjon i denne sammenhengen og eposten til eleven vil dessuten være ubrukelig når eleven ikke er elev lengre (fordi da slettes den – ikke sant?!). Kan jeg si at tjenester som bare lagrer uviktige personopplysninger kan gå under «støygrensen» og jeg trenger ikke å gjøre mer (altså ikke noe mer enn jeg gjør når elever søker på Google – som er ingenting)? Den er mer frekk, men kanskje det burde være noen slike tanker i omløp også?

Oppsummeringen av de tre blogginnleggene om NKUL2018 blir omtrent som følger – Ta deg den friheten å vurdere om en tjeneste på verdensveven er under «støygrensen», selv om den samler inn epost, navn og kanskje noen andre uviktige/naturlige data. Vurder om nytteverdien står i rimelig forhold til formålet og da om du gjør den obligatorisk for elevene dine. Gjør gjerne vurderingen skriftlig, slik at du (og andre) vet hva du har tenkt. Det er veldig mye bedre enn å bare ikke si noe til noen (og da heller ikke tenke gjennom ting), som jeg tror er status på mye av det digitale arbeidet som foregår i klasserommet i dag.

«Jeg tar meg den frihet. Der ligger hemmeligheten med frihetens vesen. Man tar seg den. Ingen gir oss frihet, vi må ta den selv.» – Jens Bjørneboe

Epilog – Alt det jeg har skrevet om nettsider i disse tre bloggpostene gjelder selvfølgelig også for apper til iPad og Android. Det er som regel mye verre der, fordi du alltid er identifisert i appen med kontoen på nettbrettet/mobiltelefonen.

Samtykke og samtykke og frivillighet

Ehh… feil samtykke… fnis…

Hvem skal samle inn samtykke når elever skal bruke digitale tjenester som behandler personopplysninger? Spørsmålet høres kanskje banalt ut, men siden jeg nå begynner innlegget med dette spørsmålet så er det vel kanskje ikke det ;-)

I skoleverden er samtykke et ord som dukker opp med jevne mellomrom og som nå i forbindelse med personvernforordningen (GDPR) er høyaktuelt. I GDPR knytter det seg til spørsmålet om lovlighet, altså med hvilken rett du har lov å behandle personopplysninger.

I artikkel 6 i GDPR finner du de ulike kriteriene for lovlig behandling av personopplysninger. Overfor elever er det i praksis punkt 1a) om samtykke og punkt 1c) om lovpålagt oppgave som er de to mulige grunnene for lovlig behandling. Hvis du skal behandle personopplysninger i skolen må du altså enten begrunne det i lovpålagt oppgave, f.eks. Opplæringsloven § 2-3 eller § 13-ett-eller-annet, eller så må det være ved samtykke fra eleven / foresatte. Bruk av de fleste digitale læringsressurser og verktøy kan du definere som lovpålagt oppgave med henvisning til § 2-3. Da trenger du ikke samtykke for å si at elevene kan, eller skal, bruke dem. Om du må bruke samtykke kan selvfølgelig eleven si nei – og da har du ikke lov å bruke personopplysningene til det formål du ønsket.

Poenget er at valg av punkt 1a) eller 1c) i artikkel 6 i GDPR bare sier noe om lovligheten i behandlingen av personopplysningene – at du har lov til å behandle dem. Det er to ulike begrunnelser for å ha lov til å gjøre det samme. Når du har lov er det revnende likegyldig hvilket punkt du brukte. Om du definerer det i lovpålagt oppgave eller har samlet inn samtykke har du et ansvar for at behandlingen av personopplysningene foregår på en korrekt måte. Dette ansvaret følger retten til å behandle opplysningene. Hvis du setter ut behandlingen av personopplysningene til en databehandler, er det det et krav i GDPR at du må ha en avtale med denne slik at du kan sikre at behandlingen foregår på rett måte.

Hvis du vil unngå å ha ansvar for behandlingen må du gjøre noe annet. Da må det du ber eleven om må gjøre være frivillig og et eventuelt samtykke til bruk av personopplysninger må gjøres mellom den enkelte elev og den eksterne tjenesten. Altså er skolen helt ute av loopen! Men frivillighet i skole er ikke enkelt. Frivilligheten skal være reell. Eleven skal ikke på noen måte føle seg presset og det skal ikke på noen måte gå ut over eleven om de ikke ønsker å være med. Elever må kunne si «nei» uten at det blir et problem på noen måte – hverken praktisk, emosjonelt eller sosialt. Jeg håper at de fleste lesere av bloggen ser at dette kan være en utfordring i skolen.

Tommelfinger-regelen blir da – Om du bruker artikkel 6 1a) eller 1c) fra GDPR er revnende likegyldig, bortsett fra at elevene kan si nei til et eventuelt samtykke. Skolen har fremdeles ansvar for hvordan personopplysningene blir brukt. Hvis du pålegger elever å lage en konto hos en tredjepart / databehandler må du begrunne det med artikkel 6 punkt 1c) og du er ansvarlig for hvordan databehandler bruker personopplysningene. Om samtykke samles inn av skolen, sitter skolen med ansvaret for bruk. Om samtykke samles inn av tredjepart/tjenesten, sitter tredjepart med ansvaret – men da må bruken for eleven sin del være frivillig.

Hvis du tror at det å samle inn samtykke til skolen løser behovet for en databehandleravtale – så tar du altså feil. Du kan ikke bruke samtykke for å slippe å ha en databehandleravtale. Da må du over på frivillighet.

Så… praktisk anvendelse i klasserommet – hvis du vil at elevene skal bruke https://bookcreator.com (eller denne eller denne eller denne osv…) må du først bestemme deg for om det skal være frivillig eller ikke. Er det ikke frivillig kan du bruke GDPR artikkel 6 punkt 1c) med henvisning til § 2-3 i Opplæringsloven, som begrunnelse for å behandle personopplysninger. Du må også ha en databehandleravtale med Bookcreator og gjort dine vurderinger etter GDPR for å leve opp til det ansvaret du har for behandlingen av personopplysningene.

Hvis det er frivillig må elevene lage konto hos Bookcreator frivillig og samtykke til Bookcreators betingelser – overfor Bookcreator. Disse elevene kan bruke tjenesten i faget ditt. De andre kan ikke. Så det så…

PS! Dette er en del av en tenkt tankerekke til NKUL seinere i år :-) Alle kommentarer mottas med hjertelig takk!’

Nye opplysninger 22. april 2018 – Bookcreator har nettopp gjort alle nødvendige endringer for å være innenfor GDPR! Nå kan du enkelt få tak i de opplysningene du trenger for å bruke Bookcreator innenfor § 2-3.

Helt på kanten

Det finnes et spørsmål som kommer igjen og igjen når jeg snakker om digitalisering av skolen – «Hva gjør dere med filmer og DVDer og sånt?». Spørsmålet aktualiseres alltid fordi Chromebooker ikke støtter noen form for avspilling fra DVD eller Blu-ray. Svaret mitt er som regel en variant av dette…

Det beste er å «rippe» DVD og Blu-ray over til et digitalt filmformat, f.eks. mp4, og legge det på Google Disk. Da kan lærere vise filmen direkte i klasserommet ved behov og det er enkelt å hoppe til det stedet i filmen du vil vise.

Det første du trenger er en windowsmaskin med en DVD- og/eller Blu-ray-spiller. Så laster du ned programmet Handbrake. Programmet er rimelig enkelt å bruke og du kan rippe DVDer med ulike lyd- og tekstspor uten å gjøre noe mer enn å sette inn DVDen og klikke deg igjennom noen av fanene. Det du må bestemme deg for er hvilket lydspor og eventuelt hvilken teksting du vil ha med i filmen, så det kan hende du må lage flere utgaver av samme film om du ønsker ulike lydspor og tekstinger. Men det er jo ikke noe problem når du har ubegrenset med lagringsplass i Google Disk ;-)

Når filmen er rippet legger du den enkelt over i en mappe i Google Disk og setter DVDen i en hylle på skolen hvor den alltid skal stå. Ikke la noen ta den ut derfra noensinne igjen!

Skal du rippe Blu-ray må du første kjøpe og installere AnyDVD før du kan bruke Handbrake mot Blu-ray-platene. Ellers er det helt likt å rippe en DVD.

Så kommer det andre spørsmålet – «Er dette lov?». Det er et mye vanskeligere spørsmål. Vi begynner med det første først. Det er lov å se hvilken som helst film i skolen, så lenge det er undervisningsrelatert og publikum er begrenset til en klasse. Da er det ikke en offentlig visning. Ikke la deg lure av skremmeskrivene Norwaco og andre sender rundt. Det som ikke er lov er å vise film uten at det er undervisningsrelatert, altså i SFO (som ikke er undervisning) eller til «juleavslutning», eller til mer enn én klasse (altså f.eks. hele trinnet eller hele skolen). Du har altså ikke lov å ha en «skolekino». KS sine advokater har en god orientering om dette på sine nettsider.

Delrett.no sier naturlig nok helt rette ting om dette, selv om de disse setningene ikke kommer før slutten av teksten:

For grunnopplæringen gjelder at visning av en spillefilm som del av undervisningen i en skoleklasse er å oppfatte som “privat bruk” og fordrer derfor ikke avtaler eller avklaring med rettighetshaverne.

Det er også slik at film kan siteres i medhold av sitatregelen i åndsverksloven. Det betyr at du kan bruke korte filmklipp i tilknytning til det som sies i undervisningen, enten ved at dere diskuterer det filmklippet som fremføres, eller filmklippet brukes for å illustrere eller understreke et poeng i det som sies.

Neste utfordringer om det er lov å vise rippede filmer, selv om skolen eier mediet filmen er rippet fra? Den første utfordringen er at det ikke er lov å rippe filmer i Norge lengre. Etter DVD-Jon-saken kom det i 2005 et tillegg i Åndsverkloven § 12 og § 53a som sier at…

Det er forbudt å omgå effektive tekniske beskyttelsessystemer som rettighetshaver eller den han har gitt samtykke benytter for å kontrollere eksemplarfremstilling eller tilgjengeliggjøring for allmennheten av et vernet verk.

Så siden både DVDer og Blu-rayer er kryptert er en omgåelse av dette altså ikke lov. Vi kan alltids stille spørsmål ved om de tekniske beskyttelsessystemene er «effektive» når det er så enkelt å omgå dem ;-). I artikkelen om «Ripping» i Wikipedia er det et avsnitt om hvordan spørsmålet om kopiering av DVDer forstås i USA:

This case made clear that manufacturing and distribution of circumvention tools was illegal, but use of those tools for non-infringing purposes, including fair use purposes, was not.

Men i England er de ikke enig i dette. Hva status er i Norge i dette nyansespillet er uklart. Advokat Thomas Rieber-Mohn har levert en doktoravhandling om temaet hvor konklusjonen, i korte trekk, er at retten til privatkopiering bør beskyttes i en justering av loven (der det bør være lov å omgå kopibeskyttelsen) (litt mer detaljer i Eirik Newths blogg).

Kan vi ikke omgå hele DVD/Blu-ray-greiene ved å bruke Netflix, HBO, ViaPlay eller Altibox? Problemer her er at selv om du har lov å vise film i skolen av rettighetshaver og norsk lov, har du ikke lov av Netflix og gjengen. Du inngår nemlig en avtale som privatperson (se f.eks. Netflix sine vilkår punkt 4.2). En skole kan i prinsippet ikke ha en Netflix-konto og det er upraktisk om en skole skal dele én Netflix-konto (du har max 4 samtidige visninger i det dyreste abonnementet). Om Netflix noen gang kommer til å bry seg om dette er en annen sak, men det er ikke lov av den grunn. Dessuten er Netflix en notorisk usikkert kilde i undervisningen da de hele tiden bytter ut hvilke filmer som er tilgjengelige. Men hva gjør vi den dagen gode og nødvendige filmer bare publiseres hos Netflix?

Så hvor står vi da med rippingen av filmer der skolen eier en fysisk kopi av filmene. Er det lov? Hva er verst / best? En situasjon der skolen eier DVD-/Blu-ray-en, men har rippet den og viser en digital kopi til elevene, eller der skolen ikke kjøper noenting og lærerne bruker sin private Netflix-konto til å vise film til elevene? Eller tror noen virkelig at skoler i fremtiden kommer til å ha DVD/Blu-ray-spillere i hvert klasserom og en masse fysiske plater liggende på skolebiblioteket?

Ripping er i beste fall på kanten og kanskje ikke verre enn mye annet som er dagligdags praksis i skolen. Husk at det ikke er lov å endre på tekster i sanger, heller ikke i skolen. Det er faktisk ikke lov å lage en ny tekst til «Visen om Bamsens fødselsdag». Du har lov å fremføre sangen i skolen (men ikke offentlig) så mye du vil, men du har fremdeles ikke lov å endre teksten (eller melodien). Hvis du har tenkt å fremføre sangen under en 50-års dag, så bør teksten handle om Bamsefar og ikke jubilanten. Tror jeg noen bryr seg? Nei, men det er ikke lov likevel. Og bare så det er sagt – du har heller ikke lov å endre eller bearbeide teksten i læreboken du bruker i undervisningen din.

Å ja – hva med musikk? Det er faktisk mye enklere, så sant du har Norwaco-avtalen i boks. Seriøst, du klarer nesten ikke bruke musikk i skolen lovlig uten denne avtalen – uansett hva du gjør. Ripp CDen med fre:ac eller CDex. Legg den over i Google Disk og distribuer musikken derfra. CDer er ikke kryptert, så du gjør ikke noe ulovlig der.

Forresten… NDLA har en god samlingen med filmer du har lov å bruke så mye du bare vil, så kanskje NDLA ikke er en dum ide :-)

Eksamen i eksamen…

Stavanger (og en rekke andre kommuner) har kjøpt inn Chromebooker – og noen «Sår tvil om elevenes nye maskiner kan brukes på eksamen«. Jeg er ikke helt sikker på hvem som sår denne tvilen, men har en mistanke om at det er journalisten i NRK. Hvorfor blir det så mye styr når NRK kommer på banen? Kan de ikke sette seg bedre inn utfordringene de prøver å avdekke? Når de ikke gjør det blir det bare rot. De rører i vannet og roper ut at nå er vannet grumsete.

Irritasjon er en god inspirator for å ordne i tanker som dukker opp. Det første er sentralt gitt eksamen aka skriftlig eksamen. Jeg liker den ikke. Den er feil. I 10 år prøver vi å lære opp elevene til å bli gode til å samarbeide – både med medelever og lærer. Evnen til samarbeid er sentral i dagens og fremtidens voksenverden. Vi prøver også å få elevene til å spørre om hjelp når det er noe de ikke får til. De kan spørre andre elever og de kan spørre lærer. Vi har idealer i formålsparagrafen vi også jobber jevnt og trutt med. Les paragrafen en gang til. Det skader ikke. For egen del fungerer den som et korrektiv mot en del ting vi lett kan glemme i skolehverdagen. Så… etter 10 år med tillit, skaperglede, respekt og samarbeid kulminerer det hele i den store dagen. Dagen over alle dager i grunnskolen – Eksamensdagen! Resultatet av grunnskolen for den enkelte elev skal vise igjen i et tilfeldig trekk i ett av fagene norsk, matematikk eller engelsk. Stemningen er til å ta og føle på når elevene skal få vite hvilket av disse fagene de kommer opp til eksamen i – og det er enda mer å føle på når de har fått vite det. Jeg vet jeg overdriver nå – men det er faktisk slik det oppleves på skolene, både for lærerne og elevene. Hele ungdomsskolen har en tendens til å fokuseres inn mot eksamen, både praktisk og emosjonelt.

Eksamensdagen er annerledes enn alle andre skoledager elevene har opplevd. Denne dagen får de ikke lov til å samarbeide eller spørre om hjelp. De er helt alene. Vi stoler heller ikke på at vi har klart å gjøre dem til de menneskene formålsparagrafen sier er hensikten med opplæringen. Plutselig behandler vi alle elevene som om de er noen upålitelige juksemakere og vi må ha knallharde systemer for å hindre at noen av dem skulle snike seg til noe hjelp. Og for å si det med Halvor Thengs – «Herregud, fiks eksamen«!

Og det blir med denne dagen – de neste gangene de kommer til å oppleve slike dager igjen er i videre skolegang. Når de kommer ut i det virkelige livet utenfor skolen – handler det igjen om samarbeid og lagspill. Det er et sprik her som er vondt og feil.

Faktisk synes jeg at lokalt gitt eksamen (aka muntlig) er den rette måten å gjøre det på – hvis det å gi elevene en autentisk prestasjonssituasjon er poenget. Der får eleven en oppgave som må løses en viss tid i forveien. Eleven kan samarbeide med hvem som helst for å løse oppgaven, men til slutt står eleven alene og skal «løse» oppgaven (og de får litt hjelp om de står helt fast!). Dette er en helt reell situasjon for svært mange i arbeidslivet.

Det andre jeg vil bringe inn i diskusjonen NRK trekker opp er at elever som vil fuske alltid vil få det til. I artikkelen til NRK løftes Chromebooken frem som om den er en ny kilde til fusk som ikke lar seg stoppe. Det er selvfølgelig vrøvl. I praksis finnes det bare 2½ løsninger som kan fungere som noenlunde sikre tekniske løsninger for IKT-folk, lærere og skoleledere (og NRK-journalister) med panikkangst for hva elever kan finne på. Den ene er ikke-personlige maskiner med kablet nettverk (ikke wifi overhode) og som er begrenset i bauger og kanter til bare å kjøre eksamen på lokalt installert programvare. Den andre er virtuelle maskiner med begrensede skriveverktøy som bare er tilgjengelig på gitte nettverk som den personlige maskinen må være koblet opp mot. Den halve løsningen er når du installerer et program på maskinen som skal «låse den ned». De er for enkle å omgå har det vist seg. Uansett – alle disse løsningene er praktisk ikke gjennomførbare på alle landets 1182 10.-trinn som skal opp til eksamen hvert år.

Alle andre løsninger er svært enkle å omgå. Alle løsninger der elevene stiller med sin private bærbare digitale enhet kan lett omgås med et adhoc trådløst nettverk fra en mobiltelefon gjemt i sekken. NRK (og de fleste andre) glemmer at spørsmålet om fusk på en digital eksamen ikke er begrenset til nye løsninger. Det er et vel så stort problem på de «gamle». De glemmer også at en mobiltelefon eller bok eller ark eller hva-det-skal-være på do fremdeles fungerer veldig godt som fusk.

Men for å ta utfordringen NRK legger opp til… Først skal jeg presisere at det er ikke noen problemer med Chromebooken i seg selv. Det er bare en bærbar datamaskin. Utfordringen NRK og Stavanger-skolen peker på knytter seg til at elevene skal gjennomføre eksamen på GSuite for Education. Det er enkelt å låse ned Chromebookene slik at elevene ikke har fri tilgang til Internett – mye enklere og sikrere enn alle andre løsninger jeg kjenner til. Utfordringen er knyttet til hvordan vi kan stoppe elever fra enkelt å dele Google Dokumenter med hverandre. Det er dette som er hovedutfordringen – og det finnes flere gode løsninger. Noen krever mye arbeid og låser ned mye. Andre er enklere å implementere, men krever mer opplyste vakter. Poenget er at det ikke er så forskjellig fra andre løsninger. Noe er lett å stoppe, andre ting er vanskeligere å stoppe – alt etter teknisk løsning. Så langt mener jeg at vi har gode nok rutiner for hvordan vi sikrer GSuite for Education og Chromebook i en eksamenssituasjon.

Her er min til nå hemmelighetsfulle skisse til hvordan du kan gjøre GSuite og Chromebook rimelig trygge til eksamensbruk. (PS! Den er skrevet for administratorer i GSFE.)

 

 

Hvem bryr seg? Egentlig ingen…

Hvem bryr seg egentlig om personvernreglene (utenom Datatilsynet)? Ingen.

Personvernutfordringen min til deltakere på NKUL var ikke akkurat en suksess. Ingen la noe inn på skjemaet, bortsett fra en leverandør som skrev om seg selv og lurte på om de var «innenfor» :-). Selv snakket jeg med et par leverandører. Den ene ble tilfeldigvis itslearning, ikke fordi jeg aktivt oppsøkte dem, men fordi jeg gikk forbi og salgs- og markedssjef Trond Skeie sa «Hei!». I følge ham hadde de faktisk hatt et møte rett før NKUL om poengene i utfordringen min. De hadde ikke noe godt svar på hvordan de skulle vise meg at de gjorde det som stod i kontrakten – men de var på saken (som de så ofte er). Og at de ikke hadde slettet Fronter og itslearning-kontoene til Randaberg kommune var en glipp. Sikkert :-)

Det forrige innlegget på bloggen min om reelle utfordringer ift personvernrelgene laget ingen utslag i bloggloggen min i det hele, ut over bakgrunnstøyen. Altså er det i praksis ingen som har lest den. Dette har jeg sett før – ting jeg synes er viktig (og som jeg synes jeg jobbet litt med) synes andre ikke er viktig i det hele, mens helt banale ting kan ta helt av :-)

Selv har jeg konkludert med at vi egentlig ikke bryr oss så veldig om personvernutfordringer. Et visst engasjement finner du når noen vil kritisere tjenester de likevel ikke liker/bruker, men blikket på egen praksis kan ofte være nokså sløvt – hvis du ikke tar deg selv i nakken og våger å ta et utenfra-perspektiv på egen praksis. Du fremstår lett som en gledesdreper hvis du virkelig vil holde god standard på bruk av personopplysninger i skolen. Likevel mener jeg det er nødvendig og av og til si «nei, dette må vi se på først» før en trør i gang nye tjenester. Utfordringen er kanskje mest å få overordnede til å godta at dette tar tid – og at ingen har brukt så mye tid på dette før.

Vi har et eksempel på dette i Randaberg kommune for tiden. Sentrale personer i kommunen har oppdaget det nye personverndirektivet som trer i kraft mai 2018 og det ble skrapt sammen et møte med sentrale personer fra de ulike områdene i kommunen. Det ble raskt tydelig at få hadde tenkt og det gjenstår et godt stykke arbeid for at kommunen skal være innenfor de nye reglene innen mai 2018. Ikke det at kommunen har dårlig praksis. Jeg tror det meste er rimelig ok, men det er det som er problemet – jeg tror. Det er ikke gjennomført risikovurderinger og gjennomganger av disse for hverken lokale eller eksterne tjenester – bortsett fra i skolen. Selv om vi i skolen også har ting som kan være bedre ligger vi et hestehode foran.

Men om jeg legger ned en masse arbeid i å skaffe nødvendig bakgrunnstoff, lager internkontrollskjema og utforme databehandleravtaler med alle løse skytjenester – kommer det til å bety noe i praksis? Kutter vi ut AskiRaski, Brettboka, Klassetrivsel.no, M+ osv. hvis de ikke vil/klarer å levere oss nødvendig bakgrunnstoff slik at vi kan lage et internkontrollskjema og en databehandleravtale som er god nok? Jeg tviler både på at noen med makt og myndighet kommer til å gjøre det – eller at de ulike tjenestene kommer til å endre praksis. De store aktørene tar grep, fordi de må. Visma, IST, Microsoft, Google, kanskje til og med Apple kommer til å legge ting tilrette – mest fordi de konkurrerer mot hverandre og en tjeneste som ikke er tilpasset de nye personvernreglene kommer til å ha en reell ulempe i konkurranse med de andre.

Men hvorfor bryr vi oss ikke? Hvorfor synes vi ikke det er viktig å følge akkurat disse lovene? Mitt tipp er at det er fordi det kan være komplisert å forstå omfanget av digital informasjon på ville veier og at endringer kan være omfattende (og da en god del arbeid både teknisk og i organisasjonen) – og vi må kanskje også gjøre en del IKT-tjenester mer tungvindt å bruke. Enkelt og praktisk er ofte ikke særlig sikkert. Resultatet er en form for apati – ingen vet helt hvor de skal begynne. Endringene er for uoversiktlige og omfattende.

Ta f.eks. opptaket til videregående skole som jeg skrev om i forrige blogginnlegg. Hva om VIGO ikke vil gjøre noe – at de ikke gidder å lage noen avtale med oss i kommunen. Hva skal vi gjøre da? Nekte å overføre data til dem? Hvem går det ut over? Jo, elevene. Og hvem får skylden? Garantert vi på skolekontoret i grunnskolen. Hvem er motivert for å endre praksis? Eller for å si det mer pedagogisk – hvem eier problemet?

Og en ting til – det er slitsomt å tenke på at hver kommune sitter for seg selv med disse utfordringene. Vi i Randabergskolen har antakeligvis like mange ulike skytjenester (og interne tjenester) som Stavangerskolen, Gjesdalskolen, Trondheimskolen og [tenk-på-en-liten-kommune]skolen. Store kommuner har kanskje bedre ressurser til å lage disse planene (og presse tjenesteleverandør) enn små kommuner, men vi skal alle og enhver lage hver våre egne avtaler og internkontrollskjemaer. Hvordan kan vi lette og kvalitetssikre dette arbeidet for kommunene – altså hvordan kan vi samarbeide om dette? Kan vi ikke lage oss en «infobank»/en wiki med internkontrollskjemaer, RoS-analyser og bakgrunnstoff fra tjenesteleverandør og gjøre dette på en dugnad slik at vi alle slipper å finne opp kruttet hver på vår tue av varierende størrelse?

Og til ettertanke for alle som jobber i Randaberg kommune – sjekk ut lenken https://hrm.randaberg.kommune.no. Ikke så spennende, ser det ut til. Det er her vi søker om ferier, finner lønnsslipper, leverer egenmelding, fyller ut reiseregninger osv. Men hva om en annen hadde brukernavn og passord til en ansatt i Randaberg kommune? Jeg har levert en avviksmelding på denne tjenesten og den lyder:

Beskrivelse
Det er mulig å logge på https://hrm.randaberg.kommune.no fra et åpent Internett (altså fra hvor som helst i verden). Pålogging er enkelt brukernavn og passord. Det er da mulig å få tilgang til sensitive personopplysninger, mest knyttet til helse (egenmeldinger / fravær), men også andre personlige opplysninger om f.eks. ektefelle og barn, søknad om jobb, ferier, reiseutgifter osv. Det er også mulig å få tak i lønnsslipper med alt det dette inneholder av personlige opplysninger.
Konsekvenser av hendelsen
Andre kan rimelig enkelt få tilgang til ansattes helseopplysninger og andre svært private opplysninger.
Forbedringsforslag
Innføre sterk autentisering på nettjenesten eller legge tjenesten bare tilgjengelig via intranettet i kommunen (altså at du må være på en jobbmaskin for å få tilgang eller logget på via Citrix – som har sterk autentisering).

Blir spennende å se hva som skjer. Det er tungvint, men mer korrekt…

Alternative fakta i kommunestyret

Stange kommune hadde 31. mai 2017 kommunestyremøte. Der var det en interpellasjon fra FrP om at kommunen burde slutte å bruke itslearning og heller velge noe billigere og mer tidsriktig. Naturlig nok, kanskje, ramlet det inn en epost fra itslearnings salgs- og markedssjef Trond Skeie dagen før møtet. itslearning mente interpellasjonen inneholdt en rekke faktafeil og følte seg forpliktet til å informere før møtet. En liten fugl tvitret til meg om at itslearning i dette brevet hadde litt «alternative fakta» om situasjonen – og så dukket en kopi av eposten opp i innboksen min.

Hva er det itslearning føler de trenger å informere om? Her er kopien av eposten – ta en kikk, den er ikke så lang.

Om itslearning er utdatert eller ikke er en delvis subjektiv sak, så den skal vi la ligge. Jeg tror likevel at mange er enige med Stange FrP i akkurat dette og en løsning blir ikke nødvendigvis mindre utdatert på grunn av produktforbedringer. At Stange kommune har høy bruk av itslearning er vel kanskje ikke så rart om de er en aktiv IKT og skole-kommune og itslearning er det verktøyet de har. Det litt pussige er at Skeie tar seg bryet med å sjekke dette før han sender eposten – og at han gjør det til et poeng.

Så begynner det å skli litt ut. Hva Skeie legger i «sentrale funksjoner som vurdering og fraværsføring» (min utheving) er litt uklart. Både Microsoft og Google har i høyeste grad systemer for vurdering og de er bedre enn itslearning sine – alt etter hva du mener med «vurdering». Fraværsføring er, meg bekjent, en oppgave for det skoleadministrative systemet og ikke læringsplattformen. Jeg vet at itslearning kan overføre fraværsopplysninger til andre systemer og jeg tipper det er dette som er tilfelle her. At det å føre fravær er en «sentral» funksjon i en læringsplattform synes jeg er å blande kortene kraftig. Jeg regner med at Stange, i likhet med mange andre kommuner, er i ferd med å skaffe seg et skybasert skoleadministrativt system. Dette vil og skal være stedet hvor de fører fravær. Det er en uting å blande snørr og bart. Et skoleadministrativt system er et skoleadministrativt system og en læringsplattform er ikke et skoleadministrativt system. Du bør ikke blande disse to funksjonene (og det går begge veier!).

Samskrivingen Skeie viser til er vel at itslearning har integrert muligheten for at brukere i itslearning kan bruke Office365 og GSuite integrert i itslearning. Da er det ikke itslearning som har samskriving, men Microsoft og Google – og da må jo brukerne ha tilgang til Office365 eller GSuite for å benytte seg av denne samskrivingen.

Og så ser det ut til at itslearning er på glid i forhold til å gi Stange kommune et godt tilbud for ikke å miste dem (og itslearning har mistet mange små og store kommuner de siste årene). Det er i alle fall slik jeg leser den setningen :-)

Deretter kommer det en ordentlig brøler – «Hverken Google Suite for Education eller Microsoft sin løsninger er gratis.». Hæ?! Hva?! Jammen… Jo, det er gratis! GSuite for Education er gratis på samme måte som itslearning ikke er det. Skoler betaler ingenting for å bruke GSuite for Education for så mange elever de bare kan tenke på – og Google har tenkt å holde det slik. Microsoft har også gratis løsninger for skolen, selv om de fleste pleier å gå for den utgaven som koster litt. Det er ikke E5-lisenser, men academic-lisenser der kommunen betaler svært billige lisenser for lærerne og så er alt gratis for elevene. Det salgs- og markedssjef for itslearning skriver her er direkte feil og misvisende. Skeie ikke bare bør vite bedre. Han skal vite bedre enn å sleive om andre produkter enn hans egne. Enten så sprer han løgn eller så er det grove hull i kunnskapene hans om hvilke produkter og tilbud som eksisterer der ute. Uansett burde han ikke si noenting som helst om annet enn sitt eget produkt.

Og hva endte interpellasjonen opp med? I protokollen fra kommunestyret kommer det helt korrekt frem at dette kanskje ikke er et spørsmål som kommunestyret skal mene noe direkte om. Men… i følge tvitteret ble eposten fra itslearning referert av ordfører som om alt var fakta og korrekt. Jeg håper jo at dette ikke er tilfelle, fordi agendaen i eposten er så åpenlys at det heller burde utløst latterkrampe og en god kaffepause…

PS! Skulle gjerne likt å vite hva Microsoft og Google tenker om denne eposten fra itslearning til Stange kommune.