Eksamen i eksamen…

Stavanger (og en rekke andre kommuner) har kjøpt inn Chromebooker – og noen «Sår tvil om elevenes nye maskiner kan brukes på eksamen«. Jeg er ikke helt sikker på hvem som sår denne tvilen, men har en mistanke om at det er journalisten i NRK. Hvorfor blir det så mye styr når NRK kommer på banen? Kan de ikke sette seg bedre inn utfordringene de prøver å avdekke? Når de ikke gjør det blir det bare rot. De rører i vannet og roper ut at nå er vannet grumsete.

Irritasjon er en god inspirator for å ordne i tanker som dukker opp. Det første er sentralt gitt eksamen aka skriftlig eksamen. Jeg liker den ikke. Den er feil. I 10 år prøver vi å lære opp elevene til å bli gode til å samarbeide – både med medelever og lærer. Evnen til samarbeid er sentral i dagens og fremtidens voksenverden. Vi prøver også å få elevene til å spørre om hjelp når det er noe de ikke får til. De kan spørre andre elever og de kan spørre lærer. Vi har idealer i formålsparagrafen vi også jobber jevnt og trutt med. Les paragrafen en gang til. Det skader ikke. For egen del fungerer den som et korrektiv mot en del ting vi lett kan glemme i skolehverdagen. Så… etter 10 år med tillit, skaperglede, respekt og samarbeid kulminerer det hele i den store dagen. Dagen over alle dager i grunnskolen – Eksamensdagen! Resultatet av grunnskolen for den enkelte elev skal vise igjen i et tilfeldig trekk i ett av fagene norsk, matematikk eller engelsk. Stemningen er til å ta og føle på når elevene skal få vite hvilket av disse fagene de kommer opp til eksamen i – og det er enda mer å føle på når de har fått vite det. Jeg vet jeg overdriver nå – men det er faktisk slik det oppleves på skolene, både for lærerne og elevene. Hele ungdomsskolen har en tendens til å fokuseres inn mot eksamen, både praktisk og emosjonelt.

Eksamensdagen er annerledes enn alle andre skoledager elevene har opplevd. Denne dagen får de ikke lov til å samarbeide eller spørre om hjelp. De er helt alene. Vi stoler heller ikke på at vi har klart å gjøre dem til de menneskene formålsparagrafen sier er hensikten med opplæringen. Plutselig behandler vi alle elevene som om de er noen upålitelige juksemakere og vi må ha knallharde systemer for å hindre at noen av dem skulle snike seg til noe hjelp. Og for å si det med Halvor Thengs – «Herregud, fiks eksamen«!

Og det blir med denne dagen – de neste gangene de kommer til å oppleve slike dager igjen er i videre skolegang. Når de kommer ut i det virkelige livet utenfor skolen – handler det igjen om samarbeid og lagspill. Det er et sprik her som er vondt og feil.

Faktisk synes jeg at lokalt gitt eksamen (aka muntlig) er den rette måten å gjøre det på – hvis det å gi elevene en autentisk prestasjonssituasjon er poenget. Der får eleven en oppgave som må løses en viss tid i forveien. Eleven kan samarbeide med hvem som helst for å løse oppgaven, men til slutt står eleven alene og skal «løse» oppgaven (og de får litt hjelp om de står helt fast!). Dette er en helt reell situasjon for svært mange i arbeidslivet.

Det andre jeg vil bringe inn i diskusjonen NRK trekker opp er at elever som vil fuske alltid vil få det til. I artikkelen til NRK løftes Chromebooken frem som om den er en ny kilde til fusk som ikke lar seg stoppe. Det er selvfølgelig vrøvl. I praksis finnes det bare 2½ løsninger som kan fungere som noenlunde sikre tekniske løsninger for IKT-folk, lærere og skoleledere (og NRK-journalister) med panikkangst for hva elever kan finne på. Den ene er ikke-personlige maskiner med kablet nettverk (ikke wifi overhode) og som er begrenset i bauger og kanter til bare å kjøre eksamen på lokalt installert programvare. Den andre er virtuelle maskiner med begrensede skriveverktøy som bare er tilgjengelig på gitte nettverk som den personlige maskinen må være koblet opp mot. Den halve løsningen er når du installerer et program på maskinen som skal «låse den ned». De er for enkle å omgå har det vist seg. Uansett – alle disse løsningene er praktisk ikke gjennomførbare på alle landets 1182 10.-trinn som skal opp til eksamen hvert år.

Alle andre løsninger er svært enkle å omgå. Alle løsninger der elevene stiller med sin private bærbare digitale enhet kan lett omgås med et adhoc trådløst nettverk fra en mobiltelefon gjemt i sekken. NRK (og de fleste andre) glemmer at spørsmålet om fusk på en digital eksamen ikke er begrenset til nye løsninger. Det er et vel så stort problem på de «gamle». De glemmer også at en mobiltelefon eller bok eller ark eller hva-det-skal-være på do fremdeles fungerer veldig godt som fusk.

Men for å ta utfordringen NRK legger opp til… Først skal jeg presisere at det er ikke noen problemer med Chromebooken i seg selv. Det er bare en bærbar datamaskin. Utfordringen NRK og Stavanger-skolen peker på knytter seg til at elevene skal gjennomføre eksamen på GSuite for Education. Det er enkelt å låse ned Chromebookene slik at elevene ikke har fri tilgang til Internett – mye enklere og sikrere enn alle andre løsninger jeg kjenner til. Utfordringen er knyttet til hvordan vi kan stoppe elever fra enkelt å dele Google Dokumenter med hverandre. Det er dette som er hovedutfordringen – og det finnes flere gode løsninger. Noen krever mye arbeid og låser ned mye. Andre er enklere å implementere, men krever mer opplyste vakter. Poenget er at det ikke er så forskjellig fra andre løsninger. Noe er lett å stoppe, andre ting er vanskeligere å stoppe – alt etter teknisk løsning. Så langt mener jeg at vi har gode nok rutiner for hvordan vi sikrer GSuite for Education og Chromebook i en eksamenssituasjon.

Her er min til nå hemmelighetsfulle skisse til hvordan du kan gjøre GSuite og Chromebook rimelig trygge til eksamensbruk. (PS! Den er skrevet for administratorer i GSFE.)

 

 

Hvem bryr seg? Egentlig ingen…

Hvem bryr seg egentlig om personvernreglene (utenom Datatilsynet)? Ingen.

Personvernutfordringen min til deltakere på NKUL var ikke akkurat en suksess. Ingen la noe inn på skjemaet, bortsett fra en leverandør som skrev om seg selv og lurte på om de var «innenfor» :-). Selv snakket jeg med et par leverandører. Den ene ble tilfeldigvis itslearning, ikke fordi jeg aktivt oppsøkte dem, men fordi jeg gikk forbi og salgs- og markedssjef Trond Skeie sa «Hei!». I følge ham hadde de faktisk hatt et møte rett før NKUL om poengene i utfordringen min. De hadde ikke noe godt svar på hvordan de skulle vise meg at de gjorde det som stod i kontrakten – men de var på saken (som de så ofte er). Og at de ikke hadde slettet Fronter og itslearning-kontoene til Randaberg kommune var en glipp. Sikkert :-)

Det forrige innlegget på bloggen min om reelle utfordringer ift personvernrelgene laget ingen utslag i bloggloggen min i det hele, ut over bakgrunnstøyen. Altså er det i praksis ingen som har lest den. Dette har jeg sett før – ting jeg synes er viktig (og som jeg synes jeg jobbet litt med) synes andre ikke er viktig i det hele, mens helt banale ting kan ta helt av :-)

Selv har jeg konkludert med at vi egentlig ikke bryr oss så veldig om personvernutfordringer. Et visst engasjement finner du når noen vil kritisere tjenester de likevel ikke liker/bruker, men blikket på egen praksis kan ofte være nokså sløvt – hvis du ikke tar deg selv i nakken og våger å ta et utenfra-perspektiv på egen praksis. Du fremstår lett som en gledesdreper hvis du virkelig vil holde god standard på bruk av personopplysninger i skolen. Likevel mener jeg det er nødvendig og av og til si «nei, dette må vi se på først» før en trør i gang nye tjenester. Utfordringen er kanskje mest å få overordnede til å godta at dette tar tid – og at ingen har brukt så mye tid på dette før.

Vi har et eksempel på dette i Randaberg kommune for tiden. Sentrale personer i kommunen har oppdaget det nye personverndirektivet som trer i kraft mai 2018 og det ble skrapt sammen et møte med sentrale personer fra de ulike områdene i kommunen. Det ble raskt tydelig at få hadde tenkt og det gjenstår et godt stykke arbeid for at kommunen skal være innenfor de nye reglene innen mai 2018. Ikke det at kommunen har dårlig praksis. Jeg tror det meste er rimelig ok, men det er det som er problemet – jeg tror. Det er ikke gjennomført risikovurderinger og gjennomganger av disse for hverken lokale eller eksterne tjenester – bortsett fra i skolen. Selv om vi i skolen også har ting som kan være bedre ligger vi et hestehode foran.

Men om jeg legger ned en masse arbeid i å skaffe nødvendig bakgrunnstoff, lager internkontrollskjema og utforme databehandleravtaler med alle løse skytjenester – kommer det til å bety noe i praksis? Kutter vi ut AskiRaski, Brettboka, Klassetrivsel.no, M+ osv. hvis de ikke vil/klarer å levere oss nødvendig bakgrunnstoff slik at vi kan lage et internkontrollskjema og en databehandleravtale som er god nok? Jeg tviler både på at noen med makt og myndighet kommer til å gjøre det – eller at de ulike tjenestene kommer til å endre praksis. De store aktørene tar grep, fordi de må. Visma, IST, Microsoft, Google, kanskje til og med Apple kommer til å legge ting tilrette – mest fordi de konkurrerer mot hverandre og en tjeneste som ikke er tilpasset de nye personvernreglene kommer til å ha en reell ulempe i konkurranse med de andre.

Men hvorfor bryr vi oss ikke? Hvorfor synes vi ikke det er viktig å følge akkurat disse lovene? Mitt tipp er at det er fordi det kan være komplisert å forstå omfanget av digital informasjon på ville veier og at endringer kan være omfattende (og da en god del arbeid både teknisk og i organisasjonen) – og vi må kanskje også gjøre en del IKT-tjenester mer tungvindt å bruke. Enkelt og praktisk er ofte ikke særlig sikkert. Resultatet er en form for apati – ingen vet helt hvor de skal begynne. Endringene er for uoversiktlige og omfattende.

Ta f.eks. opptaket til videregående skole som jeg skrev om i forrige blogginnlegg. Hva om VIGO ikke vil gjøre noe – at de ikke gidder å lage noen avtale med oss i kommunen. Hva skal vi gjøre da? Nekte å overføre data til dem? Hvem går det ut over? Jo, elevene. Og hvem får skylden? Garantert vi på skolekontoret i grunnskolen. Hvem er motivert for å endre praksis? Eller for å si det mer pedagogisk – hvem eier problemet?

Og en ting til – det er slitsomt å tenke på at hver kommune sitter for seg selv med disse utfordringene. Vi i Randabergskolen har antakeligvis like mange ulike skytjenester (og interne tjenester) som Stavangerskolen, Gjesdalskolen, Trondheimskolen og [tenk-på-en-liten-kommune]skolen. Store kommuner har kanskje bedre ressurser til å lage disse planene (og presse tjenesteleverandør) enn små kommuner, men vi skal alle og enhver lage hver våre egne avtaler og internkontrollskjemaer. Hvordan kan vi lette og kvalitetssikre dette arbeidet for kommunene – altså hvordan kan vi samarbeide om dette? Kan vi ikke lage oss en «infobank»/en wiki med internkontrollskjemaer, RoS-analyser og bakgrunnstoff fra tjenesteleverandør og gjøre dette på en dugnad slik at vi alle slipper å finne opp kruttet hver på vår tue av varierende størrelse?

Og til ettertanke for alle som jobber i Randaberg kommune – sjekk ut lenken https://hrm.randaberg.kommune.no. Ikke så spennende, ser det ut til. Det er her vi søker om ferier, finner lønnsslipper, leverer egenmelding, fyller ut reiseregninger osv. Men hva om en annen hadde brukernavn og passord til en ansatt i Randaberg kommune? Jeg har levert en avviksmelding på denne tjenesten og den lyder:

Beskrivelse
Det er mulig å logge på https://hrm.randaberg.kommune.no fra et åpent Internett (altså fra hvor som helst i verden). Pålogging er enkelt brukernavn og passord. Det er da mulig å få tilgang til sensitive personopplysninger, mest knyttet til helse (egenmeldinger / fravær), men også andre personlige opplysninger om f.eks. ektefelle og barn, søknad om jobb, ferier, reiseutgifter osv. Det er også mulig å få tak i lønnsslipper med alt det dette inneholder av personlige opplysninger.
Konsekvenser av hendelsen
Andre kan rimelig enkelt få tilgang til ansattes helseopplysninger og andre svært private opplysninger.
Forbedringsforslag
Innføre sterk autentisering på nettjenesten eller legge tjenesten bare tilgjengelig via intranettet i kommunen (altså at du må være på en jobbmaskin for å få tilgang eller logget på via Citrix – som har sterk autentisering).

Blir spennende å se hva som skjer. Det er tungvint, men mer korrekt…

I gråsonen av (de nye) personvernreglene

De nye personvernreglene kommer i mai 2018 og alle kikker nervøst igjennom systemene hvor de lagrer personopplysninger – og med god grunn. Vi gjør dette i Randaberg kommune også – og så langt kan skolen klappe seg selv på skulderen. Vi er langt fra i mål i skolen heller, men vi vet hva vi ikke har på plass. Og nei, det er ikke GSuite for Education som ikke er på plass. Det er alle de «løse» FEIDE-tjenestene vi sliter med. I denne jobben har jeg oppdaget et par tjenester som lagrer mengder av personopplysninger hvor jeg ble veldig usikker på hvilken ansvar vi i kommunen egentlig har.

Tjenestene jeg tenker på et Udir sitt PAS- og PGS-system og fylkeskommunens VIGO-system (opptak til videregående skole). Det som er utfordringen er at dette er systemer hvor henholdsvis Udir og fylkeskommunene er behandlingsansvarlig for personopplysningene de behandler. Udir og fylkeskommunen er ikke databehandler på vegne av kommunen. Den enkelte kommune har ikke noe behandlingsansvar. Dette er de helt tydelige på selv, så det er ikke noe utfordrende akkurat der.

Men… (den måtte komme) til tross for dette er det kommunen/skolen som overfører all informasjon inn i disse systemene slik at Udir og fylkeskommunene har noe å jobbe med. I PAS/PGS legger vi inn elevnavn, gruppetilhørighet og personnummer for Udir. Så er det også vi i skolen som får elevene til å fylle systemet med data gjennom nasjonale prøver, elevundersøkelsen og eksamen. Jeg tok kontakt med Udir og fikk gode svar. De har internkontrollskjema for alle tjenestene og deler dem gjerne. I disse skjemaene kommer det frem at Udir regner overleveringen/innsamlingen av data som et lovpålagt krav for å oppfylle pålagte plikter i opplæringsloven. Kommunen har en rolle som Udirs forlengede arm og gjør en pålagt (ikke-frivillig) oppgave for Udir. Elevene (og kommunen) står derfor ikke fritt til å stå over de ulike prøvene til Udir. Dette er lovpålagte undersøkelser og prøver – og det er et viktig poeng til neste avsnitt.

I VIGO er ting annerledes. Der supplerer kommunen fylkeskommunen med elevnavn, personnummer, karakter 1. termin og standpunkt- og eksamenskarakterer for elever på 10. trinn. Det gjør vi 3 ganger i løpet av skoleåret og det er så standardisert at det er integrert i de skoleadministrative systemene…

VIGO/Fylkeskommunene bruker de ulike rapportene til å forberede opptakssystemene (VIGO1), gjøre en grovsortering (VIGO2), tror jeg, og så en endelig fordeling (VIGO3). Det er en veldig viktig forskjell mellom PAS/PGS og VIGO – det er frivillig om du vil søke på videregående skole og vi overfører denne informasjonen uten å spørre eleven om det er greit. Eleven har ikke søkt på videregående skole og likevel laster vi mengder av data over til VIGO (VIGO1 og VIGO2) – bare fordi det er den mest praktiske måten å gjøre det på (for fylkeskommunen).

Jeg kan komme med noen spørsmål som kan vise det problematiske i at all informasjon om alle elever blir overført til VIGO automatisk. Det finnes elever som bare søker på private videregående skoler og utenlandske videregående skoler og er dermed aldri en del av VIGO-systemet. Hvorfor skal VIGO ha informasjon om disse elevene? Eleven har ikke søkt. VIGO trenger ikke informasjonen. Kommunen overfører den likevel Samme hva VIGO bruker det til – de trenger den ikke. Dette er et brudd på en del allerede eksisterende regler og det er vi i kommunen som utfører det!

Og hva med karakterene fra 1. termin på 10. trinn. Dette er mengder med elevinformasjon VIGO ikke trenger for å ta elever opp til videregående skole og den blir overført før elevene en gang har søkt. Og når du ser alle karakterer for en elev samlet under ett kan du enkelt danne deg et rimelig korrekt bilde av hvem denne eleven er (i grove trekk). Hva bruker VIGO denne karakteren til? Er det er et pre-opptak? En måte å forberede videregåendeskolene på hvordan fordelingen kommer til å se ut? Er det for å teste VIGO-systemet før de ordentlige dataene kommer? Blir disse karakterene slettet? Henger dette med elever i etterkant – også elever som slutter på videregående skole eller som aldri søker?

Kan jeg som kommune nekte å overføre alle disse VIGO-rapportene til fylkeskommunen? Vi har ingen avtale om at vi må. Siden vi ikke har en avtale er dessuten kommunen ansvarlig om fylkeskommunen bruker dette til feil ting. Det er ikke kommunens ansvar å fortelle fylkeskommunen om navnet på elevene som kanskje kommer til å søke på videregående skole. Det må de samle inn selv fra andre offentlige kilder (f.eks. folkeregisteret). Eller…?

Jeg hadde i forkant tatt en prat med Datatilsynet og de påpekte at en slik overføring av personopplysninger måtte være hjemlet i lovverk eller formulert i en avtale mellom kommunen og fylkeskommunen. Dette er ikke hjemlet i lov og det finnes ingen slik avtale – så her stod vi på bar bakke. Neste punkt var å sende denne utfordringen til VIGO-eier fylkeskommunen, som hos meg er Rogaland. De tok ballen, sendte den rundt fra kontor til kontor til den til slutt landet på kontoret til en jeg kjente. Han tok en telefon for å finne ut hva jeg egentlig tenkte på og vi ble raskt enige om at behovet er legitimt. Han hadde heller ikke villet overføre denne mengden med informasjon til noen uten en avtale – og han skal spille ballen videre hos dem.

I samtalen kom det frem at det er noen utfordringer knyttet til overføring av informasjon og avtaler. Kort fortalt vil alle fylkeskommuner kunne bruke informasjonen Randaberg kommune laster opp, fordi elever kan søke på skoler i andre fylker. Og når alle kommuner og fylkeskommune er selvstendige juridiske enheter må altså alle (19) fylkeskommuner ha avtale med alle (426) kommuner… og der passerte vi rett over i noe nokså uhåndterlig (8094 avtaler!). Kanskje dette kan gjøres enklere med at organisasjonen VIGO har avtale med den enkelte kommune? Det får noen andres jurister tenke på.

Det er selvfølgelig mulig å lage systemer for dette i grunnskolen. Vi spør alle elever/foresatte om de godtar en overføring av aktuell informasjon til VIGO, eventuelt i forkant av søkeprosessen, og om de ikke frivillig gjør dette må elev/foresatt selv sende inn godkjent kopi av vitnemål til fylket de søker skoleplass i. Så må vi i kommunen ha rutiner for å ikke få med disse elevene i VIGO-eksporten – noe vi sikker kan ordne sammen med Visma i det skoleadministrative systemet. Tungvindt, men korrekt.

Til deg som skal til NKUL – blir du med på en liten dugnad?

Blir du med på en dugnad på NKUL om skytjenester og sikring av personopplysninger som kan bli riktig spennende om mange blir med? Først vil jeg si at dette gjør jeg ikke for å lage dårlig stemning eller henge ut noen. Jeg gjør det fordi jeg faktisk lurer og fordi skytjenester og personopplysninger unektelig er i vinden for tiden. Selvfølgelig kunne jeg gjort det helt selv også, men det er mye enklere (og kjekkere) om flere blir med.

Gangen i det er – blant utstillerne på NKUL velger du et én tilbyder av en eller annen form for skytjeneste. I en hyggelig og høflig interessert tone klemmer du inn disse spørsmålene:

  • Hvor blir brukerdata lagret?
  • Hvordan sikrer dere brukerdata vi lagrer hos dere?
  • Sletter dere alle brukerdata når vi eventuelt sier opp avtalen hos dere?
  • Hvordan kan jeg vite (altså sjekke) at dere gjør det du nettopp har fortalt meg?

Det siste spørsmålet er det vanskelige spørsmålet – hvordan vet jeg at du som leverandør faktisk gjør det du lover i databehandleravtalen / kontrakten? Jeg, som behandlingsansvarlig, kan ikke bruke deg som databehandler uten at jeg faktisk kan sjekke dette. Hvordan vet jeg om du bryter kontrakten eller ikke, om jeg ikke kan kontrollere det på en eller annen måte? Og hvordan gjør vi det? Får jeg komme på besøk selv for å sjekke sjekke rutinedokumenter, risikoanalyser, avviksrapporter og serverrom? Eller har dere en uavhengig tredjepart som sjekker dette og får jeg lese rapporten deres? Eller om dere gjør dette selv – får jeg lese disse rapportene?

Bare for å ta et eksempel – tilbyder sier at alt blir lagret på deres tjenere. Hvis de med dette mener virtuelle tjenere hos Amazon AWS (eller Microsoft Azure) er dette noe helt annet enn tjenere i kjelleren i kontorbygget deres. Og selv om de sier at det er på lokale tjenere i kjelleren – hvordan kan jeg kontrollere at de ikke bruker Amazon AWS likevel?

Hvis du så etter beste evne fyller inn svarene du fikk i dette skjemaet (gjerne sjekk skjema på forhånd) – lover jeg at jeg skal blogge om svarene som har tikket inn. Selvfølgelig har du lov til å snakke med flere og sende inn flere skjema…

Er du med? :-)

PS! Jeg synes jo også at de som står på utstillingene for ulike tjenester bør kunne svare på deler av dette – igjen fordi skytjenester og personopplysninger er et stadig aktuelt spørsmål.

Ballen ruller videre

Med ujevne mellomrom dukker det opp kritiske artikler om Googles inntreden i skolen. Kan ikke huske at det var slik da Microsoft hadde mer eller mindre monopol på alt eller når det så ut som om Apple skulle ta over for Microsoft i skolen. De fleste kritiske spørsmål som rettes mot Googles tjenester må også rettes til både Microsoft og Apple – og alle andre skytjenester som ramler inn i skolen. Men la oss ta for oss det som dukker opp om Google – siden vi i Randabergskolen nå har valgt GSuite for Education (GSE) og Chromebook som vår løsning.

Den første nyheten som dukket fikk jeg via nrk.no og der var «Datatilsynet bekymret for Google-avtale i Trondheim-skolene«. Dette viste seg å være en NTB-nyhet, som igjen var en tabloidutgave av en artikkel i Klassekampen 10. april 2017 (side 1 / side 2). Nei, Datatilsynet er ikke bekymret. Jeg fikk vite fra IT-sjef i Trondheim at han faktisk nylig har fått «bekreftet fra Datatilsynet skriftlig at de har ingen spesifikke bekymringer knyttet til Trondheim kommune sin bruk av skytjenester.» Så da så. Uttalelsen fra Martha Eike var ikke bare rettet mot Google, men mot skytjenester generelt. Hva Gisle Hannemyr måtte mene handler om du har tillit til et firma eller ikke. Hvis du ikke har tillit til noen, så har du ikke det – men da kan du heller ikke ha tillit til egen IT-avdelingen. Hvorfor skulle du det?

19. april 2017 dukker «Frykter Google i skolen» opp på nettsiden til Klassekampen. Den er nesten morsom, men egentlig litt tragisk. Det er ikke Klassekampen som frykter Google i skolen, men direktør Nils Viken i skytjenesten itslearning som mistenker Google for å ikke ha rent mel i posen. Han hiver frem noen påstander som er enkelt beviselig feil. Enten vet han at det er tull (og burde ikke gjort det) eller så kjenner han ikke til det han kritiserer (og burde heller ikke ha gjort det). Uansett FUDer han – med vilje sprer han frykt, usikkerhet og tvil i reklameøyemed. Han driver «reklame» for itslearning ved negativ propaganda mot Google. Når han da samtidig sier at «Vi er ikke en direkte konkurrent til Google» blir det hele ufrivillig morsomt. Selvfølgelig er Googles GSuite for Education (spesielt Google Classroom) en direkte konkurrent til itslearning sin unektelig noe tungvinte og litt foreldede løsning i skolen.

Etter å ha først sagt at vi bør være skeptiske, sier han plutselig at «rent juridisk har nok Google sitt på det tørre» før han slenger ut en påstand om at «sømløsheten» i GSE-tjenesten kan føre elevene fra den sikre delen av GSE over i en del av Google som samler data (som ligger utenfor GSE-tjenesten). Hvis en elevbruker i Randabergskolen prøver å gå fra Google Disk til Blogger vil det dukke opp en enkel melding om at…

Det er fordi administrator har sperret alle tjenester utenfor GSE for elevbrukere, fordi vi ikke har den kontrollen vi ønsker i disse tjenestene. Dermed er Vikens bekymring lagt død. Eleven kommer inn i tjenester hvor «eleven legger igjen spor».

Om en administrator glemmer å stenge tjenester eleven ikke skal ha tilgang til, vil kritikken fra itslearning rammer dem selv. Det er ikke Googles problem om kommunen ikke gjør en god nok jobb med å sette opp systemet, på samme måte som det ikke er itslearnings feil om en lærer laster opp personsensitive opplysninger (f.eks. en IOP) i itslearning. (Fordi det er jo veldig lett å laste opp ting i itslearning, Nils Viken?) Begge deler er kommunens feil, som ikke har gode nok rutiner og ikke gjort jobben sin i forkant.

Også klager han på at GSE er gratis og dermed bruker «bakveien inn» i skolen. Derfor, mener han, tenker ikke kommunene over hva de får i pakken og kan komme til ideen om at de «ikke lenger trenger en tradisjonell læringsplattform». Skrekk og gru! 8-O De fleste kommuner jeg kjenner som har gått over til GSE og sagt opp itslearning har gjort det veldig bevisst. De har alle sagt at de synes itslearning er både dyrt og dårlig.

På toppen av det hele er han bekymret for at myndighetene «trekker på skuldrene» og kommunene «går inn i dette uten å ha full oversikt over konsekvensene». Hallo?! Hvor har han vært de siste årene? Datatilsynet har hatt et eget fokus på dette i skolen og takket være Viken og hans like har det vært et jevnt trøkk i media også. Alle kommuner jeg kjenner har gått runden med å sette seg inn i hva GSE faktisk er og fått låne dokumenter fra andre som har trødd seg igjennom det meste.

Torgeir Waterhouse kontrer påstandene fra Viken bra og sier bare riktig ting om skytjenester – «Dataene er ikke mer sikret med en norsk leverandør». Jeg har tidligere på bloggen påpekt at itslearning ikke alltid er like ryddige i sin behandling av elevdata – både i forhold til interne rutiner og utlevering av elevdata til (utenlandsk) tredjepart.

På twitter kom det raskt et forslag til alternativ overskrift i Klassekampen – «Leverandør av dårlig norsk skoleprogram frykter konkurranse fra enkle løsninger som faktisk fungerer.» ;-)

Den 22. april 2017 kommer Klassekampen med tredje artikkel (side 1 / side 2) der forsker Jan Nolin synes det er en naiv bruk av GSE i skolen og at staten burde lage en tilsvarende tjeneste selv(!). Nolin viser til rapporten «About the Google business model» og prøver å lage et slags diktomi mellom hva Google skriver i vilkårene og hva de faktisk gjør, og dette gjør rapporten gjennom en argumentasjonsanalyse. Dette trenger ikke å bli så komplisert som det høres ut som. Det kritikken koker ned til er at de synes det er problematisk at Google samler data om hvordan elever bruker GSE – altså hva de klikker på, hva klikker de så på og hva gjør de etter det osv. Disse dataene regner de med at Google akkumulerer til en database om brukermønstre – og det er disse brukermønstrene de kaller algoritmiske identiteter. Det er viktig å si at rapporten ikke sier at dette identifiseres med en bestemt elev, men at det er en konstruert «elevidentitet» om hvordan elever opptrer i GSE.

Rapporten mener at Google bruker disse bruksdataene (som jeg velger å kalle dem) til å forbedre tjenesten og til å utvikle nye tjenester. Det er dette de kritiserer og sier at GSE ikke er gratis. Skolen «betaler» ved å vise Google hvordan elevene bruker GSE og dermed også tjenester som de også tjener penger på utenfor GSE-avtalene. Forresten – du kan også argumentere slik om vi hadde betalt for tjenesten. Prisen vi betaler er egentlig rabattert, fordi vi gir bruksdata når vi bruker tjenesten :-)

Jeg tar for gitt at Google bruker bruksdata til å forbedre tjenester, noe annet ville nesten være uansvarlig. Jeg er usikker på om de bruker disse dataene til å lage nye tjenester. Dette stod det noe om i ToS tidligere, men de tok det vekk da de fikk kritikk for dette fra bl.a. Datatilsynet.

Alle nettsider bruker bruksdata i større eller mindre grad og det synes jeg ikke rapporten tar høyde for. Den fremhever at Google sine tjenester er så omfattende at det blir viktig å kanskje begrense informasjonstilgangen til akkurat Google, men det blir snevert tenkt. Samtidig dukker det opp et spørsmål jeg har stilt tidligere på bloggen min i «Ren og rettferdig, himmelen verdig?«. Kan vi sende elevene ut på Internett overhode? All Internett-bruk vil gi noen slike bruksdata, som de bruker til å forbedre og lage nye tjenester. Du kan ikke være på vg.no uten å gi dem data. Google er store på Internett. Det er Internett-surfing de lever av, og da kan vi heller ikke unngå å gi Google data – selv om vi ikke bruker GSE. Er det greit? Tja… det må nesten være lov å si at det er sånn verden er. NB! Jeg logger også bruksdata på bloggen, så bare pass deg!

Diskusjonen Nolin ønsker er ryddig og reell, og om vi synes det er et problem er jeg enig i at løsningen hans, at staten drifter liknende tjenester, er den eneste løsningen vi kan ha – selv om jeg ikke tror den er realistisk. Jeg er tilhenger av at ting må reguleres og at det kommende personverndirektivet har noe for seg.

I det jeg skulle trykke på «Publiser» ramlet det inn en ny artikkel, denne gangen fra June Breivik i DN (klikk deg videre fra FB). Jeg skal innrømme at jeg er litt overrasket over artikkelen, fordi jeg er vant til at hun er ryddigere enn det hun er her. Hun kjører ingen-gratis-lunsj-argumentet, selv om det hun skriver mest om hadde vært likt om du betaler for tjenesten eller ikke. Hun prøver seg på en mer uryddig utgave av argumentet til Nolin, men der Nolin får det rett beskrevet (om negativt) så sauser Breivik det sammen med skanning av og ubegrenset tilgang til informasjon, og da blir det bare feil.

Hun treffer heller ikke i kritikken mot Google og avlytting. At NSA satte opp et avlyttingssystem for å plukke opp «mistenkelig» trafikk bl.a. hos Google, mot Googles viten og vilje, kan ikke Google lastes for. Google reagerte, gjorde tiltak og stoppet denne avlyttingen, etter Snowdens avsløringer. Det er galt å påstå at elever avlyttes som potensielle terrorister i USA av Google. Google har en forpliktelse i amerikansk lov, som norske firma også har ift norsk lov, til å utlevere informasjon om brukere ved mistanke og der nødvendige juridiske steg er fulgt. At det er forskjeller mellom norsk og amerikansk juss, som vi gjerne kan være enige eller uenige om er bra, gir likevel ikke amerikanske myndigheter noen blankofullmakt til å sniffe igjennom alt det Google har liggende. Elevene data «overvåkes som potensiell terrorisme» like mye og like lite i USA som i Norge.

Jeg synes også hun bommer i slutten av artikkelen der løsningen er at «elever burde lære seg å bruke ulike tilbydere» og «være kritisk til hvilken informasjon de legger igjen hvor». I tillegg til at det hadde laget et pedagogisk kaos i skolen, tror jeg at elevene får bedre personvern av den grunn – nei. Og til slutt, se litt på illustrasjonsbildet redaksjonen i DN brukte – en haug Apple-maskiner. Jojo… elevene har vel lært seg å være kritiske til hvem de legger igjen hva hos ;-)

13-års aldersgrense og samtykke fra foreldre

Dette er en liten oppfølger til blogginnlegget mitt om «Google sine krav og Norges lover«. Spørsmålet om Google kom til å kreve foreldres godkjenning selv om norsk lov ikke krever det, ble hengende i løse luften. I etterkant av innlegget ble det en liten dialog med Googles europeiske lovavdeling og dette ble det kortet svaret:

The crucial statement here is that schools can obtain parental consent in accordance with the laws of their jurisdiction. If your local law relieves you from obtaining parent/guardian consent, we don’t have intention to enforce the obligation to obtain consent per our standard ToS.

(De skal også gjøre endringer i ToSen hvor dette også kommer frem.)

Og for å være helt presis – ja, det finnes et sted i Personopplysningsloven som spesifikt sier at vi ikke trenger foreldres (eller elevens) positive samtykke. Det er § 8 med underpunkt b som trer i kraft i skolen.

§ 8. Vilkår for å behandle personopplysninger
Personopplysninger (jf. § 2 nr. 1) kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for
b) at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse,

Den behandlingsansvarlige er da skoleeier (kommunen) og den rettslige forpliktelsen som skal oppfylles er Opplæringslova § 13 – å drive grunnskole. For å begrunne bruk av Google sine tjenester kan du f.eks. vise til Opplæringslova § 2-3 som pålegger skolen å undervise i fag, hvor da skolen må definere inn GSuite for Education som en del av dette tilbudet.

Og når kommunen er behandlingsansvarlig trenger skolen ikke samtykke, men det påligger da kommunen å sikre at personopplysningene behandles i tråd med personopplysningsloven. Og personopplysningsloven sier at når behandlingsansvarlig ikke er databehandler må behandlingsansvarlig sikre at databehandler følger personopplysningsloven (og en databehandleravtale kan være en god måte å sikre dette på). Og vil du vite mer akkurat dette kan du sjekke ut presentasjonen med kommentarer i blogginnlegget «Livet er en pussig ting» fra 2015.

Poenget er – en skole trenger ikke samtykke for å lagre personopplysninger i en skytjeneste, så lenge skytjenesten er brukt som en del av opplæringen. Samtidig fratar dette ikke skolen ansvar for å følge Personopplysningsloven – tvert om faktisk.

Faktisk løser dette hele EFFs kritikk mot Google (og andre skytjenester), som rett og slett ikke treffer helt her i Norge på grunn av dette. Del 1 handler om utfordringer rundt foreldres informerte samtykke. Kritikken handler mye om at foreldre må gi samtykke og det er ikke alltid at dette samtykke inneholder alle detaljer. Dette er en utfordring i USA der foreldre  gi samtykke til slike tjenester før en skole kan bruke dem. Hvis du da ikke husker å spørre om at det som kan være aktuelt, er det ikke vanskelig å finne noe å kritisere i etterkant.

Del 2 i rapporten om handler amerikansk lov og den er nokså ulik norsk lov. I Norge har vi Personopplysningsloven og Datatilsynet som passer på at både offentlige institusjoner og private bedrifter følger loven. Del 3 konkluderer de egentlig med at det hadde vært fint om de i USA hadde hatt en lov som liknet en del på den norske Personopplysningsloven.

Så da er det jo bra at vi har den ;-)

Et «liten» forglemmelse…

I helgen ryddet jeg litt i gamle lenker i nettleseren. Gjemt i en mappe med utgåtte lenker fant jeg en lenke til https://fronter.com/randaberggs. I Randaberg har vi for lenge siden (i en galakse langt, langt borte) brukt Fronter. Harestad skole var innom et par år uten å gjøre noe seriøst utav det, mens Grødem skole bruke det systematisk fra 2003 til 2012. Harestad skole sa det opp flere år før vi begynte å bruke Google Apps for Education i 2011. Grødem sa det opp i 2012 da ingen lærere brukte lengre, fordi de hadde også tatt i brukt GAFE i 2011.

Så jeg var litt overrasket over at Randaberg kommune fremdeles hadde en egen «påloggingsportal» i Fronter. Jeg har en lei tendens til å huske brukernavn og passord, så jeg klarte å gjette meg frem til admin-brukernavnet (og passordet) jeg en gang hadde – og til min store overraskelse virket det enda…

Ikke bare virket påloggingen, men alt var enda der. En raskt kikk innom statistikkmodulet listet opp alle aktiviteter og innleveringer fra høsten 2003 og frem til ingen brukte det lengre i juni 2012. Her er alle elever og ansatte enda intakt. Alle kommentarer er der. Alle innleveringer kan enda lastes ned. Karakterer. Anmerkninger. Fravær. Ingenting er slettet. Bare for gøy laget jeg noen nye brukere og logget på med dem. Det virket også. Har sikret meg en god del skjermdumper og nedlastinger, bare for dokumentasjonens del.

Fronter, det vel unødvendig å si at dette ikke er godt nok. Det er ikke et «tilbud» at alle har tilgang til systemet flere år etter at vi har sagt opp avtalen. Det er et brudd på avtalen. Det er et skrekkeksempel på hvordan du ikke skal gjøre ting. Det hjelper lite å skryte av at alt lagres i Norge når du likevel ikke respekterer avtaler og ikke stenger ned tjenesten eller sletter data.

Kanskje jeg skal ta litt selvkritikk fordi jeg ikke har sjekket at Fronter i det minste stengte ned tilgangen til systemet en tid etter Grødem skole sa det opp. Likevel hadde jeg ikke regnet med at Fronter skulle sløve det til på denne måten. Det er snart 5 år siden Grødem sa opp sin avtale og enda lengre siden Harestad gjorde det. Daffe rutiner hos Fronter – og hvis dette er nivået tør jeg ikke tenke på hvordan resten følges opp. Uansett, til dere som har sagt opp avtaler hos Fronter – sjekk om dere virkelig er fjernet.

Så kjære itslearning (som nå eier Fronter), kan dere passe på å få slettet alt knyttet til Randaberg kommune i Fronter? Dette er tidligere admin for kommunen som ber om dette. Bare tuller – jeg ber ikke om support fra itslearning via bloggen. Jeg ringte Fronter-support i dag og fikk snakke med en hyggelig svenske. Han hørtes litt overrasket ut, klapret en stund på tastaturet, bekreftet at ingenting var stengt ned, mumlet noe om at «Det må ha skjedd en liten glipp her…» og sa han skulle passe på at kontoen skulle bli avsluttet etter alle kunstens regler. Og for alle tilfellers skyld fikk han eposten min om det skulle dukke opp noe :-)

PS! Litt pussig at en tilfeldig person kan ringe inn til fronter og få dem til å gjøre dette, men han så vel at ingen har tatt i fronter-området siden 2012 og regnet med at det var ok ;-)

Postskript – Noen dager etter dette ble jeg tipset om at det var mulig å få opp pålogging til itslearning for Goa skole – en avtale som også var sagt opp, denne gangen for et par år siden. Jeg fikk tak i brukernavn og passord til admin og, helt riktig, jeg klarte å logge på itslearning for Goa skole. To år etter at Goa skole hadde sagt opp itslearning var alt på plass enda. Brukere, karakterer, prøver, dokumenter, meldinger – alt. Tok ett skjermbilde bare for å vise det for meg selv.  Jeg skal innrømme at jeg smilte litt for meg selv og tenkte at i morgen fikk ta noen flere skjermbiler, ringe itslearning igjen og så skrive et nytt blogginnlegg. Da jeg dagen etter skulle inn og ta noen bilder var Goa-kontoen faktisk stengt. Hvorfor vet jeg ikke. Kanskje de rett og slett hadde startet en liten opprydning etter saken om Fronter. I beste fall håper jeg det. Det ville vært den ordentlige tingen å gjøre. Eller kanskje de oppdaget aktivitet på en itslearning-installasjon som ikke hadde vært brukt på lenge og så at den egentlig skulle vært stengt. Eller så var de litt nervøse for at jeg kom til å oppdage det og kom meg såvidt i forkjøpt. Uansett – dette vet bare itslearning og jeg kommer ikke til å spørre dem.

Universell utforming av hva?

Så er det bestemt – det er et krav om universell utforming av alle digitale læremidler og dette skal gjelde fra 2021. Og hva betyr det i praksis for oss i skolen? Nei, si det. Det kan være vanskelig å vite fordi ingen gjør et særlig forsøk på å si hva et digitalt læremiddel egentlig er – altså hva kravet om universell utforming vil gjelde for.

Forskriften er diffus nok…

§ 1.Forskriftens formål
Forskriftens formål er å sikre universell utforming av informasjons- og kommunikasjonsteknologiske løsninger, uten at det medfører en uforholdsmessig byrde for virksomheten. Med universell utforming menes at utforming eller tilrettelegging av hovedløsningen i informasjons- og kommunikasjonsteknologi er slik at virksomhetens alminnelige funksjon kan benyttes av flest mulig.

§ 2.Virkeområde
Forskriften gjelder IKT-løsninger som retter seg mot allmennheten i Norge. Forskriften gjelder der IKT-løsningen underbygger en virksomhets alminnelige funksjon og er en del av virksomhetens hovedløsning. Forskriften er begrenset til å gjelde nettløsninger og automater.

Historien er at undervisningssektoren har vært fritatt for dette kravet frem til nå, men nå skal forskriften også gjelde der – slik at funksjonshemmede av ulike slag skal få lettere tilgang til «digitale læremidler» og ikke bli stående igjen mens de andre suser avgårde på den digitale læringsmotorveien (føl deg fri til å være uenig i siste metafor ;-).

Men igjen – hva er et digitalt læremiddel? I Kommunal- og moderniseringsdepartementets rapport om universell utforming i digitale læremidler sies det at det…

Med ”læremidler” menes læringsressurser utviklet særlig for utdanningssektoren. Digitale læremidler er nettbaserte pedagogiske redskaper som kan brukes til læringsformål, og som er utviklet med hensikt om å støtte læringsaktiviteter. Forskriften omfatter bare nettløsninger som utgjør en integrert del av måten skolen eller undervisningsinstitusjonen tilbyr sitt undervisningsopplegg på.

Dette regner jeg med er utledet fra forskriftens tekst om at…

Forskriften gjelder der IKT-løsningen underbygger en virksomhets alminnelige funksjon og er en del av virksomhetens hovedløsning.

Jeg vet ikke om jeg er kommet så mye nærmere en god forståelse. Jeg kan jo si at alt digitale ting som blir laget spesifikt til undervisningsformål, og blir brukt som det i skolen, er et digitalt læremiddel. Det er en snever forståelse av hva er læremiddel kan være og er. Hva med digitale nettressurser som ikke er laget spesifikt til undervisningsformål, men som blir brukt som det? Hva om jeg som lærer i mine fag ikke bruker lærebok eller bestemte digitale læremidler, men lar elever søke seg frem til ulike ressurser på nett (godt hjulpet av meg som lærer)? Vi er flere og flere som gjør det. Hva er da «virksomhetens hovedløsning» i et slikt scenario? Jeg bruker ikke lærebok i min KRLE-undervisning, men et hav av ulike ressurser fra en rekke ulike kilder på Internett og ellers. Jeg kan ikke si at én bestemt kilde er mitt digitale hovedlæremiddel. Er da «Internett» mitt digitale læremiddel? Noe som selvfølgelig gjør det meningsløst å snakke om universell utforming. Eller kan jeg bare velger kilder på Internett som er universelt utformet om jeg vil bruke det i skolen? Ah…

Det får meg til å lure på om hele greien blir snudd på hodet. Det er ikke forlagene, eller de som lager digitale løsninger vi bruker i skolen, som er/blir ansvarlige. Det skulle bare mangle. Wikipedia kan ikke være ansvarlig for min bruk av deres ressurser i min undervisning? Da faller det tilbake på meg (og skolen). Løsningen blir da at skolen blir gjort ansvarlig for at ressurser de bruker må være universelt utformet – og det er skolen som må ta straffen om de bryter denne forskriften. Det blir på lik linje med personopplysningsloven. Det er skolen/kommunen som er ansvarlig for å følge loven – ikke leverandøren av tjenestene vi bruker.

For å si det samme på en annen måte. Jeg skjønner at NSB kan straffes om billettautomatene deres (og nettsiden) ikke er universelt utformet, og det ville være rart om de som laget automatene (eller nettsidene) for NSB skulle kunne straffes. Det samme må gjelde for forlag o.l. Forlagene lager digitale læremidler for skolene, men det er skolene som settes dem i bruk overfor elevene – og dermed er det skolen som må være ansvarlig. Selvfølgelig vil forlagene lage digitale læremidler som er universelt utformet, fordi ellers vil ikke skolen kunne bruke (les kjøpe) dem. Noe som underminerer konklusjonen fra den tidligere omtalte rapporten om at forlagene trenger støttemidler for å utvikle universelt utformede digitale læremidler. Hvorfor trenger de det? Her er det tilbud og etterspørsel som gjelder.

Så da blir det opp til lærer å definere om det som brukes er «virksomhetens hovedløsning» og dermed et digital læremiddel – og kontrollere at den støtter det som defineres som universell utforming. Lykke til!

Et ønsket innlegg på bloggen

Her en dag dukket det opp en epost i innboksen…

Hei.

Har du skrevet om dette tidligere?

Musikklæreren forutsetter at alle har konto hos Spotify.
«Pensum» før en lytteprøve er en spilleliste.
De som ikke har betalt Spotify kan da ikke hoppe frem og tilbake i lista og blir dessuten avbrutt av reklame.
Min datter brukte ganske lang tid på å lage seg en tilsvarende liste i Youtube.
Jeg skjønner at læreren ikke har lov til å dele ut mp3-filer(?), men har skolen lov til å forutsette diverse abonnement i hjemmene?
Kan vi få i lekse å se en film på HBO f.eks.?

Det første jeg tenkte var at det hadde vært stilig med en «request»-knapp på bloggen min – at folk kunne ønske seg et blogginnlegg om et tema (om IKT og skole).

Svaret på spørsmålet i eposten er kort fortalt – «nei, læreren kan ikke kreve dette». Gratisprinsippet fravikes og elever/foreldre blir pålagt å gi fra seg personopplysninger ved å knytte seg til disse tjenestene (uten at skolen har kontroll over dem). Skolen kan be om frivillig bruk, men da skal det være reelt frivillig. Reell frivillighet betyr at det ikke skal gå ut over eleven på noen som helst måte, hverken sosialt eller faglig, om eleven ikke vil/kan gjøre det.

Det gode er at skolen fint kan ordne mye innenfor rammen av det de har lov til. Gjennom f.eks. Norwaco-avtalen kan skolen spille/arbeide med/kopiere/lagre/distribuere musikk også via skolens læringsplattform (f.eks. Google Disk) helt lovlig. Det er nesten ikke mulig å bruke musikk lovlig i skolen uten denne avtalen. Med Norwaco på plass kunne musikklæreren laget spillelisten med mp3-filer i Google Disk, itslearning eller hva det skal være – og sagt til elevene at de skulle bruke den.

Det er også mulig å skaffe liknende avtaler som gjelder film også (MPLC og Norwegian Film). Sjekk ut denne delrett.no-artikkelen om det å vise film i undervisningen. Artikkelen er korrekt nok, men den gjør én ting jeg alltid er like misfornøyd med. I «Slik gjør du det»-listen ramser de opp alt du ikke har lov til og som gjør ting vanskelig, men så sier de noe viktig i de to siste punktene. Du har lov til å vise hva du vil så lenge du gjør det innenfor rammen av undervisning i en klasse. Du kan faktisk vise hele filmer – om det er i en klasse og er undervisningsrelatert. Det du ikke kan gjøre uten avtale er å vise disse vi-ser-film-for-å-slå-ihjel-tid-før-ferier-filmene (altså ikke undervisningsrelatert). Men vi viser da aldri film i skolen utenom undervisning – gjør vi vel? (Skoleleder Odin kikket inn døren der…)

Det pussige er at det du får lov til i avtalene om film ikke gjør at du nødvendigvis har lov å vise film likevel. Ja, du får lov til å vise lovlig anskaffet DVD/VHS/BluRay, og så får du også lov til å strømme filmene fra lovlige strømmetjenester. Forresten, MPLC-avtalen sier ingenting om strømming, nedlasting eller BluRay – så det er ikke lov med de firmaene som er knyttet til MPLC. Begge avtalene sier at du har ikke lov å kopiere / lagre / distribuere film, slik du har med musikkavtalen til Norwaco. Men selv om avtalen gir deg lov til å strømme, gir ikke strømmetjenestene deg lov til å gjøre det i skolen! Du inngår en individuell avtale som privatperson med Netflix, Viaplay, HBO osv., ikke som organisasjon. Det er avtalen med Netflix (se punkt 4.2) som gjelder – ikke lisensen du får fra Paramount eller Universal Studios. Om Netflix bryr seg om jeg som privatperson strømmer film til skolen? Neppe – men det er ikke lov av den grunn ;-)

Så… Norwaco-avtalen er nesten uunngåelig når det gjelder musikk, men den dekker til gjengjeld hvordan musikk faktisk blir brukt i skolen. MPLC- og Norwegian Film-avtalene er strengt tatt ikke nødvendig, så lenge du viser film i et undervisningsøyemed og bare for klassen din. Det skulle dekke det meste og resten er nokså enkelt å unngå å gjøre (film-før-juleferie-filmen uten grunn i et læringsmål i en fagplan).

Kortutgaven – Det er mulig å gjøre mye i norsk skole ift avspilling av musikk og film uten å bryte loven, så ikke gjør det :-)

Google sine krav og Norges lover

2016-09-12-08_07_03-administrasjonskonsollNå tenker jeg du ble interessert ;-)

Den siste uken har flere kommuner kommentert at et tydelig varsel (se bildet til høyre) dukker opp når de vil skru på tjenester i Google Apps for Education som ligger utenfor GAFE-avtalen, f.eks. Maps, Blogger og YouTube. Dette er i seg selv ikke noe nytt og helt greit. Blogger, i dette tilfelle, har andre vilkår enn GAFE, så det skulle bare mangle at vi må tenke nøye igjennom ting og lage oss en egen risiko- og sårbarhetsanalyse om vi vil gjøre pålogging til Blogger tilgjengelig for elevene.

Utfordringen kommer når Google krever positivt samtykke fra foresatte for elever under 18 år.

Det er ikke det praktiske som er problemet. Det er lett å lage et skjema og sendte det ut til alle foreldre. Og siden foreldre kommer i alle varianter vil vi alltid vil få noen som svarer “Nei” og noen som aldri svarer (som da ikke gir oss et positivt samtykke).

Du sitter da med to mer eller mindre uoverkommelige hindringer. Den tekniske hindringen er at alle elever ligger mer eller mindre i samme OU i GAFE, fordi det synkroniseres opp AD / SAS. Da er det teknisk vanskelig å skru på en tjeneste for en gruppe med elever og ikke skru den på for andre elever i klassen eller på trinnet. Den pedagogiske hindringen er at om hele klassen utenom én elev har svart positivt kan læreren ikke lage et opplegg der f.eks. hele klassen bruker Google Maps til å lage turløyper i lokalmiljøet og der den ene eleven sitter og gjør noe annet. Et samtykke til slike ting i skolen må, etter Datatilsynets syn, være informert og reelt frivillig. Det betyr at det ikke skal oppleves som et press eller at det skal gå ut over eleven på noe vis om en svarer negativt.

Men det er hvis vi skal gjøre det på Google-måten. Inn spaserer så Norges lover og gir oss muligheten til å bestemme en masse ting i norsk skole uten å spørre foreldrene om tillatelse. Skolen har fått et mandat fra Stortinget, altså folket, til å drive skole. Det er både en skoleplikt og -rett i Norge. Kommunen er pålagt å drive grunnskolen og kan ut fra dette pålegget si at det er ting skolen må gjøre for å oppfylle dette kravet. Her er det Personopplysningsloven kommer inn, fordi vi trenger å samle inn personopplysninger for å drive skolen. Vi trenger en masse personalia for både elev og foreldre, vi trenger å samle inn elevarbeider, skrive tilbakemeldinger, lagre fravær osv. Personopplysningsloven krever at vi begrunner behovet for å samle inn og lagre disse personopplysningene og det er vanligvis § 13-1 og § 2-3 i Opplæringsloven vi viser til da. Dette må vi gjøre uansett om denne informasjonen er nedtegnet på papir eller lagret i en datamaskin!

Om vi så velger å ta i bruk skytjeneste X er det ingenting som bli annerledes. Vi trenger ikke å spørre foreldrene, så lenge vi som skole mener vi trenger å bruke tjeneste X for å utføre mandatet vi har fra Stortinget og at vi har orden på at de personopplysningene vi legger i X blir behandlet på rett måte. Og det er her Personopplysningsloven kommer med en del krav. Vi må kunne lage et dokument som sier noe om…

  • Hva samler vi inn av personopplysninger til tjenesten? (§ 14 og § 28 i Personopplysningsloven)
  • Hvorfor samler vi det inn? (at vi har bruk for informasjonen – § 8)
  • Hva skal vi bruke det til? (at vi ikke bruker dem til noe annet enn det vi samler dem inn for – § 11)
  • Hvordan sikrer vi opplysningene vi lagrer? (§ 13)
  • Hvordan sikrer vi (rett) rett til innsyn? (§ 18)
  • Hvem deler vi hvilken informasjon med? (§ 19 og § 20)
  • Hvordan informerer vi om hvordan vi samler inn og bruker informasjonen? (§ 19 og § 20)
  • Hvordan retter og sletter vi informasjon? (§ 27 og § 28)

(Her må du også bytte ut «vi» med «tjeneste X».)

Bare så det er sagt – dette må vi gjøre uansett om vi har satt ut behandlingen av dataene til en ekstern databehandler eller ikke! Så må vi også ha på plass en risiko- og sårbarhetsanalyse knyttet til tjeneste X (ut fra svarene vi får på spørsmålene over) og til slutt en konklusjon om tjeneste X er innenfor rimelige krav ut i fra hva den skal løse. Og hvis den er innenfor kan vi bruke den i skolen uten å spørre foreldrene om lov. Vi skal informere, men trenger ikke spørre om lov.

Det er dette vi gjør med tjenester som Visma FLYT Skole, Salaby, VOKAL, itslearning… bare tenk på hvilken som helst norsk skytjeneste. Så når Google skriver

Just like other cloud-based educational tools, Google Apps for Education requires that schools obtain parental consent for any Additional Services they allow students under the age of 18 to use.

…så stemmer ikke dette for Norge.

Kortutgaven er – I Norge trenger vi ikke foreldres velsignelse, om bruken av det skybaserte utdanningsverktøyet er definer som en del av opplæringen i skolen. Da får skolen ansvaret for å vise at den informasjonen vi samler inn i skytjenester en nødvendig og at behandlingen av den følger intensjon og lov. Om noe da skulle gå riv ruskende galt fordi vi bruker tjenesten er det uansett skolen/kommunen som i utgangspunktet har ansvaret (ikke eleven eller foreldrene).

great_seal_of_the_united_states_obverse-svgMen Google sin avtale krever noe annet (se punkt 2.5 og 10.1). Med utgangspunkt i den amerikanske COPPA-loven krever Google individuelt samtykke fra foreldre (som kan dokumenteres). Så hvordan forholder vi oss til dette? Kan Google godta at vi i Norge ikke er underlagt COPPA-loven, men har andre lover som sikrer elevenes (og alle andres) personopplysninger? Kan Google godta at vi gjennom mandatet vi er gitt fra Storting / folket / loven kan opptre på vegne av foreldrene når vi bruker Google sine skytjenester, slik vi gjør i alle andre sammenhenger? Vi er selvfølgelig pliktig å ha alle papirer på stell og vi blir kikket i kortene når vi får tilsyn både av Fylkesmannen og Datatilsynet på disse sakene.

Og bare for å toppe det hele – egentlig skal vi ha samtykke fra foreldre for elever under 13 år, hvis de skal bruke GAFE, men det er det ingen som gjør (unntatt Humanistskolen ;-). Så vi er allerede ute og kjører i forhold til Googles egne krav.

Vi kan jo bare gi blanke i dette, ha alle papirer i orden som kommune og overse kravet fra Google. Google kommer sikkert ikke til å sjekke det eller bry seg særlig om det. Men det er ikke slik vi kan gjøre det om vi vil være ordentlige og profesjonelle – og det vil vi. Dette er den lille humpen i som kan velte det store lasset, og vi vil heller ikke bli tatt med buksene nede. Det er for viktig til det.

Bare så det er sagt – vi bryter ikke norsk lov. Vi bryter ikke amerikansk lov. Vi bryter kanskje Googles betingelser for bruk av tjensten, siden de krever at vi skal følge betingelsene i COPPA-loven.

Siden jeg nå er leder for GEG Norway tok jeg kontakt med Google Norge for å se om dette var noe de kunne gjøre noe med. De tok ballen umiddelbart og jobber nå med finne en løsning – både i Google Norge og Googles lovavdelinger i Europa og USA. Blir spennende å se om de finner en løsning. Uansett er det kjekt at en liten stemme i et lite land blir lyttet til…

Oppdatering 18. september 2016 – Her er FAQ fra Google om COPPA og GAFE og her er FAQ fra Microsoft om COPPA og O365Edu (søk etter COPPA på siden). Som du ser har Google og Microsoft svært ulike utgangspunkt på spørsmålet om samtykke fra foreldre er nødvendig. Og meg bekjent burde vel Google kunne gjøre det samme som Microsoft?