Et kort hjertesukk om mobilforbud i skolen

Diskusjonen om «forbud» mot mobiltelefoner i skolen har versert en stund nå. Frontene ser ut til å være mange, ved første øyekast. Ved andre ser det ut til at mange er enige, men legger ulik betydning i ordet «forbud».

Min tagning på dette er enkel – på skolene i Randaberg har vi i årevis praktisert at elevene har lov å ha med mobilen på skolen. De har ikke lov til å bruke den uten at lærer har gitt dem lov, heller ikke i friminutt og midttime. Hvis en elev bruker mobilen (eller den signaliserer for høyt i en time) tar lærer mobilen, legger den ned på kontoret og eleven kan hente den før de går hjem for dagen. Funker som en kule og har som sagt gjort det årevis. Ingen elever bruker mobil i klasserommet og er sosiale uten mobil i friminutt og midttime.

Hva er forskjellen på dette og et forbud? Noen kaller ordningen vi har i Randabergskolen et forbud, men vi gjør det ikke – fordi det ikke er det. Det er lov med mobiltelefon, men bare når lærer gir elevene anledning til å bruke den. Hvis dette skulle vært definisjonen på et «forbud», så er Chromebooker også «forbudt» i Randabergskolen – og for den saks skyld også arbeidsbøker, matpakker, lærebøker og dobesøk. Forresten – dobesøk er ikke forbud, fordi de har lov til å gå på do i friminutt og midttime uten å spørre lærer.

Egentlig skjønner jeg ikke hva skoler som strever med uakseptabel mobilbruk strever med. Gjør noe med det, hvis det er et problem. Ja, det kommer garantert til å være en del støy i begynnelsen når bruken strammes inn i forhold til tidligere praksis. Det er det alltid når du endrer på ting, men så kommer det til å gå seg til også. Kanskje det virker «enklere» å forby elevene å ta med beistet på skolen, men det kommer i praksis ikke til å fungere. Elevene har mobilen med i ransel eller lomme likevel. Du «mister» bare muligheten som lærer for å bruke mobilen i løpet av skoledagen.

Og hvorfor mobil tilgjengelig i løpet av skoledagen? Mobiltelefonen er en utrolig digital ressurs som kan gi flere metodemuligheter og større effekt i ethvert fag. Bruk det derfor som det gode digitale verktøyet det er. Jeg viser også gjerne til Randabergskolens visjon for digitale dingser – «Jevn og hverdagslig bruk av IKT er den beste IKT-opplæring elevene kan få». På lik linje med alle andre hjelpemidler og verktøy vi bruker i skolen i dag har mobiltelefonen også en naturlig plass. Da kan vi også vise elevene hvordan vi bruker mobiltelefoner til annet enn SoMe…

«Eg e så sinte!»

…ramlet det ut av munnen min tirsdag i 1130-tiden, til stor overraskelse for medlunsjerne på byggemøtet. Av og til må det settes ord på følelser for å få dem litt ut av hodet. Jeg hadde vært på NKUL på mandag og snakket om «GDPR og det vanlige klasserommet» – og der forsøkt å tenke løsninger mellom to ytterpunkter: 1) Å være blind paragrafrytter som sier at nærmest alt vi gjør i klasserommet ikke er lov eller 2) gi opp, drite i alt, gjøre hva en selv vil og ikke fortelle det til noen. Ingen av disse er bra – og de henger sammen. Punkt 1 fører til punkt 2, som igjen fører til en forsterkning av punkt 1 osv. Det må finnes et mulighetsrom i midten – og det mener jeg det gjør.

Og hva var jeg ble så sint på? Jeg fikk ikke med meg Udir sin gjennomgang av GDPR i skolen på tirdag på NKUL (her er lenken til sesjonen på YouTube). Da var jeg på byggemøte, vel hjemme i Stavanger. Men jeg hadde noen medsammensvorne som satt i salen og holdt meg informert via tekst og bilder. Caset var en bestemor som reagerer på at klokkeslett blir registrert når leksene blir gjort. Læreren hadde på foreldremøte tatt opp at mange gjorde leksene for seint. Her er lysbildene fra presentasjonen som forklarer den videre vurderinger…

Kort oppsummert – Skolen/systemet skolen bruker har ikke lov å lagre klokkeslett for når elever arbeider med skolearbeid. Og dette er helt tullete – og det er her utbruddet mitt kom midt i lunsjen. Det er ikke konklusjonen jeg er sint på – det er at det er slik Udir prøver å «hjelpe» lærere med GDPR. Her går Udir rett i baret med ytterpunkt nummer 1. Svaret fra salen tipper jeg er å reagerer med ytterpunkt nummer 2 – og Udir har ikke oppnådd noe av det de ønsket (regner jeg med).

Nå skal jeg raskt løse problemet Udir skisserte ved å gi både behov for og formål til det å lagre klokkeslett på elevarbeider. Lærer skal drive konstant underveisvurdering i fagene, jfr. forskrift til opplæringsloven § 3-1, § 3-2 og § 3-3 og Udirs egne sider om underveisvurdering. For å kunne gi god underveisvurdering må lærer ha kjennskap til hvordan elevene arbeider med fagstoffet og/eller hvilke arbeidsrutiner de har. Arbeid med fagstoff vil elevene gjøre både innenfor og utenfor skolen/skoletid, samme om det er «lekser» eller ikke. Mangler læreren denne informasjonen kan de ikke gi en god underveisvurdering ift. elevenes arbeid med fagstoff. Og der hadde jeg både behov og formål på plass. Verre var det ikke. Jeg trenger ikke å trekke inn vurderingskriterier her. Hvorfor gjorde ikke Udir dette på tirsdag for lærerne? Hvorfor laget de et problem ut av noe som ikke trenger å være det?!

Deler av problemer ligger nok i at Udir er for langt vekke fra praksisfeltet til å skjønne at noen ting bare må være på plass. De som holdt presentasjonen for lærerne var en ny jurist i Udir og en gammel ringrev fra Senter for IKT (nå Udir), som stod i klasserommet frem til 2006. De kan nok sin GDPR, men mangler perspektivet for hvordan lærere faktisk jobber – og hvor stor ramme det faktisk ligger rundt begrepet underveisvurdering. En digitalisering av skolen medfører også en digital arbeidsflyt. Digitalisering er ikke uten betydning for hvordan vi driver god underveisvurdering – og det nytter ikke å tenke behov og formål ut fra gamle analoge metoder.

Jeg mener at Udir må komme i dialog med oss som er i felt og hjelpe oss med å finne mulighetsrommet som unektelig eksisterer mellom ytterpunktene. Udir må ikke være med å polarisere dette. De må hjelpe skolene med aktivt å finne det du gjerne må kalle «smutthull», slik at skolen kan drive godt personvernarbeid samtidig som vi driver god pedagogikk – også innenfor det digitale feltet. Noe er sentralt og noe er perifert. Vi må ikke gjøre det perifere sentralt – det går alltid galt.

Pjuh… deilig å få det ut :-)

Forresten – Samme medsammensvorne gikk på samlingen om VR etterpå. Den var en svært bra og fremtidrettet økt om hvordan teknologi i skole kan brukes på særs gode og nye måter – tenkt ut og gjennomført av lærer i praksisfeltet. Og på spørsmål om det de gjorde der var innenfor GDPR var svaret like enkelt som det var feil – «Jeg er glad det ikke er jeg som må tenke på det.» Udir – Slutt å være portvoktere. Heller hjelp oss inn!

Sikkerhet er en tungvindt ting

For noen år siden bestemte Datatilsynet at ansatte i skolen måtte ha sterk autentisering mot en god del av systemene sine:

Bruk sterk autentisering ved behov
De skolene og barnehagene vi har vært på kontroll hos, og som bruker informasjonssystem som inneholder opplysninger om mange barn, har vi pålagt at må etablere sterk autentisering for de ansatte ved innlogging dersom løsningen er tilgjengelig fra eksterne nett.

Med sterk autentisering mener vi for eksempel bruk av kodebrikke eller sikkerhetskode tilsendt på SMS. Dette kan også realiseres i en fjernarbeidsløsning med sterk autentisering, og påfølgende tilgang til for eksempel læringsplattform, skoleadministrative system eller annet pedagogisk verktøy på nett. Dette hindrer at noen som får tak i brukernavn og passord klarer å skaffe seg tilgang til systemet.

Begrunnelsen var, rimelig nok, at den enkelte ansatte hadde tilgang til så mye elevinformasjon at enkel autentisering med brukernavn og passord ikke var sikkert nok. Det sier seg selv når du tenker etter – hva får en elev tilgang til om denne lærer seg brukernavn og passord til en lærer? Spesielt i våre dager når brukernavn og passord stort sett er likt over alle plattformer (tenker på deg nå, FEIDE). Læringsplattformer (i form av både itslearning, Office365 og GSuite), skoleadministrative system, andre større tjenester som f.eks. Engage (tidligere Vokal) er enkelt tilgjengelig via FEIDE. Hvis enkel autentisering er eneste hinder kan elever få tilgang til svært mye informasjon de ikke skal ha tilgang til – og de kan endre ting de ikke skal kunne endre.

Løsningen er selvfølgelig å legge på sterk autentisering (2FA) i form av ekstra kode som må legges inn. Den vanligste løsningen er kode via SMS, men det finnes også kode-apper på mobil, mobil som autentiseringsnøkkel eller, det som nå kommer, kodenøkkel via USB. Det er enkelt å skru på 2FA i FEIDE for ansatte, som da sender en SMS til registrert mobiltelefonnummer. Denne er ikke akkurat billig for arbeidsgiver, siden denne må betale for hver SMS som sendes. Flere velger også ID-porten som løsning og da kan du logge på med f.eks. MinID (som er gratis for arbeidsgiver).

Jeg tipper at dette er et vondt kapittel for mange kommuner – og det er ikke uten utfordringer i Randabergskolen heller. De fleste kommuner jeg har vært i kontakt med har ikke aktivert noen form for sterk autentisering for ansatte overhode.

I Randabergskolen har vi tvunget 2FA for ansatte i GSuite for Education (elevene kan velge det selv). Vi bruker Googles egen 2FA-løsning. Brukerne kan da velge mellom reservekoder på papir, talemelding eller SMS til mobil, autentiserings-appen til Google, direkte forespørsel fra Google til mobiltelefonen eller, nå nylig, en sikkerhetsnøkkel via USB. De fleste bruker SMS til mobilen. Vi har satt systemet opp slik at ansatte må inn med 2FA hver 7. dag per enheter du logger deg på. Altså er en enhet godkjent med 2FA i 7 dager før du må inn med 2FA på nytt. I mellomtiden kan du logge deg på med bare brukernavn/passord.

Vi har også også 2FA med eget brukernavn og passord i Visma sin skyløsning for IOPer – Visma FLYT Sampro. Der får alle som skal logge seg på en SMS, eller en epost, med en kode etter de har lagt inn brukernavn og passord.

…og det var det. Ingen andre systemer bruker 2FA for ansatte, selv om det er noen som i alle høyeste grad burde ha det (og skal ha det). Det skoleadministrative systemet Visma FLYT Skole, Conexus Engage, Identum sin enkle skypålogging (for tilgang til eFEIDE) og PAS/PGS er de systemene som burde ha det.

Nå nylig bestemte vi at fra august 2018 skal det være 2FA på disse tjenestene i Randabergskolen. Vi har informert rektorene og Utdanningsforbundet om at det skjer, så det ikke skal komme som noen overraskelse på de ansatte. Det kan godt hende at noen synes det blir tungvindt, men skal ting være sikkert så blir det slikt.

Disse tjeneste kan ikke være så åpne som de er nå. At ingen elever har logget på Visma FLYT Skole med lærerbruker er bare et spørsmål om tid (og flaks). Du verden så mye elevene kunne sett og gjort som ansatt i Visma FLYT Skole. De kan se igjennom alle anmerkninger for alle elever, de kan endre karakterer (også standpunkt) og de kan se hva som ligger under elevdokumenter i arkivet. Ikke glemt at etter GDPR trer i kraft skal slike eventuelle brudd meldes direkte til Datatilsynet innen 72 timer, så dette er ikke noe skolen kan «ordne opp i» selv.

Å skru opp sikkerheten i form av 2FA løser en god del utfordringer, men det lager også noen nye. For å bruke FEIDE eller MinID til 2FA  ansatte bruke mobiltelefon. Og de må bruke den en god del oftere enn de gjør med 2FA i GSuite for tiden. Ikke det, ansatte i Randabergskolen er allerede godt vant med å bruke mobiltelefonen sin til 2FA pga at vi gjør dette i GSuite – så jeg tror det går rimelig greit for vår del.

Vi har også planer om å bruke GSuite for Edu til behandling av sensitiv informasjon. Det kan vi ikke gjøre før vi skrur opp sikkerheten noen hakk her også, så vi tenker å sette 2FA til 24 timer i stedet for 7 dager. I den forbindelse tester vi også ut sikkerhetsnøkler via USB. Dette er små USB-pinner som pares mot Google-kontoen din og når du blir bedt om 2FA setter du inn nøkkelen og den overfører en sikkerhetskode til maskinen som slipper deg inn. Dette skal løse behovet for å ha med mobiltelefonen…

Kan er det ikke så overraskende at jeg ikke er fornøyd med nøkkelen. Den er tungvindt å sette opp (for en ordinær bruker). Jeg synes også den er upraktisk å bruke. For det første må du ha en USB-A-port og det er ingen selvfølge lenger på bærbare maskiner med USB-C. Nøkkelen virker ikke via USB-huber, som kan være direkte stress når du da må lete etter USB-porten på desktop-maskinen din. Og – jeg synes ikke alltid den virker. Jeg må for ofte ta den ut og inn, eller trykke på knappen på den (alt etter hvilken type du har).

For å toppe det hele velger Google sikkerhetsnøkkelen som standard 2FA etter at du har registrert den og jeg må klikke på «Har du problemer?» for å få opp andre 2FA-alternativer. Det var ikke helt intuitivt. Jeg hadde ikke problemer – jeg ville bare velge en annen 2FA-metode. Nøkkelen er i praksis lett å glemme igjen i maskinen, eller å rote bort. I praksis synes jeg SMS, kodeapp eller mobilautentisering er utrolig mye enklere. Jeg har alltid mobilen i nærheten og jeg glemmer den sjelden igjen der jeg har vært. Dessuten virker ikke FEIDE eller andre tjenester med denne sikkerhetsnøkkelen enda, så ansatte må uansett ha med seg mobilen når se skal logge inn i via FEIDE 2FA.

Hvis læreren glemmer igjen sikkerhetsnøkkelen i klasserommet er det lett for eleven å lage sin egen(!) sikkerhetsnøkkel for lærerbrukeren. Og læreren kommer i praksis aldri til å oppdage at det er registrert en ekstra sikkerhetsnøkkel! Vet at dette er kanskje litt søkt, men du vil før eller seinere ha en slik elev i systemet.

Så den viktige regelen er enda – Ikke la andre vite hva passordet ditt er!

 

Årets NKUL er allerede over :-|

En hektisk dag rundes av med en lengre hjemtur. NKUL 2018 ble én dag for min del i år. I morgen er det byggemøte og alle mann alle på dekk for å jobbe igjennom funksjonsbeskrivelser i konkurransegrunnlaget. Men jeg rakk å snakke med masse hyggelige bekjente som alltid er på NKUL og å holde et foredrag om «GDPR og det vanlige klasserommet».

Og for lesere av bloggen legger jeg alltid ut presentasjonen også – og vanen tro finner du mesteparten av det jeg sa høyt i foredragsnotatene til hvert lysbilde.

 

Jeg tar meg den frihet å banne i GDPR-kirken

I forlengelsen av ideen om en støygrense skal jeg innom et par varianter som klart ikke ligger innenfor GDPR, men som kanskje ikke burde vært så farlig – og hvor det kanskje finnes en vei rundt de største hindrene.

Hva skjer når elever skal bruke tjenester som Biodigial Human eller Duolingo eller BookCreator (de supplerte meg nettopp med GDPR-kontrakten sin!) eller Kahoot eller Euclidea eller Kostholdsplanleggeren? Listen er ikke utfyllende ;-)

Noen av tjenestene over  du logge deg på for å kunne bruke, men andre er nesten meningsløse å bruke (over tid) uten at du har en konto. Når elever skal bruke Duolingo eller Biodigital må de logge seg på med en bruker. Begge er gode ressurser hver på sitt område. Biodigital lagrer navn og epost, og sikker noe om hvordan du bruker tjenesten. Biodigital trenger i utgangspunktet ikke denne informasjonen for å gi deg basistjenesten, fordi det du stort sett bruker tjenesten til er å vise / lete etter anatomi, men de vil ha den likevel. Duolingo lagrer navn og epost og progresjon i språklæringen, og sikker noe om hvordan du bruker tjenesten (sjekk ut selv ;-). Det gir mening at Duolingo trenger å lagre en eller annen form for identifikasjon, slik at nettstedet kan holde orden på hvor du var i løypen for å lære kinesisk neste gang du logger på. Dessuten sender Duolingo deg påminnelser i epost om at at du bør øve jevnt og trutt (helt til de gir opp :-).

For de fleste slike tjenester er det ikke enkelt (les umulig) å få tak i en databehandleravtale og eventuelt et godkjent overføringsgrunnlag til land/organisasjon utenfor EU/EØS. Les blogginnlegget «Samtykke og samtykke og frivillighet» nå, om du ikke har gjort det før. Du står nå i en situasjon hvor du enten må la elevene bruke tjenestene frivillig eller klare å få bruken innenfor opplæringsloven § 2-3 og si at elevene skal bruke det. Om du velger det siste tar du på deg ansvaret for personinformasjon som måtte flyte til tjenesten. Siden det ikke er mulig å få tak i en databehandleravtale må du igjen tenke litt over om du heller vil gjøre det frivillig eller om du vil prøve å få ting til så godt du kan.

Hva betyr det å få ting til så godt du kan? Jo, du må dokumentere så mye som du kan av behandlingen hos tjenesten (som er databehandler) og bruke denne dokumentasjonen til å vise at du i det minste har tenkt på hvilke og hvordan personopplysninger brukes. Sjekk ut «Terms of use«, «Privacy Policy» og liknende ressurser som alle netttjenester har. Det står mye der som kan være til hjelp med å finne ut hvordan personopplysninger blir brukt. Hvis en tjeneste ikke har disse ressursene lett tilgjengelig – da skal du tenke nøye igjennom ting! Det hjelper også godt på om du gjør deg opp en skriftlig vurdering om behandlingen av personopplysningene står i rimelig forhold til nytten og bruken av tjenesten. Og ja, jeg har laget et skjema som hjelper deg med alt dette, men det slipper jeg ikke før på sesjon 3H mandag 7. mai 2018 på NKUL 2018…

Nå lover jeg på ingen måte at dette får deg innenfor det Datatilsynet synes er godt nok. Jeg er rimelig sikker på at de av prinsipp ikke liker ting hvor du ikke har en kontraktfestet databehandleravtale. Samtidig har du absolutt ingen sjanse om du ikke har gjort det. Dette kan være forskjellen mellom en bot eller et avvik (som du vel og merke kanskje ikke klarer å lukke).

Så langt lett banning – her kommer noen mer grove gloser…

I prinsippet kan du bruke søkemotoren Google uten en databehandleravtale, men bruker du Euclidea må du ha en databehandleravtale med dem (de lagrer epost, navn og progresjon). Samtidig lagres det mindre reelle og viktige personopplysninger i Euclidea enn det som lagres når du søker etter noe på Google eller YouTube. Hvorfor må jeg ha databehandleravtale på det som er så godt som uviktig, men ingenting på det som kan inneholde mer juicy personinformasjon? Navn og epost er knapt nok personinformasjon i denne sammenhengen og eposten til eleven vil dessuten være ubrukelig når eleven ikke er elev lengre (fordi da slettes den – ikke sant?!). Kan jeg si at tjenester som bare lagrer uviktige personopplysninger kan gå under «støygrensen» og jeg trenger ikke å gjøre mer (altså ikke noe mer enn jeg gjør når elever søker på Google – som er ingenting)? Den er mer frekk, men kanskje det burde være noen slike tanker i omløp også?

Oppsummeringen av de tre blogginnleggene om NKUL2018 blir omtrent som følger – Ta deg den friheten å vurdere om en tjeneste på verdensveven er under «støygrensen», selv om den samler inn epost, navn og kanskje noen andre uviktige/naturlige data. Vurder om nytteverdien står i rimelig forhold til formålet og da om du gjør den obligatorisk for elevene dine. Gjør gjerne vurderingen skriftlig, slik at du (og andre) vet hva du har tenkt. Det er veldig mye bedre enn å bare ikke si noe til noen (og da heller ikke tenke gjennom ting), som jeg tror er status på mye av det digitale arbeidet som foregår i klasserommet i dag.

«Jeg tar meg den frihet. Der ligger hemmeligheten med frihetens vesen. Man tar seg den. Ingen gir oss frihet, vi må ta den selv.» – Jens Bjørneboe

Epilog – Alt det jeg har skrevet om nettsider i disse tre bloggpostene gjelder selvfølgelig også for apper til iPad og Android. Det er som regel mye verre der, fordi du alltid er identifisert i appen med kontoen på nettbrettet/mobiltelefonen.

Støygrensen (tenker videre til NKUL18)

Hva skjer når du går inn på www.dagbladet.no? Jo, du logges opp og i mente av ulike systemer. Det er 15 forskjellige «trackere» i form av reklame, nettstedanalyse, sosiale medier osv. Alle samler inn IP-adresser og legger igjen cookier/informasjonskapsler for å vite hva du holder på med på nettstedet. Noen trackere følger også med fra forrige nettsted…

Så godt som alle nettsteder gjør dette i større eller mindre grad. Det er regelen mer enn unntaket – Udir har 7 trackere, SNL har 3, NRK har 5 og Salaby har 2 osv… Google og Facebook har ingen (fordi de lytter heller til loggen på egne tjenere).

Det er en del av hvordan webben fungerer og for de aller fleste er dette blitt en del av hverdagen som de ikke tenker særlig på. Husk at nå snakker vi ikke en gang om hva du legger igjen på Facebook eller om du logger på Facebook. Vi snakker rett og slett bare om informasjon som lages og samles inn når du surfer på nettet. Du trenger ikke å skrive noe. Det holder at du klikker på lenker (eller beveger muspekeren rundt på nettsiden).

Ingenting nytt eller spennende her… Likevel – jeg lurer litt på hvordan dette blir i praksis når GDPR slår inn 25. mai. Det er dukket opp en del ekstra runder med godkjenninger fra ulike nettsteder / epostlister i det siste, men enda ikke knyttet opp mot akkurat dette.

Men la oss vri skru volumet opp til 11. Nå er det kanskje ikke så spennende å vite IP-adressen til skolen, men elevene bruker den digitale dingsen hjemme – og nettsider og trackere lagrer cookier som følger brukeren/maskinen fra skolen og hjem. Datatilsynet (og GDPR – artikkel 4 punkt 1 og betraktning 49) mener at IP-adresser er en personopplysning. Likevel er det ingen som tenker at skolen må ha en databehandleravtale med Dagbladet, selv om disse lagrer en masse opplysninger om elevene (og har tredjeparter som også får disse opplysningene). Og nå må du ikke glemme at dette ikke er noe elevene gjør frivillig – lærer har sagt at alle skal sjekke ut nyhetene på dagbladet.no i arbeid hjemme. Har da lærer/skole et ansvar for at Dagbladet behandler disse personopplysningene fra elevene på en korrekt måte – altså at skolen må ha en databehandleravtale med Dagbladet? Tja, Dagbladet kommer til å ha et eget ansvar for at de følger GDPR for alle som bruker avisens nettsider. Om Dagbladet vil være ansvarlig for at alle trackere som følger deg på sidene deres er GDPR-godkjent er jeg ikke like sikker på, men jeg tror de må være det etter GDPR (definert som tredjepart).

Mange vil nok mene at det jeg koker om i avsnittet over er tullete, men tenk etter før du avviser dette helt. Eleven må surfe på dagbladet.no, fordi lærer har sagt det. Elevene gir da Dagbladet verdifull personinformasjon i form av adferdsmønstre og IP-adresser – og indirekte og direkte inntekter fra trackere og reklamemotorer. Skole er litt spesielt her – vi «tvinger» elever til å bruke ressurser på nettet som er ment å bli brukt frivillig. I denne settingen blir begrepet «behandlingsansvarlig» litt rufsete… (fra GDPR):

«behandlingsansvarlig» en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett

Heng med – jeg bestemmer at elevene skal lese nyheter på dagbladet.no for å bruke dette i et arbeid i et fag i skolen. Formålet fra min side er at elevene skal samle informasjon, ikke behandling av personopplysninger, og middelet er dagbladet.no. Men fra Dagbladet sin side blir det annerledes, fordi de har andre formål og midler enn meg som lærer. Blir da mitt krav til elevene til at jeg bestemmer et formål der behandling av personopplysninger er en del? Eller er ikke skolen behandlingsansvarlig siden jeg ikke mener det er et formål knyttet til behandling av personopplysninger til den aktiviteten jeg ber elevene gjøre? Uggent dette her. Utfordringen er at om du sier at dette ikke er et krav om behandling av personopplysninger fra lærers side, så kan du bruke dette «trikset» på mer eller mindre alle nettressurser. Det høres ikke helt rett ut det heller. Det blir litt som politikeres unnskyldninger der de er unnskylder seg for at noen ble lei seg for det de sa eller gjorde – ikke for det det sa eller gjorde.

Det jeg ønsker å bringe inn i diskusjonen er at når elever skal surfe på verdensveven vil de måtte legge fra seg noe personinformasjon uansett. De er tross alt ikke roboter som surfer. Vi bør tenke at det er en slags «støygrense» for hva som er normalt. Denne kan (og skal) selvsagt reguleres i lov, noe GDPR gjør, samtidig som vi ikke må miste hodet og gjøre all bruk av nettet mer eller mindre umulig å gjøre lovlig. Støygrensen må stå i forhold til det vi ønsker å oppnå i skolen, så jeg har tenkt å fortsette med å si at elevene skal arbeide på nettsider som bibelen.no og vg.no og snl.no osv. Den pedagogiske gevinsten er større en ulempen ved den informasjonen elevene legger igjen, mener jeg.

Porno meg her og porno meg der – AKA Nasjonal retningslinje mot «alvorlig skadelig innhold»

KrF har den siste tiden kommet med en rekke dårlig forslag på Stortinget, synes jeg. Lærernormen lager flere problemer enn den løser. Ordningen med en time fysisk aktivitet i fag hver dag har Udir ikke begynt å tenke på hvordan de skal formulere en gang. Og nå topper de det hele med noe som Stortingen nå har vedtatt i dag (skal i alle fall det)…

Stortinget ber regjeringen utarbeide nasjonale retningslinjer for barnehage- og skoleeiere, slik at de tar i bruk løsninger som skjuler alvorlig skadelig innhold på nettbrett, PC og lignende digitale enheter som deles ut eller er tilgjengelige for barna.

Av og til synes jeg synd på Udir som må sette alle disse forslagene fra KrF ut i praksis.

Jeg tror jeg kjenner litt til bakgrunnen for denne siste saken. En engasjert (og en smule overbeskyttende) far i Ås oppdaget helt korrekt at det er mulig å søke etter uhumskheter på et nettbrett og at du finner det. Han tok faktisk kontakt med meg for å lufte tankene sine og løsningen han så for seg. Jeg skal innrømmet at jeg ikke var enig og syntes han lempet frem kanonen for å skyte spurv – og løsningen hans ville fått Datatilsynet til å reise bust. Saken (og løsningen) er omtalt i Dagbladet her og her. Nesten morsomt å se hva vedtaket kokte ned til etter så mye engasjement.

Når Udir har fått summet seg tipper jeg at det blir utarbeidet en retningslinje som likner veldig på vedtaket – uten særlige tips om hvordan dette kan gjøres. Og det er hele poenget – det er ikke så lett å gjøre noe med. Du kan hive opp et webfilter (antakeligvis et domenefilter) i kommunen som stopper det meste. Det kommer selvfølgelig en diskusjon om den stopper for mye og/eller for lite. Hvem skal være moralens politi og avgjøre hva som er hva? Hvor naken må en dame være for at nettsiden skal sperres? Eller hvordan naken? Diskusjonen om Facebook og den nakne napalmjenta er et godt eksempel på hvor kinkig det raskt kan bli. Er du forresten klar over at wikipedia har en del nakenbilder (og noe porno) liggende? Skal vi sperre wikipedia også? Og SNL lenker til liknende bilder på wikipedia også ;-)

Som sagt – i kommunens brannmur kan du stoppe de mest «kjente» nettstedene, men alt er tilgjengelig via mobiltelefonen og nettverket der. Av en eller annen grunn virker heller ikke kommunens brannmur hjemme hos folk. Så hva er poenget? Stoppe uheldige søk på skolen? Akkurat det poenget kan jeg være med på, men da er det søket du må rense opp og ikke nettsiden de skal inn på. Iherdige forsøkt stoppes uansett ikke. Det er rimelig enkelt for oss som har GSuite og Chromebook i skolen å tvinge på sikkert søk i Google for elevene og det stopper uheldige søk (også når elevene er hjemme hvis de bruker skolens Chromebook). Men det stopper ikke samme søk i Bing eller i Duckduckgo – eller en annen tilfeldig valgt søkemotor på Internett (ja, det finnes flere enn Google :-). Eller på mobiltelefonen, PCen eller nettbrettet…

Det er en ting til med dette forslaget – og KS sier det bra, «Statlige veiledere og nasjonale retningslinjer er ikke rettslig bindende for kommuner.» Ja, da så… Dette blir ikke forpliktende for kommuner før det kommer i en forskrift eller lov. Jeg tipper de fleste kommuner ikke kommer til å gjøre så mye mer enn et par halvhjertede forsøk, som ikke kommer til å bety særlig likevel annet enn at de på papiret ser ut til å leve opp til retningslinjen. Elevene finner like mye porno – om det er det de vil.

Nå har jeg klaget en masse på forslaget og noen synes kanskje jeg burde ha et alternativ. I Randabergskolen er det ingen filtrering, annet enn at vi har aktivert sikkert søk i Google for alle (og det er låst på skolens Chromebooker). Begrunnelsen for dette er å unngå uheldige og «uheldige» søk. Men det er også det. Om de skriver inn nettadressen www.pornhub.com på Chromebooken sin, så er det den siden som dukker opp. På skolen bruker ikke elevene i prinsippet maskiner uten at det er voksne i nærheten. Om noen elever skulle begi seg ut på eventyr på Internett vil det i klassen alltid bli liv og rør – og lærer kommer til å oppdage hva som skjer. Da får lærer en fin anledning til en god samtale med aktuell(e) elev(er) om hva du gjør og ikke gjør på maskinene (og hvorfor). Hva som skjer hjemme har ikke skolen kontroll over og det er hjemmets ansvar. Om foreldre lar ungene surfe for seg selv hjemme, må de regne med at barn er naturlig nysgjerrige og har hørt om spennende ting der ute på verdensveven fra venner eller eldre søsken (eller venners eldre søsken). Det ikke er skolens ansvar hva elevene kan trylle frem på maskinen hjemme. Er foreldre redd for hva som skjer på skolemaskinen hjemme får de bestemme at de ikke får bruke den, men bruke en maskin som foreldrene mener de har den nødvendige kontrollen over. Og lykke til med det.

Jeg holder en knapp på barnevakten.no – Snakk med ungene. Vær bevisst på og interessert i hva de holder på med på skjermen. Vær voksne og ikke redd for å si hva du synes er greit og ikke greit, og hvorfor du synes det, samtidig som du ikke hugger hodet av dem om de en dag tøyer grenser og trenger mor og far som en trygg voksen havn.

Også irriterer jeg meg over at KrF hele tiden fronter disse sakene. Synes jeg det er viktige saker som KrF fremstår positivt i forhold til? Nei. Befester det bildet av KrF som et prippent moralistparti? Ja. Tjener kristensaken noe på dette? Nei. Irriterer det meg? Ja.

Og… helt til slutt – jeg har i hele blogginnlegget antatt at vi her snakker om nakenhet, porno og vold. Se hva som står i vedtaket – «alvorlig skadelig innhold». Seriøst?! Hva er det? Er det mulig å finne «alvorlig skadelig innhold» i den rammen vi snakker om her? Jeg kan komme på en masse ting jeg ikke vil at poden hjemme skal surfe fritt på, men at noe av det skulle kunne være «alvorlig skadelig» for ham er helt borti natten. Har vi overhode dokumentasjon på at barn kan bli «alvorlig skadet» av digitalt innhold i den rammen vi her snakker om? Kan de ikke heller skrive «upassende innhold», hvis det er det de mener? Ingen er uenig i at barn ikke skal ha tilgang til «alvorlig skadelig innhold». Det skulle bare mange, fordi det er jo «alvorlig skadelig». Det er nok mer uenighet om hva som er «upassende»…

Samtykke og samtykke og frivillighet

Ehh… feil samtykke… fnis…

Hvem skal samle inn samtykke når elever skal bruke digitale tjenester som behandler personopplysninger? Spørsmålet høres kanskje banalt ut, men siden jeg nå begynner innlegget med dette spørsmålet så er det vel kanskje ikke det ;-)

I skoleverden er samtykke et ord som dukker opp med jevne mellomrom og som nå i forbindelse med personvernforordningen (GDPR) er høyaktuelt. I GDPR knytter det seg til spørsmålet om lovlighet, altså med hvilken rett du har lov å behandle personopplysninger.

I artikkel 6 i GDPR finner du de ulike kriteriene for lovlig behandling av personopplysninger. Overfor elever er det i praksis punkt 1a) om samtykke og punkt 1c) om lovpålagt oppgave som er de to mulige grunnene for lovlig behandling. Hvis du skal behandle personopplysninger i skolen må du altså enten begrunne det i lovpålagt oppgave, f.eks. Opplæringsloven § 2-3 eller § 13-ett-eller-annet, eller så må det være ved samtykke fra eleven / foresatte. Bruk av de fleste digitale læringsressurser og verktøy kan du definere som lovpålagt oppgave med henvisning til § 2-3. Da trenger du ikke samtykke for å si at elevene kan, eller skal, bruke dem. Om du må bruke samtykke kan selvfølgelig eleven si nei – og da har du ikke lov å bruke personopplysningene til det formål du ønsket.

Poenget er at valg av punkt 1a) eller 1c) i artikkel 6 i GDPR bare sier noe om lovligheten i behandlingen av personopplysningene – at du har lov til å behandle dem. Det er to ulike begrunnelser for å ha lov til å gjøre det samme. Når du har lov er det revnende likegyldig hvilket punkt du brukte. Om du definerer det i lovpålagt oppgave eller har samlet inn samtykke har du et ansvar for at behandlingen av personopplysningene foregår på en korrekt måte. Dette ansvaret følger retten til å behandle opplysningene. Hvis du setter ut behandlingen av personopplysningene til en databehandler, er det det et krav i GDPR at du må ha en avtale med denne slik at du kan sikre at behandlingen foregår på rett måte.

Hvis du vil unngå å ha ansvar for behandlingen må du gjøre noe annet. Da må det du ber eleven om må gjøre være frivillig og et eventuelt samtykke til bruk av personopplysninger må gjøres mellom den enkelte elev og den eksterne tjenesten. Altså er skolen helt ute av loopen! Men frivillighet i skole er ikke enkelt. Frivilligheten skal være reell. Eleven skal ikke på noen måte føle seg presset og det skal ikke på noen måte gå ut over eleven om de ikke ønsker å være med. Elever må kunne si «nei» uten at det blir et problem på noen måte – hverken praktisk, emosjonelt eller sosialt. Jeg håper at de fleste lesere av bloggen ser at dette kan være en utfordring i skolen.

Tommelfinger-regelen blir da – Om du bruker artikkel 6 1a) eller 1c) fra GDPR er revnende likegyldig, bortsett fra at elevene kan si nei til et eventuelt samtykke. Skolen har fremdeles ansvar for hvordan personopplysningene blir brukt. Hvis du pålegger elever å lage en konto hos en tredjepart / databehandler må du begrunne det med artikkel 6 punkt 1c) og du er ansvarlig for hvordan databehandler bruker personopplysningene. Om samtykke samles inn av skolen, sitter skolen med ansvaret for bruk. Om samtykke samles inn av tredjepart/tjenesten, sitter tredjepart med ansvaret – men da må bruken for eleven sin del være frivillig.

Hvis du tror at det å samle inn samtykke til skolen løser behovet for en databehandleravtale – så tar du altså feil. Du kan ikke bruke samtykke for å slippe å ha en databehandleravtale. Da må du over på frivillighet.

Så… praktisk anvendelse i klasserommet – hvis du vil at elevene skal bruke https://bookcreator.com (eller denne eller denne eller denne osv…) må du først bestemme deg for om det skal være frivillig eller ikke. Er det ikke frivillig kan du bruke GDPR artikkel 6 punkt 1c) med henvisning til § 2-3 i Opplæringsloven, som begrunnelse for å behandle personopplysninger. Du må også ha en databehandleravtale med Bookcreator og gjort dine vurderinger etter GDPR for å leve opp til det ansvaret du har for behandlingen av personopplysningene.

Hvis det er frivillig må elevene lage konto hos Bookcreator frivillig og samtykke til Bookcreators betingelser – overfor Bookcreator. Disse elevene kan bruke tjenesten i faget ditt. De andre kan ikke. Så det så…

PS! Dette er en del av en tenkt tankerekke til NKUL seinere i år :-) Alle kommentarer mottas med hjertelig takk!’

Nye opplysninger 22. april 2018 – Bookcreator har nettopp gjort alle nødvendige endringer for å være innenfor GDPR! Nå kan du enkelt få tak i de opplysningene du trenger for å bruke Bookcreator innenfor § 2-3.

Helt på kanten

Det finnes et spørsmål som kommer igjen og igjen når jeg snakker om digitalisering av skolen – «Hva gjør dere med filmer og DVDer og sånt?». Spørsmålet aktualiseres alltid fordi Chromebooker ikke støtter noen form for avspilling fra DVD eller Blu-ray. Svaret mitt er som regel en variant av dette…

Det beste er å «rippe» DVD og Blu-ray over til et digitalt filmformat, f.eks. mp4, og legge det på Google Disk. Da kan lærere vise filmen direkte i klasserommet ved behov og det er enkelt å hoppe til det stedet i filmen du vil vise.

Det første du trenger er en windowsmaskin med en DVD- og/eller Blu-ray-spiller. Så laster du ned programmet Handbrake. Programmet er rimelig enkelt å bruke og du kan rippe DVDer med ulike lyd- og tekstspor uten å gjøre noe mer enn å sette inn DVDen og klikke deg igjennom noen av fanene. Det du må bestemme deg for er hvilket lydspor og eventuelt hvilken teksting du vil ha med i filmen, så det kan hende du må lage flere utgaver av samme film om du ønsker ulike lydspor og tekstinger. Men det er jo ikke noe problem når du har ubegrenset med lagringsplass i Google Disk ;-)

Når filmen er rippet legger du den enkelt over i en mappe i Google Disk og setter DVDen i en hylle på skolen hvor den alltid skal stå. Ikke la noen ta den ut derfra noensinne igjen!

Skal du rippe Blu-ray må du første kjøpe og installere AnyDVD før du kan bruke Handbrake mot Blu-ray-platene. Ellers er det helt likt å rippe en DVD.

Så kommer det andre spørsmålet – «Er dette lov?». Det er et mye vanskeligere spørsmål. Vi begynner med det første først. Det er lov å se hvilken som helst film i skolen, så lenge det er undervisningsrelatert og publikum er begrenset til en klasse. Da er det ikke en offentlig visning. Ikke la deg lure av skremmeskrivene Norwaco og andre sender rundt. Det som ikke er lov er å vise film uten at det er undervisningsrelatert, altså i SFO (som ikke er undervisning) eller til «juleavslutning», eller til mer enn én klasse (altså f.eks. hele trinnet eller hele skolen). Du har altså ikke lov å ha en «skolekino». KS sine advokater har en god orientering om dette på sine nettsider.

Delrett.no sier naturlig nok helt rette ting om dette, selv om de disse setningene ikke kommer før slutten av teksten:

For grunnopplæringen gjelder at visning av en spillefilm som del av undervisningen i en skoleklasse er å oppfatte som “privat bruk” og fordrer derfor ikke avtaler eller avklaring med rettighetshaverne.

Det er også slik at film kan siteres i medhold av sitatregelen i åndsverksloven. Det betyr at du kan bruke korte filmklipp i tilknytning til det som sies i undervisningen, enten ved at dere diskuterer det filmklippet som fremføres, eller filmklippet brukes for å illustrere eller understreke et poeng i det som sies.

Neste utfordringer om det er lov å vise rippede filmer, selv om skolen eier mediet filmen er rippet fra? Den første utfordringen er at det ikke er lov å rippe filmer i Norge lengre. Etter DVD-Jon-saken kom det i 2005 et tillegg i Åndsverkloven § 12 og § 53a som sier at…

Det er forbudt å omgå effektive tekniske beskyttelsessystemer som rettighetshaver eller den han har gitt samtykke benytter for å kontrollere eksemplarfremstilling eller tilgjengeliggjøring for allmennheten av et vernet verk.

Så siden både DVDer og Blu-rayer er kryptert er en omgåelse av dette altså ikke lov. Vi kan alltids stille spørsmål ved om de tekniske beskyttelsessystemene er «effektive» når det er så enkelt å omgå dem ;-). I artikkelen om «Ripping» i Wikipedia er det et avsnitt om hvordan spørsmålet om kopiering av DVDer forstås i USA:

This case made clear that manufacturing and distribution of circumvention tools was illegal, but use of those tools for non-infringing purposes, including fair use purposes, was not.

Men i England er de ikke enig i dette. Hva status er i Norge i dette nyansespillet er uklart. Advokat Thomas Rieber-Mohn har levert en doktoravhandling om temaet hvor konklusjonen, i korte trekk, er at retten til privatkopiering bør beskyttes i en justering av loven (der det bør være lov å omgå kopibeskyttelsen) (litt mer detaljer i Eirik Newths blogg).

Kan vi ikke omgå hele DVD/Blu-ray-greiene ved å bruke Netflix, HBO, ViaPlay eller Altibox? Problemer her er at selv om du har lov å vise film i skolen av rettighetshaver og norsk lov, har du ikke lov av Netflix og gjengen. Du inngår nemlig en avtale som privatperson (se f.eks. Netflix sine vilkår punkt 4.2). En skole kan i prinsippet ikke ha en Netflix-konto og det er upraktisk om en skole skal dele én Netflix-konto (du har max 4 samtidige visninger i det dyreste abonnementet). Om Netflix noen gang kommer til å bry seg om dette er en annen sak, men det er ikke lov av den grunn. Dessuten er Netflix en notorisk usikkert kilde i undervisningen da de hele tiden bytter ut hvilke filmer som er tilgjengelige. Men hva gjør vi den dagen gode og nødvendige filmer bare publiseres hos Netflix?

Så hvor står vi da med rippingen av filmer der skolen eier en fysisk kopi av filmene. Er det lov? Hva er verst / best? En situasjon der skolen eier DVD-/Blu-ray-en, men har rippet den og viser en digital kopi til elevene, eller der skolen ikke kjøper noenting og lærerne bruker sin private Netflix-konto til å vise film til elevene? Eller tror noen virkelig at skoler i fremtiden kommer til å ha DVD/Blu-ray-spillere i hvert klasserom og en masse fysiske plater liggende på skolebiblioteket?

Ripping er i beste fall på kanten og kanskje ikke verre enn mye annet som er dagligdags praksis i skolen. Husk at det ikke er lov å endre på tekster i sanger, heller ikke i skolen. Det er faktisk ikke lov å lage en ny tekst til «Visen om Bamsens fødselsdag». Du har lov å fremføre sangen i skolen (men ikke offentlig) så mye du vil, men du har fremdeles ikke lov å endre teksten (eller melodien). Hvis du har tenkt å fremføre sangen under en 50-års dag, så bør teksten handle om Bamsefar og ikke jubilanten. Tror jeg noen bryr seg? Nei, men det er ikke lov likevel. Og bare så det er sagt – du har heller ikke lov å endre eller bearbeide teksten i læreboken du bruker i undervisningen din.

Å ja – hva med musikk? Det er faktisk mye enklere, så sant du har Norwaco-avtalen i boks. Seriøst, du klarer nesten ikke bruke musikk i skolen lovlig uten denne avtalen – uansett hva du gjør. Ripp CDen med fre:ac eller CDex. Legg den over i Google Disk og distribuer musikken derfra. CDer er ikke kryptert, så du gjør ikke noe ulovlig der.

Forresten… NDLA har en god samlingen med filmer du har lov å bruke så mye du bare vil, så kanskje NDLA ikke er en dum ide :-)

Eksamen i eksamen…

Stavanger (og en rekke andre kommuner) har kjøpt inn Chromebooker – og noen «Sår tvil om elevenes nye maskiner kan brukes på eksamen«. Jeg er ikke helt sikker på hvem som sår denne tvilen, men har en mistanke om at det er journalisten i NRK. Hvorfor blir det så mye styr når NRK kommer på banen? Kan de ikke sette seg bedre inn utfordringene de prøver å avdekke? Når de ikke gjør det blir det bare rot. De rører i vannet og roper ut at nå er vannet grumsete.

Irritasjon er en god inspirator for å ordne i tanker som dukker opp. Det første er sentralt gitt eksamen aka skriftlig eksamen. Jeg liker den ikke. Den er feil. I 10 år prøver vi å lære opp elevene til å bli gode til å samarbeide – både med medelever og lærer. Evnen til samarbeid er sentral i dagens og fremtidens voksenverden. Vi prøver også å få elevene til å spørre om hjelp når det er noe de ikke får til. De kan spørre andre elever og de kan spørre lærer. Vi har idealer i formålsparagrafen vi også jobber jevnt og trutt med. Les paragrafen en gang til. Det skader ikke. For egen del fungerer den som et korrektiv mot en del ting vi lett kan glemme i skolehverdagen. Så… etter 10 år med tillit, skaperglede, respekt og samarbeid kulminerer det hele i den store dagen. Dagen over alle dager i grunnskolen – Eksamensdagen! Resultatet av grunnskolen for den enkelte elev skal vise igjen i et tilfeldig trekk i ett av fagene norsk, matematikk eller engelsk. Stemningen er til å ta og føle på når elevene skal få vite hvilket av disse fagene de kommer opp til eksamen i – og det er enda mer å føle på når de har fått vite det. Jeg vet jeg overdriver nå – men det er faktisk slik det oppleves på skolene, både for lærerne og elevene. Hele ungdomsskolen har en tendens til å fokuseres inn mot eksamen, både praktisk og emosjonelt.

Eksamensdagen er annerledes enn alle andre skoledager elevene har opplevd. Denne dagen får de ikke lov til å samarbeide eller spørre om hjelp. De er helt alene. Vi stoler heller ikke på at vi har klart å gjøre dem til de menneskene formålsparagrafen sier er hensikten med opplæringen. Plutselig behandler vi alle elevene som om de er noen upålitelige juksemakere og vi må ha knallharde systemer for å hindre at noen av dem skulle snike seg til noe hjelp. Og for å si det med Halvor Thengs – «Herregud, fiks eksamen«!

Og det blir med denne dagen – de neste gangene de kommer til å oppleve slike dager igjen er i videre skolegang. Når de kommer ut i det virkelige livet utenfor skolen – handler det igjen om samarbeid og lagspill. Det er et sprik her som er vondt og feil.

Faktisk synes jeg at lokalt gitt eksamen (aka muntlig) er den rette måten å gjøre det på – hvis det å gi elevene en autentisk prestasjonssituasjon er poenget. Der får eleven en oppgave som må løses en viss tid i forveien. Eleven kan samarbeide med hvem som helst for å løse oppgaven, men til slutt står eleven alene og skal «løse» oppgaven (og de får litt hjelp om de står helt fast!). Dette er en helt reell situasjon for svært mange i arbeidslivet.

Det andre jeg vil bringe inn i diskusjonen NRK trekker opp er at elever som vil fuske alltid vil få det til. I artikkelen til NRK løftes Chromebooken frem som om den er en ny kilde til fusk som ikke lar seg stoppe. Det er selvfølgelig vrøvl. I praksis finnes det bare 2½ løsninger som kan fungere som noenlunde sikre tekniske løsninger for IKT-folk, lærere og skoleledere (og NRK-journalister) med panikkangst for hva elever kan finne på. Den ene er ikke-personlige maskiner med kablet nettverk (ikke wifi overhode) og som er begrenset i bauger og kanter til bare å kjøre eksamen på lokalt installert programvare. Den andre er virtuelle maskiner med begrensede skriveverktøy som bare er tilgjengelig på gitte nettverk som den personlige maskinen må være koblet opp mot. Den halve løsningen er når du installerer et program på maskinen som skal «låse den ned». De er for enkle å omgå har det vist seg. Uansett – alle disse løsningene er praktisk ikke gjennomførbare på alle landets 1182 10.-trinn som skal opp til eksamen hvert år.

Alle andre løsninger er svært enkle å omgå. Alle løsninger der elevene stiller med sin private bærbare digitale enhet kan lett omgås med et adhoc trådløst nettverk fra en mobiltelefon gjemt i sekken. NRK (og de fleste andre) glemmer at spørsmålet om fusk på en digital eksamen ikke er begrenset til nye løsninger. Det er et vel så stort problem på de «gamle». De glemmer også at en mobiltelefon eller bok eller ark eller hva-det-skal-være på do fremdeles fungerer veldig godt som fusk.

Men for å ta utfordringen NRK legger opp til… Først skal jeg presisere at det er ikke noen problemer med Chromebooken i seg selv. Det er bare en bærbar datamaskin. Utfordringen NRK og Stavanger-skolen peker på knytter seg til at elevene skal gjennomføre eksamen på GSuite for Education. Det er enkelt å låse ned Chromebookene slik at elevene ikke har fri tilgang til Internett – mye enklere og sikrere enn alle andre løsninger jeg kjenner til. Utfordringen er knyttet til hvordan vi kan stoppe elever fra enkelt å dele Google Dokumenter med hverandre. Det er dette som er hovedutfordringen – og det finnes flere gode løsninger. Noen krever mye arbeid og låser ned mye. Andre er enklere å implementere, men krever mer opplyste vakter. Poenget er at det ikke er så forskjellig fra andre løsninger. Noe er lett å stoppe, andre ting er vanskeligere å stoppe – alt etter teknisk løsning. Så langt mener jeg at vi har gode nok rutiner for hvordan vi sikrer GSuite for Education og Chromebook i en eksamenssituasjon.

Her er min til nå hemmelighetsfulle skisse til hvordan du kan gjøre GSuite og Chromebook rimelig trygge til eksamensbruk. (PS! Den er skrevet for administratorer i GSFE.)

 

 

1 2 3 5