Støygrensen (tenker videre til NKUL18)

Hva skjer når du går inn på www.dagbladet.no? Jo, du logges opp og i mente av ulike systemer. Det er 15 forskjellige «trackere» i form av reklame, nettstedanalyse, sosiale medier osv. Alle samler inn IP-adresser og legger igjen cookier/informasjonskapsler for å vite hva du holder på med på nettstedet. Noen trackere følger også med fra forrige nettsted…

Så godt som alle nettsteder gjør dette i større eller mindre grad. Det er regelen mer enn unntaket – Udir har 7 trackere, SNL har 3, NRK har 5 og Salaby har 2 osv… Google og Facebook har ingen (fordi de lytter heller til loggen på egne tjenere).

Det er en del av hvordan webben fungerer og for de aller fleste er dette blitt en del av hverdagen som de ikke tenker særlig på. Husk at nå snakker vi ikke en gang om hva du legger igjen på Facebook eller om du logger på Facebook. Vi snakker rett og slett bare om informasjon som lages og samles inn når du surfer på nettet. Du trenger ikke å skrive noe. Det holder at du klikker på lenker (eller beveger muspekeren rundt på nettsiden).

Ingenting nytt eller spennende her… Likevel – jeg lurer litt på hvordan dette blir i praksis når GDPR slår inn 25. mai. Det er dukket opp en del ekstra runder med godkjenninger fra ulike nettsteder / epostlister i det siste, men enda ikke knyttet opp mot akkurat dette.

Men la oss vri skru volumet opp til 11. Nå er det kanskje ikke så spennende å vite IP-adressen til skolen, men elevene bruker den digitale dingsen hjemme – og nettsider og trackere lagrer cookier som følger brukeren/maskinen fra skolen og hjem. Datatilsynet (og GDPR – artikkel 4 punkt 1 og betraktning 49) mener at IP-adresser er en personopplysning. Likevel er det ingen som tenker at skolen må ha en databehandleravtale med Dagbladet, selv om disse lagrer en masse opplysninger om elevene (og har tredjeparter som også får disse opplysningene). Og nå må du ikke glemme at dette ikke er noe elevene gjør frivillig – lærer har sagt at alle skal sjekke ut nyhetene på dagbladet.no i arbeid hjemme. Har da lærer/skole et ansvar for at Dagbladet behandler disse personopplysningene fra elevene på en korrekt måte – altså at skolen må ha en databehandleravtale med Dagbladet? Tja, Dagbladet kommer til å ha et eget ansvar for at de følger GDPR for alle som bruker avisens nettsider. Om Dagbladet vil være ansvarlig for at alle trackere som følger deg på sidene deres er GDPR-godkjent er jeg ikke like sikker på, men jeg tror de må være det etter GDPR (definert som tredjepart).

Mange vil nok mene at det jeg koker om i avsnittet over er tullete, men tenk etter før du avviser dette helt. Eleven må surfe på dagbladet.no, fordi lærer har sagt det. Elevene gir da Dagbladet verdifull personinformasjon i form av adferdsmønstre og IP-adresser – og indirekte og direkte inntekter fra trackere og reklamemotorer. Skole er litt spesielt her – vi «tvinger» elever til å bruke ressurser på nettet som er ment å bli brukt frivillig. I denne settingen blir begrepet «behandlingsansvarlig» litt rufsete… (fra GDPR):

«behandlingsansvarlig» en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett

Heng med – jeg bestemmer at elevene skal lese nyheter på dagbladet.no for å bruke dette i et arbeid i et fag i skolen. Formålet fra min side er at elevene skal samle informasjon, ikke behandling av personopplysninger, og middelet er dagbladet.no. Men fra Dagbladet sin side blir det annerledes, fordi de har andre formål og midler enn meg som lærer. Blir da mitt krav til elevene til at jeg bestemmer et formål der behandling av personopplysninger er en del? Eller er ikke skolen behandlingsansvarlig siden jeg ikke mener det er et formål knyttet til behandling av personopplysninger til den aktiviteten jeg ber elevene gjøre? Uggent dette her. Utfordringen er at om du sier at dette ikke er et krav om behandling av personopplysninger fra lærers side, så kan du bruke dette «trikset» på mer eller mindre alle nettressurser. Det høres ikke helt rett ut det heller. Det blir litt som politikeres unnskyldninger der de er unnskylder seg for at noen ble lei seg for det de sa eller gjorde – ikke for det det sa eller gjorde.

Det jeg ønsker å bringe inn i diskusjonen er at når elever skal surfe på verdensveven vil de måtte legge fra seg noe personinformasjon uansett. De er tross alt ikke roboter som surfer. Vi bør tenke at det er en slags «støygrense» for hva som er normalt. Denne kan (og skal) selvsagt reguleres i lov, noe GDPR gjør, samtidig som vi ikke må miste hodet og gjøre all bruk av nettet mer eller mindre umulig å gjøre lovlig. Støygrensen må stå i forhold til det vi ønsker å oppnå i skolen, så jeg har tenkt å fortsette med å si at elevene skal arbeide på nettsider som bibelen.no og vg.no og snl.no osv. Den pedagogiske gevinsten er større en ulempen ved den informasjonen elevene legger igjen, mener jeg.

Porno meg her og porno meg der – AKA Nasjonal retningslinje mot «alvorlig skadelig innhold»

KrF har den siste tiden kommet med en rekke dårlig forslag på Stortinget, synes jeg. Lærernormen lager flere problemer enn den løser. Ordningen med en time fysisk aktivitet i fag hver dag har Udir ikke begynt å tenke på hvordan de skal formulere en gang. Og nå topper de det hele med noe som Stortingen nå har vedtatt i dag (skal i alle fall det)…

Stortinget ber regjeringen utarbeide nasjonale retningslinjer for barnehage- og skoleeiere, slik at de tar i bruk løsninger som skjuler alvorlig skadelig innhold på nettbrett, PC og lignende digitale enheter som deles ut eller er tilgjengelige for barna.

Av og til synes jeg synd på Udir som må sette alle disse forslagene fra KrF ut i praksis.

Jeg tror jeg kjenner litt til bakgrunnen for denne siste saken. En engasjert (og en smule overbeskyttende) far i Ås oppdaget helt korrekt at det er mulig å søke etter uhumskheter på et nettbrett og at du finner det. Han tok faktisk kontakt med meg for å lufte tankene sine og løsningen han så for seg. Jeg skal innrømmet at jeg ikke var enig og syntes han lempet frem kanonen for å skyte spurv – og løsningen hans ville fått Datatilsynet til å reise bust. Saken (og løsningen) er omtalt i Dagbladet her og her. Nesten morsomt å se hva vedtaket kokte ned til etter så mye engasjement.

Når Udir har fått summet seg tipper jeg at det blir utarbeidet en retningslinje som likner veldig på vedtaket – uten særlige tips om hvordan dette kan gjøres. Og det er hele poenget – det er ikke så lett å gjøre noe med. Du kan hive opp et webfilter (antakeligvis et domenefilter) i kommunen som stopper det meste. Det kommer selvfølgelig en diskusjon om den stopper for mye og/eller for lite. Hvem skal være moralens politi og avgjøre hva som er hva? Hvor naken må en dame være for at nettsiden skal sperres? Eller hvordan naken? Diskusjonen om Facebook og den nakne napalmjenta er et godt eksempel på hvor kinkig det raskt kan bli. Er du forresten klar over at wikipedia har en del nakenbilder (og noe porno) liggende? Skal vi sperre wikipedia også? Og SNL lenker til liknende bilder på wikipedia også ;-)

Som sagt – i kommunens brannmur kan du stoppe de mest «kjente» nettstedene, men alt er tilgjengelig via mobiltelefonen og nettverket der. Av en eller annen grunn virker heller ikke kommunens brannmur hjemme hos folk. Så hva er poenget? Stoppe uheldige søk på skolen? Akkurat det poenget kan jeg være med på, men da er det søket du må rense opp og ikke nettsiden de skal inn på. Iherdige forsøkt stoppes uansett ikke. Det er rimelig enkelt for oss som har GSuite og Chromebook i skolen å tvinge på sikkert søk i Google for elevene og det stopper uheldige søk (også når elevene er hjemme hvis de bruker skolens Chromebook). Men det stopper ikke samme søk i Bing eller i Duckduckgo – eller en annen tilfeldig valgt søkemotor på Internett (ja, det finnes flere enn Google :-). Eller på mobiltelefonen, PCen eller nettbrettet…

Det er en ting til med dette forslaget – og KS sier det bra, «Statlige veiledere og nasjonale retningslinjer er ikke rettslig bindende for kommuner.» Ja, da så… Dette blir ikke forpliktende for kommuner før det kommer i en forskrift eller lov. Jeg tipper de fleste kommuner ikke kommer til å gjøre så mye mer enn et par halvhjertede forsøk, som ikke kommer til å bety særlig likevel annet enn at de på papiret ser ut til å leve opp til retningslinjen. Elevene finner like mye porno – om det er det de vil.

Nå har jeg klaget en masse på forslaget og noen synes kanskje jeg burde ha et alternativ. I Randabergskolen er det ingen filtrering, annet enn at vi har aktivert sikkert søk i Google for alle (og det er låst på skolens Chromebooker). Begrunnelsen for dette er å unngå uheldige og «uheldige» søk. Men det er også det. Om de skriver inn nettadressen www.pornhub.com på Chromebooken sin, så er det den siden som dukker opp. På skolen bruker ikke elevene i prinsippet maskiner uten at det er voksne i nærheten. Om noen elever skulle begi seg ut på eventyr på Internett vil det i klassen alltid bli liv og rør – og lærer kommer til å oppdage hva som skjer. Da får lærer en fin anledning til en god samtale med aktuell(e) elev(er) om hva du gjør og ikke gjør på maskinene (og hvorfor). Hva som skjer hjemme har ikke skolen kontroll over og det er hjemmets ansvar. Om foreldre lar ungene surfe for seg selv hjemme, må de regne med at barn er naturlig nysgjerrige og har hørt om spennende ting der ute på verdensveven fra venner eller eldre søsken (eller venners eldre søsken). Det ikke er skolens ansvar hva elevene kan trylle frem på maskinen hjemme. Er foreldre redd for hva som skjer på skolemaskinen hjemme får de bestemme at de ikke får bruke den, men bruke en maskin som foreldrene mener de har den nødvendige kontrollen over. Og lykke til med det.

Jeg holder en knapp på barnevakten.no – Snakk med ungene. Vær bevisst på og interessert i hva de holder på med på skjermen. Vær voksne og ikke redd for å si hva du synes er greit og ikke greit, og hvorfor du synes det, samtidig som du ikke hugger hodet av dem om de en dag tøyer grenser og trenger mor og far som en trygg voksen havn.

Også irriterer jeg meg over at KrF hele tiden fronter disse sakene. Synes jeg det er viktige saker som KrF fremstår positivt i forhold til? Nei. Befester det bildet av KrF som et prippent moralistparti? Ja. Tjener kristensaken noe på dette? Nei. Irriterer det meg? Ja.

Og… helt til slutt – jeg har i hele blogginnlegget antatt at vi her snakker om nakenhet, porno og vold. Se hva som står i vedtaket – «alvorlig skadelig innhold». Seriøst?! Hva er det? Er det mulig å finne «alvorlig skadelig innhold» i den rammen vi snakker om her? Jeg kan komme på en masse ting jeg ikke vil at poden hjemme skal surfe fritt på, men at noe av det skulle kunne være «alvorlig skadelig» for ham er helt borti natten. Har vi overhode dokumentasjon på at barn kan bli «alvorlig skadet» av digitalt innhold i den rammen vi her snakker om? Kan de ikke heller skrive «upassende innhold», hvis det er det de mener? Ingen er uenig i at barn ikke skal ha tilgang til «alvorlig skadelig innhold». Det skulle bare mange, fordi det er jo «alvorlig skadelig». Det er nok mer uenighet om hva som er «upassende»…

Samtykke og samtykke og frivillighet

Ehh… feil samtykke… fnis…

Hvem skal samle inn samtykke når elever skal bruke digitale tjenester som behandler personopplysninger? Spørsmålet høres kanskje banalt ut, men siden jeg nå begynner innlegget med dette spørsmålet så er det vel kanskje ikke det ;-)

I skoleverden er samtykke et ord som dukker opp med jevne mellomrom og som nå i forbindelse med personvernforordningen (GDPR) er høyaktuelt. I GDPR knytter det seg til spørsmålet om lovlighet, altså med hvilken rett du har lov å behandle personopplysninger.

I artikkel 6 i GDPR finner du de ulike kriteriene for lovlig behandling av personopplysninger. Overfor elever er det i praksis punkt 1a) om samtykke og punkt 1c) om lovpålagt oppgave som er de to mulige grunnene for lovlig behandling. Hvis du skal behandle personopplysninger i skolen må du altså enten begrunne det i lovpålagt oppgave, f.eks. Opplæringsloven § 2-3 eller § 13-ett-eller-annet, eller så må det være ved samtykke fra eleven / foresatte. Bruk av de fleste digitale læringsressurser og verktøy kan du definere som lovpålagt oppgave med henvisning til § 2-3. Da trenger du ikke samtykke for å si at elevene kan, eller skal, bruke dem. Om du må bruke samtykke kan selvfølgelig eleven si nei – og da har du ikke lov å bruke personopplysningene til det formål du ønsket.

Poenget er at valg av punkt 1a) eller 1c) i artikkel 6 i GDPR bare sier noe om lovligheten i behandlingen av personopplysningene – at du har lov til å behandle dem. Det er to ulike begrunnelser for å ha lov til å gjøre det samme. Når du har lov er det revnende likegyldig hvilket punkt du brukte. Om du definerer det i lovpålagt oppgave eller har samlet inn samtykke har du et ansvar for at behandlingen av personopplysningene foregår på en korrekt måte. Dette ansvaret følger retten til å behandle opplysningene. Hvis du setter ut behandlingen av personopplysningene til en databehandler, er det det et krav i GDPR at du må ha en avtale med denne slik at du kan sikre at behandlingen foregår på rett måte.

Hvis du vil unngå å ha ansvar for behandlingen må du gjøre noe annet. Da må det du ber eleven om må gjøre være frivillig og et eventuelt samtykke til bruk av personopplysninger må gjøres mellom den enkelte elev og den eksterne tjenesten. Altså er skolen helt ute av loopen! Men frivillighet i skole er ikke enkelt. Frivilligheten skal være reell. Eleven skal ikke på noen måte føle seg presset og det skal ikke på noen måte gå ut over eleven om de ikke ønsker å være med. Elever må kunne si «nei» uten at det blir et problem på noen måte – hverken praktisk, emosjonelt eller sosialt. Jeg håper at de fleste lesere av bloggen ser at dette kan være en utfordring i skolen.

Tommelfinger-regelen blir da – Om du bruker artikkel 6 1a) eller 1c) fra GDPR er revnende likegyldig, bortsett fra at elevene kan si nei til et eventuelt samtykke. Skolen har fremdeles ansvar for hvordan personopplysningene blir brukt. Hvis du pålegger elever å lage en konto hos en tredjepart / databehandler må du begrunne det med artikkel 6 punkt 1c) og du er ansvarlig for hvordan databehandler bruker personopplysningene. Om samtykke samles inn av skolen, sitter skolen med ansvaret for bruk. Om samtykke samles inn av tredjepart/tjenesten, sitter tredjepart med ansvaret – men da må bruken for eleven sin del være frivillig.

Hvis du tror at det å samle inn samtykke til skolen løser behovet for en databehandleravtale – så tar du altså feil. Du kan ikke bruke samtykke for å slippe å ha en databehandleravtale. Da må du over på frivillighet.

Så… praktisk anvendelse i klasserommet – hvis du vil at elevene skal bruke https://bookcreator.com (eller denne eller denne eller denne osv…) må du først bestemme deg for om det skal være frivillig eller ikke. Er det ikke frivillig kan du bruke GDPR artikkel 6 punkt 1c) med henvisning til § 2-3 i Opplæringsloven, som begrunnelse for å behandle personopplysninger. Du må også ha en databehandleravtale med Bookcreator og gjort dine vurderinger etter GDPR for å leve opp til det ansvaret du har for behandlingen av personopplysningene.

Hvis det er frivillig må elevene lage konto hos Bookcreator frivillig og samtykke til Bookcreators betingelser – overfor Bookcreator. Disse elevene kan bruke tjenesten i faget ditt. De andre kan ikke. Så det så…

PS! Dette er en del av en tenkt tankerekke til NKUL seinere i år :-) Alle kommentarer mottas med hjertelig takk!

Helt på kanten

Det finnes et spørsmål som kommer igjen og igjen når jeg snakker om digitalisering av skolen – «Hva gjør dere med filmer og DVDer og sånt?». Spørsmålet aktualiseres alltid fordi Chromebooker ikke støtter noen form for avspilling fra DVD eller Blu-ray. Svaret mitt er som regel en variant av dette…

Det beste er å «rippe» DVD og Blu-ray over til et digitalt filmformat, f.eks. mp4, og legge det på Google Disk. Da kan lærere vise filmen direkte i klasserommet ved behov og det er enkelt å hoppe til det stedet i filmen du vil vise.

Det første du trenger er en windowsmaskin med en DVD- og/eller Blu-ray-spiller. Så laster du ned programmet Handbrake. Programmet er rimelig enkelt å bruke og du kan rippe DVDer med ulike lyd- og tekstspor uten å gjøre noe mer enn å sette inn DVDen og klikke deg igjennom noen av fanene. Det du må bestemme deg for er hvilket lydspor og eventuelt hvilken teksting du vil ha med i filmen, så det kan hende du må lage flere utgaver av samme film om du ønsker ulike lydspor og tekstinger. Men det er jo ikke noe problem når du har ubegrenset med lagringsplass i Google Disk ;-)

Når filmen er rippet legger du den enkelt over i en mappe i Google Disk og setter DVDen i en hylle på skolen hvor den alltid skal stå. Ikke la noen ta den ut derfra noensinne igjen!

Skal du rippe Blu-ray må du første kjøpe og installere AnyDVD før du kan bruke Handbrake mot Blu-ray-platene. Ellers er det helt likt å rippe en DVD.

Så kommer det andre spørsmålet – «Er dette lov?». Det er et mye vanskeligere spørsmål. Vi begynner med det første først. Det er lov å se hvilken som helst film i skolen, så lenge det er undervisningsrelatert og publikum er begrenset til en klasse. Da er det ikke en offentlig visning. Ikke la deg lure av skremmeskrivene Norwaco og andre sender rundt. Det som ikke er lov er å vise film uten at det er undervisningsrelatert, altså i SFO (som ikke er undervisning) eller til «juleavslutning», eller til mer enn én klasse (altså f.eks. hele trinnet eller hele skolen). Du har altså ikke lov å ha en «skolekino». KS sine advokater har en god orientering om dette på sine nettsider.

Delrett.no sier naturlig nok helt rette ting om dette, selv om de disse setningene ikke kommer før slutten av teksten:

For grunnopplæringen gjelder at visning av en spillefilm som del av undervisningen i en skoleklasse er å oppfatte som “privat bruk” og fordrer derfor ikke avtaler eller avklaring med rettighetshaverne.

Det er også slik at film kan siteres i medhold av sitatregelen i åndsverksloven. Det betyr at du kan bruke korte filmklipp i tilknytning til det som sies i undervisningen, enten ved at dere diskuterer det filmklippet som fremføres, eller filmklippet brukes for å illustrere eller understreke et poeng i det som sies.

Neste utfordringer om det er lov å vise rippede filmer, selv om skolen eier mediet filmen er rippet fra? Den første utfordringen er at det ikke er lov å rippe filmer i Norge lengre. Etter DVD-Jon-saken kom det i 2005 et tillegg i Åndsverkloven § 12 og § 53a som sier at…

Det er forbudt å omgå effektive tekniske beskyttelsessystemer som rettighetshaver eller den han har gitt samtykke benytter for å kontrollere eksemplarfremstilling eller tilgjengeliggjøring for allmennheten av et vernet verk.

Så siden både DVDer og Blu-rayer er kryptert er en omgåelse av dette altså ikke lov. Vi kan alltids stille spørsmål ved om de tekniske beskyttelsessystemene er «effektive» når det er så enkelt å omgå dem ;-). I artikkelen om «Ripping» i Wikipedia er det et avsnitt om hvordan spørsmålet om kopiering av DVDer forstås i USA:

This case made clear that manufacturing and distribution of circumvention tools was illegal, but use of those tools for non-infringing purposes, including fair use purposes, was not.

Men i England er de ikke enig i dette. Hva status er i Norge i dette nyansespillet er uklart. Advokat Thomas Rieber-Mohn har levert en doktoravhandling om temaet hvor konklusjonen, i korte trekk, er at retten til privatkopiering bør beskyttes i en justering av loven (der det bør være lov å omgå kopibeskyttelsen) (litt mer detaljer i Eirik Newths blogg).

Kan vi ikke omgå hele DVD/Blu-ray-greiene ved å bruke Netflix, HBO, ViaPlay eller Altibox? Problemer her er at selv om du har lov å vise film i skolen av rettighetshaver og norsk lov, har du ikke lov av Netflix og gjengen. Du inngår nemlig en avtale som privatperson (se f.eks. Netflix sine vilkår punkt 4.2). En skole kan i prinsippet ikke ha en Netflix-konto og det er upraktisk om en skole skal dele én Netflix-konto (du har max 4 samtidige visninger i det dyreste abonnementet). Om Netflix noen gang kommer til å bry seg om dette er en annen sak, men det er ikke lov av den grunn. Dessuten er Netflix en notorisk usikkert kilde i undervisningen da de hele tiden bytter ut hvilke filmer som er tilgjengelige. Men hva gjør vi den dagen gode og nødvendige filmer bare publiseres hos Netflix?

Så hvor står vi da med rippingen av filmer der skolen eier en fysisk kopi av filmene. Er det lov? Hva er verst / best? En situasjon der skolen eier DVD-/Blu-ray-en, men har rippet den og viser en digital kopi til elevene, eller der skolen ikke kjøper noenting og lærerne bruker sin private Netflix-konto til å vise film til elevene? Eller tror noen virkelig at skoler i fremtiden kommer til å ha DVD/Blu-ray-spillere i hvert klasserom og en masse fysiske plater liggende på skolebiblioteket?

Ripping er i beste fall på kanten og kanskje ikke verre enn mye annet som er dagligdags praksis i skolen. Husk at det ikke er lov å endre på tekster i sanger, heller ikke i skolen. Det er faktisk ikke lov å lage en ny tekst til «Visen om Bamsens fødselsdag». Du har lov å fremføre sangen i skolen (men ikke offentlig) så mye du vil, men du har fremdeles ikke lov å endre teksten (eller melodien). Hvis du har tenkt å fremføre sangen under en 50-års dag, så bør teksten handle om Bamsefar og ikke jubilanten. Tror jeg noen bryr seg? Nei, men det er ikke lov likevel. Og bare så det er sagt – du har heller ikke lov å endre eller bearbeide teksten i læreboken du bruker i undervisningen din.

Å ja – hva med musikk? Det er faktisk mye enklere, så sant du har Norwaco-avtalen i boks. Seriøst, du klarer nesten ikke bruke musikk i skolen lovlig uten denne avtalen – uansett hva du gjør. Ripp CDen med fre:ac eller CDex. Legg den over i Google Disk og distribuer musikken derfra. CDer er ikke kryptert, så du gjør ikke noe ulovlig der.

Forresten… NDLA har en god samlingen med filmer du har lov å bruke så mye du bare vil, så kanskje NDLA ikke er en dum ide :-)

Eksamen i eksamen…

Stavanger (og en rekke andre kommuner) har kjøpt inn Chromebooker – og noen «Sår tvil om elevenes nye maskiner kan brukes på eksamen«. Jeg er ikke helt sikker på hvem som sår denne tvilen, men har en mistanke om at det er journalisten i NRK. Hvorfor blir det så mye styr når NRK kommer på banen? Kan de ikke sette seg bedre inn utfordringene de prøver å avdekke? Når de ikke gjør det blir det bare rot. De rører i vannet og roper ut at nå er vannet grumsete.

Irritasjon er en god inspirator for å ordne i tanker som dukker opp. Det første er sentralt gitt eksamen aka skriftlig eksamen. Jeg liker den ikke. Den er feil. I 10 år prøver vi å lære opp elevene til å bli gode til å samarbeide – både med medelever og lærer. Evnen til samarbeid er sentral i dagens og fremtidens voksenverden. Vi prøver også å få elevene til å spørre om hjelp når det er noe de ikke får til. De kan spørre andre elever og de kan spørre lærer. Vi har idealer i formålsparagrafen vi også jobber jevnt og trutt med. Les paragrafen en gang til. Det skader ikke. For egen del fungerer den som et korrektiv mot en del ting vi lett kan glemme i skolehverdagen. Så… etter 10 år med tillit, skaperglede, respekt og samarbeid kulminerer det hele i den store dagen. Dagen over alle dager i grunnskolen – Eksamensdagen! Resultatet av grunnskolen for den enkelte elev skal vise igjen i et tilfeldig trekk i ett av fagene norsk, matematikk eller engelsk. Stemningen er til å ta og føle på når elevene skal få vite hvilket av disse fagene de kommer opp til eksamen i – og det er enda mer å føle på når de har fått vite det. Jeg vet jeg overdriver nå – men det er faktisk slik det oppleves på skolene, både for lærerne og elevene. Hele ungdomsskolen har en tendens til å fokuseres inn mot eksamen, både praktisk og emosjonelt.

Eksamensdagen er annerledes enn alle andre skoledager elevene har opplevd. Denne dagen får de ikke lov til å samarbeide eller spørre om hjelp. De er helt alene. Vi stoler heller ikke på at vi har klart å gjøre dem til de menneskene formålsparagrafen sier er hensikten med opplæringen. Plutselig behandler vi alle elevene som om de er noen upålitelige juksemakere og vi må ha knallharde systemer for å hindre at noen av dem skulle snike seg til noe hjelp. Og for å si det med Halvor Thengs – «Herregud, fiks eksamen«!

Og det blir med denne dagen – de neste gangene de kommer til å oppleve slike dager igjen er i videre skolegang. Når de kommer ut i det virkelige livet utenfor skolen – handler det igjen om samarbeid og lagspill. Det er et sprik her som er vondt og feil.

Faktisk synes jeg at lokalt gitt eksamen (aka muntlig) er den rette måten å gjøre det på – hvis det å gi elevene en autentisk prestasjonssituasjon er poenget. Der får eleven en oppgave som må løses en viss tid i forveien. Eleven kan samarbeide med hvem som helst for å løse oppgaven, men til slutt står eleven alene og skal «løse» oppgaven (og de får litt hjelp om de står helt fast!). Dette er en helt reell situasjon for svært mange i arbeidslivet.

Det andre jeg vil bringe inn i diskusjonen NRK trekker opp er at elever som vil fuske alltid vil få det til. I artikkelen til NRK løftes Chromebooken frem som om den er en ny kilde til fusk som ikke lar seg stoppe. Det er selvfølgelig vrøvl. I praksis finnes det bare 2½ løsninger som kan fungere som noenlunde sikre tekniske løsninger for IKT-folk, lærere og skoleledere (og NRK-journalister) med panikkangst for hva elever kan finne på. Den ene er ikke-personlige maskiner med kablet nettverk (ikke wifi overhode) og som er begrenset i bauger og kanter til bare å kjøre eksamen på lokalt installert programvare. Den andre er virtuelle maskiner med begrensede skriveverktøy som bare er tilgjengelig på gitte nettverk som den personlige maskinen må være koblet opp mot. Den halve løsningen er når du installerer et program på maskinen som skal «låse den ned». De er for enkle å omgå har det vist seg. Uansett – alle disse løsningene er praktisk ikke gjennomførbare på alle landets 1182 10.-trinn som skal opp til eksamen hvert år.

Alle andre løsninger er svært enkle å omgå. Alle løsninger der elevene stiller med sin private bærbare digitale enhet kan lett omgås med et adhoc trådløst nettverk fra en mobiltelefon gjemt i sekken. NRK (og de fleste andre) glemmer at spørsmålet om fusk på en digital eksamen ikke er begrenset til nye løsninger. Det er et vel så stort problem på de «gamle». De glemmer også at en mobiltelefon eller bok eller ark eller hva-det-skal-være på do fremdeles fungerer veldig godt som fusk.

Men for å ta utfordringen NRK legger opp til… Først skal jeg presisere at det er ikke noen problemer med Chromebooken i seg selv. Det er bare en bærbar datamaskin. Utfordringen NRK og Stavanger-skolen peker på knytter seg til at elevene skal gjennomføre eksamen på GSuite for Education. Det er enkelt å låse ned Chromebookene slik at elevene ikke har fri tilgang til Internett – mye enklere og sikrere enn alle andre løsninger jeg kjenner til. Utfordringen er knyttet til hvordan vi kan stoppe elever fra enkelt å dele Google Dokumenter med hverandre. Det er dette som er hovedutfordringen – og det finnes flere gode løsninger. Noen krever mye arbeid og låser ned mye. Andre er enklere å implementere, men krever mer opplyste vakter. Poenget er at det ikke er så forskjellig fra andre løsninger. Noe er lett å stoppe, andre ting er vanskeligere å stoppe – alt etter teknisk løsning. Så langt mener jeg at vi har gode nok rutiner for hvordan vi sikrer GSuite for Education og Chromebook i en eksamenssituasjon.

Her er min til nå hemmelighetsfulle skisse til hvordan du kan gjøre GSuite og Chromebook rimelig trygge til eksamensbruk. (PS! Den er skrevet for administratorer i GSFE.)

 

 

Hvem bryr seg? Egentlig ingen…

Hvem bryr seg egentlig om personvernreglene (utenom Datatilsynet)? Ingen.

Personvernutfordringen min til deltakere på NKUL var ikke akkurat en suksess. Ingen la noe inn på skjemaet, bortsett fra en leverandør som skrev om seg selv og lurte på om de var «innenfor» :-). Selv snakket jeg med et par leverandører. Den ene ble tilfeldigvis itslearning, ikke fordi jeg aktivt oppsøkte dem, men fordi jeg gikk forbi og salgs- og markedssjef Trond Skeie sa «Hei!». I følge ham hadde de faktisk hatt et møte rett før NKUL om poengene i utfordringen min. De hadde ikke noe godt svar på hvordan de skulle vise meg at de gjorde det som stod i kontrakten – men de var på saken (som de så ofte er). Og at de ikke hadde slettet Fronter og itslearning-kontoene til Randaberg kommune var en glipp. Sikkert :-)

Det forrige innlegget på bloggen min om reelle utfordringer ift personvernrelgene laget ingen utslag i bloggloggen min i det hele, ut over bakgrunnstøyen. Altså er det i praksis ingen som har lest den. Dette har jeg sett før – ting jeg synes er viktig (og som jeg synes jeg jobbet litt med) synes andre ikke er viktig i det hele, mens helt banale ting kan ta helt av :-)

Selv har jeg konkludert med at vi egentlig ikke bryr oss så veldig om personvernutfordringer. Et visst engasjement finner du når noen vil kritisere tjenester de likevel ikke liker/bruker, men blikket på egen praksis kan ofte være nokså sløvt – hvis du ikke tar deg selv i nakken og våger å ta et utenfra-perspektiv på egen praksis. Du fremstår lett som en gledesdreper hvis du virkelig vil holde god standard på bruk av personopplysninger i skolen. Likevel mener jeg det er nødvendig og av og til si «nei, dette må vi se på først» før en trør i gang nye tjenester. Utfordringen er kanskje mest å få overordnede til å godta at dette tar tid – og at ingen har brukt så mye tid på dette før.

Vi har et eksempel på dette i Randaberg kommune for tiden. Sentrale personer i kommunen har oppdaget det nye personverndirektivet som trer i kraft mai 2018 og det ble skrapt sammen et møte med sentrale personer fra de ulike områdene i kommunen. Det ble raskt tydelig at få hadde tenkt og det gjenstår et godt stykke arbeid for at kommunen skal være innenfor de nye reglene innen mai 2018. Ikke det at kommunen har dårlig praksis. Jeg tror det meste er rimelig ok, men det er det som er problemet – jeg tror. Det er ikke gjennomført risikovurderinger og gjennomganger av disse for hverken lokale eller eksterne tjenester – bortsett fra i skolen. Selv om vi i skolen også har ting som kan være bedre ligger vi et hestehode foran.

Men om jeg legger ned en masse arbeid i å skaffe nødvendig bakgrunnstoff, lager internkontrollskjema og utforme databehandleravtaler med alle løse skytjenester – kommer det til å bety noe i praksis? Kutter vi ut AskiRaski, Brettboka, Klassetrivsel.no, M+ osv. hvis de ikke vil/klarer å levere oss nødvendig bakgrunnstoff slik at vi kan lage et internkontrollskjema og en databehandleravtale som er god nok? Jeg tviler både på at noen med makt og myndighet kommer til å gjøre det – eller at de ulike tjenestene kommer til å endre praksis. De store aktørene tar grep, fordi de må. Visma, IST, Microsoft, Google, kanskje til og med Apple kommer til å legge ting tilrette – mest fordi de konkurrerer mot hverandre og en tjeneste som ikke er tilpasset de nye personvernreglene kommer til å ha en reell ulempe i konkurranse med de andre.

Men hvorfor bryr vi oss ikke? Hvorfor synes vi ikke det er viktig å følge akkurat disse lovene? Mitt tipp er at det er fordi det kan være komplisert å forstå omfanget av digital informasjon på ville veier og at endringer kan være omfattende (og da en god del arbeid både teknisk og i organisasjonen) – og vi må kanskje også gjøre en del IKT-tjenester mer tungvindt å bruke. Enkelt og praktisk er ofte ikke særlig sikkert. Resultatet er en form for apati – ingen vet helt hvor de skal begynne. Endringene er for uoversiktlige og omfattende.

Ta f.eks. opptaket til videregående skole som jeg skrev om i forrige blogginnlegg. Hva om VIGO ikke vil gjøre noe – at de ikke gidder å lage noen avtale med oss i kommunen. Hva skal vi gjøre da? Nekte å overføre data til dem? Hvem går det ut over? Jo, elevene. Og hvem får skylden? Garantert vi på skolekontoret i grunnskolen. Hvem er motivert for å endre praksis? Eller for å si det mer pedagogisk – hvem eier problemet?

Og en ting til – det er slitsomt å tenke på at hver kommune sitter for seg selv med disse utfordringene. Vi i Randabergskolen har antakeligvis like mange ulike skytjenester (og interne tjenester) som Stavangerskolen, Gjesdalskolen, Trondheimskolen og [tenk-på-en-liten-kommune]skolen. Store kommuner har kanskje bedre ressurser til å lage disse planene (og presse tjenesteleverandør) enn små kommuner, men vi skal alle og enhver lage hver våre egne avtaler og internkontrollskjemaer. Hvordan kan vi lette og kvalitetssikre dette arbeidet for kommunene – altså hvordan kan vi samarbeide om dette? Kan vi ikke lage oss en «infobank»/en wiki med internkontrollskjemaer, RoS-analyser og bakgrunnstoff fra tjenesteleverandør og gjøre dette på en dugnad slik at vi alle slipper å finne opp kruttet hver på vår tue av varierende størrelse?

Og til ettertanke for alle som jobber i Randaberg kommune – sjekk ut lenken https://hrm.randaberg.kommune.no. Ikke så spennende, ser det ut til. Det er her vi søker om ferier, finner lønnsslipper, leverer egenmelding, fyller ut reiseregninger osv. Men hva om en annen hadde brukernavn og passord til en ansatt i Randaberg kommune? Jeg har levert en avviksmelding på denne tjenesten og den lyder:

Beskrivelse
Det er mulig å logge på https://hrm.randaberg.kommune.no fra et åpent Internett (altså fra hvor som helst i verden). Pålogging er enkelt brukernavn og passord. Det er da mulig å få tilgang til sensitive personopplysninger, mest knyttet til helse (egenmeldinger / fravær), men også andre personlige opplysninger om f.eks. ektefelle og barn, søknad om jobb, ferier, reiseutgifter osv. Det er også mulig å få tak i lønnsslipper med alt det dette inneholder av personlige opplysninger.
Konsekvenser av hendelsen
Andre kan rimelig enkelt få tilgang til ansattes helseopplysninger og andre svært private opplysninger.
Forbedringsforslag
Innføre sterk autentisering på nettjenesten eller legge tjenesten bare tilgjengelig via intranettet i kommunen (altså at du må være på en jobbmaskin for å få tilgang eller logget på via Citrix – som har sterk autentisering).

Blir spennende å se hva som skjer. Det er tungvint, men mer korrekt…

I gråsonen av (de nye) personvernreglene

De nye personvernreglene kommer i mai 2018 og alle kikker nervøst igjennom systemene hvor de lagrer personopplysninger – og med god grunn. Vi gjør dette i Randaberg kommune også – og så langt kan skolen klappe seg selv på skulderen. Vi er langt fra i mål i skolen heller, men vi vet hva vi ikke har på plass. Og nei, det er ikke GSuite for Education som ikke er på plass. Det er alle de «løse» FEIDE-tjenestene vi sliter med. I denne jobben har jeg oppdaget et par tjenester som lagrer mengder av personopplysninger hvor jeg ble veldig usikker på hvilken ansvar vi i kommunen egentlig har.

Tjenestene jeg tenker på et Udir sitt PAS- og PGS-system og fylkeskommunens VIGO-system (opptak til videregående skole). Det som er utfordringen er at dette er systemer hvor henholdsvis Udir og fylkeskommunene er behandlingsansvarlig for personopplysningene de behandler. Udir og fylkeskommunen er ikke databehandler på vegne av kommunen. Den enkelte kommune har ikke noe behandlingsansvar. Dette er de helt tydelige på selv, så det er ikke noe utfordrende akkurat der.

Men… (den måtte komme) til tross for dette er det kommunen/skolen som overfører all informasjon inn i disse systemene slik at Udir og fylkeskommunene har noe å jobbe med. I PAS/PGS legger vi inn elevnavn, gruppetilhørighet og personnummer for Udir. Så er det også vi i skolen som får elevene til å fylle systemet med data gjennom nasjonale prøver, elevundersøkelsen og eksamen. Jeg tok kontakt med Udir og fikk gode svar. De har internkontrollskjema for alle tjenestene og deler dem gjerne. I disse skjemaene kommer det frem at Udir regner overleveringen/innsamlingen av data som et lovpålagt krav for å oppfylle pålagte plikter i opplæringsloven. Kommunen har en rolle som Udirs forlengede arm og gjør en pålagt (ikke-frivillig) oppgave for Udir. Elevene (og kommunen) står derfor ikke fritt til å stå over de ulike prøvene til Udir. Dette er lovpålagte undersøkelser og prøver – og det er et viktig poeng til neste avsnitt.

I VIGO er ting annerledes. Der supplerer kommunen fylkeskommunen med elevnavn, personnummer, karakter 1. termin og standpunkt- og eksamenskarakterer for elever på 10. trinn. Det gjør vi 3 ganger i løpet av skoleåret og det er så standardisert at det er integrert i de skoleadministrative systemene…

VIGO/Fylkeskommunene bruker de ulike rapportene til å forberede opptakssystemene (VIGO1), gjøre en grovsortering (VIGO2), tror jeg, og så en endelig fordeling (VIGO3). Det er en veldig viktig forskjell mellom PAS/PGS og VIGO – det er frivillig om du vil søke på videregående skole og vi overfører denne informasjonen uten å spørre eleven om det er greit. Eleven har ikke søkt på videregående skole og likevel laster vi mengder av data over til VIGO (VIGO1 og VIGO2) – bare fordi det er den mest praktiske måten å gjøre det på (for fylkeskommunen).

Jeg kan komme med noen spørsmål som kan vise det problematiske i at all informasjon om alle elever blir overført til VIGO automatisk. Det finnes elever som bare søker på private videregående skoler og utenlandske videregående skoler og er dermed aldri en del av VIGO-systemet. Hvorfor skal VIGO ha informasjon om disse elevene? Eleven har ikke søkt. VIGO trenger ikke informasjonen. Kommunen overfører den likevel Samme hva VIGO bruker det til – de trenger den ikke. Dette er et brudd på en del allerede eksisterende regler og det er vi i kommunen som utfører det!

Og hva med karakterene fra 1. termin på 10. trinn. Dette er mengder med elevinformasjon VIGO ikke trenger for å ta elever opp til videregående skole og den blir overført før elevene en gang har søkt. Og når du ser alle karakterer for en elev samlet under ett kan du enkelt danne deg et rimelig korrekt bilde av hvem denne eleven er (i grove trekk). Hva bruker VIGO denne karakteren til? Er det er et pre-opptak? En måte å forberede videregåendeskolene på hvordan fordelingen kommer til å se ut? Er det for å teste VIGO-systemet før de ordentlige dataene kommer? Blir disse karakterene slettet? Henger dette med elever i etterkant – også elever som slutter på videregående skole eller som aldri søker?

Kan jeg som kommune nekte å overføre alle disse VIGO-rapportene til fylkeskommunen? Vi har ingen avtale om at vi må. Siden vi ikke har en avtale er dessuten kommunen ansvarlig om fylkeskommunen bruker dette til feil ting. Det er ikke kommunens ansvar å fortelle fylkeskommunen om navnet på elevene som kanskje kommer til å søke på videregående skole. Det må de samle inn selv fra andre offentlige kilder (f.eks. folkeregisteret). Eller…?

Jeg hadde i forkant tatt en prat med Datatilsynet og de påpekte at en slik overføring av personopplysninger måtte være hjemlet i lovverk eller formulert i en avtale mellom kommunen og fylkeskommunen. Dette er ikke hjemlet i lov og det finnes ingen slik avtale – så her stod vi på bar bakke. Neste punkt var å sende denne utfordringen til VIGO-eier fylkeskommunen, som hos meg er Rogaland. De tok ballen, sendte den rundt fra kontor til kontor til den til slutt landet på kontoret til en jeg kjente. Han tok en telefon for å finne ut hva jeg egentlig tenkte på og vi ble raskt enige om at behovet er legitimt. Han hadde heller ikke villet overføre denne mengden med informasjon til noen uten en avtale – og han skal spille ballen videre hos dem.

I samtalen kom det frem at det er noen utfordringer knyttet til overføring av informasjon og avtaler. Kort fortalt vil alle fylkeskommuner kunne bruke informasjonen Randaberg kommune laster opp, fordi elever kan søke på skoler i andre fylker. Og når alle kommuner og fylkeskommune er selvstendige juridiske enheter må altså alle (19) fylkeskommuner ha avtale med alle (426) kommuner… og der passerte vi rett over i noe nokså uhåndterlig (8094 avtaler!). Kanskje dette kan gjøres enklere med at organisasjonen VIGO har avtale med den enkelte kommune? Det får noen andres jurister tenke på.

Det er selvfølgelig mulig å lage systemer for dette i grunnskolen. Vi spør alle elever/foresatte om de godtar en overføring av aktuell informasjon til VIGO, eventuelt i forkant av søkeprosessen, og om de ikke frivillig gjør dette må elev/foresatt selv sende inn godkjent kopi av vitnemål til fylket de søker skoleplass i. Så må vi i kommunen ha rutiner for å ikke få med disse elevene i VIGO-eksporten – noe vi sikker kan ordne sammen med Visma i det skoleadministrative systemet. Tungvindt, men korrekt.

Til deg som skal til NKUL – blir du med på en liten dugnad?

Blir du med på en dugnad på NKUL om skytjenester og sikring av personopplysninger som kan bli riktig spennende om mange blir med? Først vil jeg si at dette gjør jeg ikke for å lage dårlig stemning eller henge ut noen. Jeg gjør det fordi jeg faktisk lurer og fordi skytjenester og personopplysninger unektelig er i vinden for tiden. Selvfølgelig kunne jeg gjort det helt selv også, men det er mye enklere (og kjekkere) om flere blir med.

Gangen i det er – blant utstillerne på NKUL velger du et én tilbyder av en eller annen form for skytjeneste. I en hyggelig og høflig interessert tone klemmer du inn disse spørsmålene:

  • Hvor blir brukerdata lagret?
  • Hvordan sikrer dere brukerdata vi lagrer hos dere?
  • Sletter dere alle brukerdata når vi eventuelt sier opp avtalen hos dere?
  • Hvordan kan jeg vite (altså sjekke) at dere gjør det du nettopp har fortalt meg?

Det siste spørsmålet er det vanskelige spørsmålet – hvordan vet jeg at du som leverandør faktisk gjør det du lover i databehandleravtalen / kontrakten? Jeg, som behandlingsansvarlig, kan ikke bruke deg som databehandler uten at jeg faktisk kan sjekke dette. Hvordan vet jeg om du bryter kontrakten eller ikke, om jeg ikke kan kontrollere det på en eller annen måte? Og hvordan gjør vi det? Får jeg komme på besøk selv for å sjekke sjekke rutinedokumenter, risikoanalyser, avviksrapporter og serverrom? Eller har dere en uavhengig tredjepart som sjekker dette og får jeg lese rapporten deres? Eller om dere gjør dette selv – får jeg lese disse rapportene?

Bare for å ta et eksempel – tilbyder sier at alt blir lagret på deres tjenere. Hvis de med dette mener virtuelle tjenere hos Amazon AWS (eller Microsoft Azure) er dette noe helt annet enn tjenere i kjelleren i kontorbygget deres. Og selv om de sier at det er på lokale tjenere i kjelleren – hvordan kan jeg kontrollere at de ikke bruker Amazon AWS likevel?

Hvis du så etter beste evne fyller inn svarene du fikk i dette skjemaet (gjerne sjekk skjema på forhånd) – lover jeg at jeg skal blogge om svarene som har tikket inn. Selvfølgelig har du lov til å snakke med flere og sende inn flere skjema…

Er du med? :-)

PS! Jeg synes jo også at de som står på utstillingene for ulike tjenester bør kunne svare på deler av dette – igjen fordi skytjenester og personopplysninger er et stadig aktuelt spørsmål.

Ballen ruller videre

Med ujevne mellomrom dukker det opp kritiske artikler om Googles inntreden i skolen. Kan ikke huske at det var slik da Microsoft hadde mer eller mindre monopol på alt eller når det så ut som om Apple skulle ta over for Microsoft i skolen. De fleste kritiske spørsmål som rettes mot Googles tjenester må også rettes til både Microsoft og Apple – og alle andre skytjenester som ramler inn i skolen. Men la oss ta for oss det som dukker opp om Google – siden vi i Randabergskolen nå har valgt GSuite for Education (GSE) og Chromebook som vår løsning.

Den første nyheten som dukket fikk jeg via nrk.no og der var «Datatilsynet bekymret for Google-avtale i Trondheim-skolene«. Dette viste seg å være en NTB-nyhet, som igjen var en tabloidutgave av en artikkel i Klassekampen 10. april 2017 (side 1 / side 2). Nei, Datatilsynet er ikke bekymret. Jeg fikk vite fra IT-sjef i Trondheim at han faktisk nylig har fått «bekreftet fra Datatilsynet skriftlig at de har ingen spesifikke bekymringer knyttet til Trondheim kommune sin bruk av skytjenester.» Så da så. Uttalelsen fra Martha Eike var ikke bare rettet mot Google, men mot skytjenester generelt. Hva Gisle Hannemyr måtte mene handler om du har tillit til et firma eller ikke. Hvis du ikke har tillit til noen, så har du ikke det – men da kan du heller ikke ha tillit til egen IT-avdelingen. Hvorfor skulle du det?

19. april 2017 dukker «Frykter Google i skolen» opp på nettsiden til Klassekampen. Den er nesten morsom, men egentlig litt tragisk. Det er ikke Klassekampen som frykter Google i skolen, men direktør Nils Viken i skytjenesten itslearning som mistenker Google for å ikke ha rent mel i posen. Han hiver frem noen påstander som er enkelt beviselig feil. Enten vet han at det er tull (og burde ikke gjort det) eller så kjenner han ikke til det han kritiserer (og burde heller ikke ha gjort det). Uansett FUDer han – med vilje sprer han frykt, usikkerhet og tvil i reklameøyemed. Han driver «reklame» for itslearning ved negativ propaganda mot Google. Når han da samtidig sier at «Vi er ikke en direkte konkurrent til Google» blir det hele ufrivillig morsomt. Selvfølgelig er Googles GSuite for Education (spesielt Google Classroom) en direkte konkurrent til itslearning sin unektelig noe tungvinte og litt foreldede løsning i skolen.

Etter å ha først sagt at vi bør være skeptiske, sier han plutselig at «rent juridisk har nok Google sitt på det tørre» før han slenger ut en påstand om at «sømløsheten» i GSE-tjenesten kan føre elevene fra den sikre delen av GSE over i en del av Google som samler data (som ligger utenfor GSE-tjenesten). Hvis en elevbruker i Randabergskolen prøver å gå fra Google Disk til Blogger vil det dukke opp en enkel melding om at…

Det er fordi administrator har sperret alle tjenester utenfor GSE for elevbrukere, fordi vi ikke har den kontrollen vi ønsker i disse tjenestene. Dermed er Vikens bekymring lagt død. Eleven kommer inn i tjenester hvor «eleven legger igjen spor».

Om en administrator glemmer å stenge tjenester eleven ikke skal ha tilgang til, vil kritikken fra itslearning rammer dem selv. Det er ikke Googles problem om kommunen ikke gjør en god nok jobb med å sette opp systemet, på samme måte som det ikke er itslearnings feil om en lærer laster opp personsensitive opplysninger (f.eks. en IOP) i itslearning. (Fordi det er jo veldig lett å laste opp ting i itslearning, Nils Viken?) Begge deler er kommunens feil, som ikke har gode nok rutiner og ikke gjort jobben sin i forkant.

Også klager han på at GSE er gratis og dermed bruker «bakveien inn» i skolen. Derfor, mener han, tenker ikke kommunene over hva de får i pakken og kan komme til ideen om at de «ikke lenger trenger en tradisjonell læringsplattform». Skrekk og gru! 8-O De fleste kommuner jeg kjenner som har gått over til GSE og sagt opp itslearning har gjort det veldig bevisst. De har alle sagt at de synes itslearning er både dyrt og dårlig.

På toppen av det hele er han bekymret for at myndighetene «trekker på skuldrene» og kommunene «går inn i dette uten å ha full oversikt over konsekvensene». Hallo?! Hvor har han vært de siste årene? Datatilsynet har hatt et eget fokus på dette i skolen og takket være Viken og hans like har det vært et jevnt trøkk i media også. Alle kommuner jeg kjenner har gått runden med å sette seg inn i hva GSE faktisk er og fått låne dokumenter fra andre som har trødd seg igjennom det meste.

Torgeir Waterhouse kontrer påstandene fra Viken bra og sier bare riktig ting om skytjenester – «Dataene er ikke mer sikret med en norsk leverandør». Jeg har tidligere på bloggen påpekt at itslearning ikke alltid er like ryddige i sin behandling av elevdata – både i forhold til interne rutiner og utlevering av elevdata til (utenlandsk) tredjepart.

På twitter kom det raskt et forslag til alternativ overskrift i Klassekampen – «Leverandør av dårlig norsk skoleprogram frykter konkurranse fra enkle løsninger som faktisk fungerer.» ;-)

Den 22. april 2017 kommer Klassekampen med tredje artikkel (side 1 / side 2) der forsker Jan Nolin synes det er en naiv bruk av GSE i skolen og at staten burde lage en tilsvarende tjeneste selv(!). Nolin viser til rapporten «About the Google business model» og prøver å lage et slags diktomi mellom hva Google skriver i vilkårene og hva de faktisk gjør, og dette gjør rapporten gjennom en argumentasjonsanalyse. Dette trenger ikke å bli så komplisert som det høres ut som. Det kritikken koker ned til er at de synes det er problematisk at Google samler data om hvordan elever bruker GSE – altså hva de klikker på, hva klikker de så på og hva gjør de etter det osv. Disse dataene regner de med at Google akkumulerer til en database om brukermønstre – og det er disse brukermønstrene de kaller algoritmiske identiteter. Det er viktig å si at rapporten ikke sier at dette identifiseres med en bestemt elev, men at det er en konstruert «elevidentitet» om hvordan elever opptrer i GSE.

Rapporten mener at Google bruker disse bruksdataene (som jeg velger å kalle dem) til å forbedre tjenesten og til å utvikle nye tjenester. Det er dette de kritiserer og sier at GSE ikke er gratis. Skolen «betaler» ved å vise Google hvordan elevene bruker GSE og dermed også tjenester som de også tjener penger på utenfor GSE-avtalene. Forresten – du kan også argumentere slik om vi hadde betalt for tjenesten. Prisen vi betaler er egentlig rabattert, fordi vi gir bruksdata når vi bruker tjenesten :-)

Jeg tar for gitt at Google bruker bruksdata til å forbedre tjenester, noe annet ville nesten være uansvarlig. Jeg er usikker på om de bruker disse dataene til å lage nye tjenester. Dette stod det noe om i ToS tidligere, men de tok det vekk da de fikk kritikk for dette fra bl.a. Datatilsynet.

Alle nettsider bruker bruksdata i større eller mindre grad og det synes jeg ikke rapporten tar høyde for. Den fremhever at Google sine tjenester er så omfattende at det blir viktig å kanskje begrense informasjonstilgangen til akkurat Google, men det blir snevert tenkt. Samtidig dukker det opp et spørsmål jeg har stilt tidligere på bloggen min i «Ren og rettferdig, himmelen verdig?«. Kan vi sende elevene ut på Internett overhode? All Internett-bruk vil gi noen slike bruksdata, som de bruker til å forbedre og lage nye tjenester. Du kan ikke være på vg.no uten å gi dem data. Google er store på Internett. Det er Internett-surfing de lever av, og da kan vi heller ikke unngå å gi Google data – selv om vi ikke bruker GSE. Er det greit? Tja… det må nesten være lov å si at det er sånn verden er. NB! Jeg logger også bruksdata på bloggen, så bare pass deg!

Diskusjonen Nolin ønsker er ryddig og reell, og om vi synes det er et problem er jeg enig i at løsningen hans, at staten drifter liknende tjenester, er den eneste løsningen vi kan ha – selv om jeg ikke tror den er realistisk. Jeg er tilhenger av at ting må reguleres og at det kommende personverndirektivet har noe for seg.

I det jeg skulle trykke på «Publiser» ramlet det inn en ny artikkel, denne gangen fra June Breivik i DN (klikk deg videre fra FB). Jeg skal innrømme at jeg er litt overrasket over artikkelen, fordi jeg er vant til at hun er ryddigere enn det hun er her. Hun kjører ingen-gratis-lunsj-argumentet, selv om det hun skriver mest om hadde vært likt om du betaler for tjenesten eller ikke. Hun prøver seg på en mer uryddig utgave av argumentet til Nolin, men der Nolin får det rett beskrevet (om negativt) så sauser Breivik det sammen med skanning av og ubegrenset tilgang til informasjon, og da blir det bare feil.

Hun treffer heller ikke i kritikken mot Google og avlytting. At NSA satte opp et avlyttingssystem for å plukke opp «mistenkelig» trafikk bl.a. hos Google, mot Googles viten og vilje, kan ikke Google lastes for. Google reagerte, gjorde tiltak og stoppet denne avlyttingen, etter Snowdens avsløringer. Det er galt å påstå at elever avlyttes som potensielle terrorister i USA av Google. Google har en forpliktelse i amerikansk lov, som norske firma også har ift norsk lov, til å utlevere informasjon om brukere ved mistanke og der nødvendige juridiske steg er fulgt. At det er forskjeller mellom norsk og amerikansk juss, som vi gjerne kan være enige eller uenige om er bra, gir likevel ikke amerikanske myndigheter noen blankofullmakt til å sniffe igjennom alt det Google har liggende. Elevene data «overvåkes som potensiell terrorisme» like mye og like lite i USA som i Norge.

Jeg synes også hun bommer i slutten av artikkelen der løsningen er at «elever burde lære seg å bruke ulike tilbydere» og «være kritisk til hvilken informasjon de legger igjen hvor». I tillegg til at det hadde laget et pedagogisk kaos i skolen, tror jeg at elevene får bedre personvern av den grunn – nei. Og til slutt, se litt på illustrasjonsbildet redaksjonen i DN brukte – en haug Apple-maskiner. Jojo… elevene har vel lært seg å være kritiske til hvem de legger igjen hva hos ;-)

13-års aldersgrense og samtykke fra foreldre

Dette er en liten oppfølger til blogginnlegget mitt om «Google sine krav og Norges lover«. Spørsmålet om Google kom til å kreve foreldres godkjenning selv om norsk lov ikke krever det, ble hengende i løse luften. I etterkant av innlegget ble det en liten dialog med Googles europeiske lovavdeling og dette ble det kortet svaret:

The crucial statement here is that schools can obtain parental consent in accordance with the laws of their jurisdiction. If your local law relieves you from obtaining parent/guardian consent, we don’t have intention to enforce the obligation to obtain consent per our standard ToS.

(De skal også gjøre endringer i ToSen hvor dette også kommer frem.)

Og for å være helt presis – ja, det finnes et sted i Personopplysningsloven som spesifikt sier at vi ikke trenger foreldres (eller elevens) positive samtykke. Det er § 8 med underpunkt b som trer i kraft i skolen.

§ 8. Vilkår for å behandle personopplysninger
Personopplysninger (jf. § 2 nr. 1) kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for
b) at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse,

Den behandlingsansvarlige er da skoleeier (kommunen) og den rettslige forpliktelsen som skal oppfylles er Opplæringslova § 13 – å drive grunnskole. For å begrunne bruk av Google sine tjenester kan du f.eks. vise til Opplæringslova § 2-3 som pålegger skolen å undervise i fag, hvor da skolen må definere inn GSuite for Education som en del av dette tilbudet.

Og når kommunen er behandlingsansvarlig trenger skolen ikke samtykke, men det påligger da kommunen å sikre at personopplysningene behandles i tråd med personopplysningsloven. Og personopplysningsloven sier at når behandlingsansvarlig ikke er databehandler må behandlingsansvarlig sikre at databehandler følger personopplysningsloven (og en databehandleravtale kan være en god måte å sikre dette på). Og vil du vite mer akkurat dette kan du sjekke ut presentasjonen med kommentarer i blogginnlegget «Livet er en pussig ting» fra 2015.

Poenget er – en skole trenger ikke samtykke for å lagre personopplysninger i en skytjeneste, så lenge skytjenesten er brukt som en del av opplæringen. Samtidig fratar dette ikke skolen ansvar for å følge Personopplysningsloven – tvert om faktisk.

Faktisk løser dette hele EFFs kritikk mot Google (og andre skytjenester), som rett og slett ikke treffer helt her i Norge på grunn av dette. Del 1 handler om utfordringer rundt foreldres informerte samtykke. Kritikken handler mye om at foreldre må gi samtykke og det er ikke alltid at dette samtykke inneholder alle detaljer. Dette er en utfordring i USA der foreldre  gi samtykke til slike tjenester før en skole kan bruke dem. Hvis du da ikke husker å spørre om at det som kan være aktuelt, er det ikke vanskelig å finne noe å kritisere i etterkant.

Del 2 i rapporten om handler amerikansk lov og den er nokså ulik norsk lov. I Norge har vi Personopplysningsloven og Datatilsynet som passer på at både offentlige institusjoner og private bedrifter følger loven. Del 3 konkluderer de egentlig med at det hadde vært fint om de i USA hadde hatt en lov som liknet en del på den norske Personopplysningsloven.

Så da er det jo bra at vi har den ;-)