Dette innholdet er 10 år gammelt, så det kan godt hende at ting er utdatert i vår hastige digitale hverdag.

Mens Google, Narvik og Datatilsynet prøver å bli enige om hva som er godt nok har jeg tenkt litt på skytjenester, personopplysningsloven og databehandleravtaler – og det er noe som skurrer når personopplysningsloven møter virkeligheten på det store Internettet. I det videre skriver jeg med utgangspunkt i skolen (siden det er den jeg kjenner best), men problemstillingen gjelder for alle norske virksomheter som bruker skytjenester.

Personopplysningsloven §15 stiller krav om at det skal være en avtale mellom skolen og en skytjeneste som behandler personopplysninger – en databehandleravtale. Og bare så alle er enige – en personopplysning er “opplysninger og vurderinger som kan knyttes til en person” (§2). Det er i denne sammenheng likegyldig hva slags opplysning det er. Sensitive personopplysninger er en spesiell type opplysninger om personen, som vi i denne runden ikke tar opp. Loven gjelder alle former for behandling av disse opplysningene med elektroniske hjelpemidler eller når opplysningene inngår i et personregister (altså en samling av personopplysninger). Det er skolen som må lage avtalen med skytjenesten. Selvfølgelig kan skytjenesten ha klart et forslag, men det er ansvarlige som skal opprette en avtale med behandler.

Det første jeg måtte avklare for meg selv var hvilke skytjenester som krever en avtale, og nå tenker jeg bare på at en må ha en avtale – ikke hva som skal stilles som krav i avtalen (som er sentral del av diskusjonen rundt Google Apps og Narvik). Hvilke skytjenester har opplysninger som kan “knyttes til en person”? Det er de fleste, fordi de har en eller annen form for autentisering. Da lagres automatisk en del opplysninger direkte knyttet til en person (og husk at vi nå snakker om hvilke som helst opplysninger) og da må en ha lage en avtale. Alle FEIDE-tjenester ramler inn her.

Jeg vil også ta utgangspunkt i at en bare må inngå en slik avtale når skolen bruker en skytjeneste systemisk – at elever og lærere ikke kan la være å bruke den, fordi det ligger i skolens planer at alle skal bruke tjenesten. En trenger ikke gjøre det om det er frivillig – da kan de som ikke vil bruke den bare la være.

Da sitter jeg igjen med en interessant liste med avtalepliktige skytjenester (som ikke er uttømmende):

  • Fronter
  • Cyberbook
  • NRK Skole (om du bruker FEIDE)
  • Gyldendals Smartbok
  • Kindle
  • Mobilskole
  • itslearning
  • Google Apps
  • Microsoft Live@EDU
  • iTunes/iCloud/iTunesU
  • Android Market
  • MinSkole
  • NDLA
  • Apper på mobil/nettbrett som krever identifisering (f.eks. en del kommende norske digitale lærebøker)

Du kan faktisk også kreve det av Wikipedia om elevene har som arbeidsoppgave på skolen å skrive i der, fordi da kreves det som regel en pålogging/identifisering av bruker.

Noe sier meg at skoler ikke lager slike avtaler og ingenting er som et praktisk eksempel. Jeg ville se om skoler inngår avtale med LMSene de bruker. Via via via fant jeg ut at bare en kommune har inngått en databehandleravtale med Fronter – og det er Oslo. Ingen andre. Det betyr i praksis at alle andre skoler/kommuner som bruker Fronter ikke følger det viktigste punktet i personopplysningsloven – og bruken av systemet er dermed ikke lovlig. Jeg har ikke funnet ut hvordan det står til med itslearning, men ansvarlige itslearning-administratorer der ute som kan bekrefte eller avkrefte om de har en slik avtale må bare ta kontakt. Jeg skjønner at dette er litt pirkete og at de fleste enkelt kan lage en databehandleravtale med Fronter, men det er ingen som har gjort det – eller tenker at de burde det. Tydeligvis.

Så kom jeg på enda en ting, som Google er veldig flinke til å informere deg om – hva skjer om du kobler en tredjepartstjeneste / underleverandør til skytjenesten? Jeg tar et eksempel fra Google Apps, men dette gjelder mange andre skytjenester og det mest nærliggende er kanskje Ephorus i Fronter og itslearning. I Google Apps kan du lett koble deg opp til andre tjenester som f.eks. Aviary Design Tools, som er en pakke med online-verktøy for redigere lyd og bilde. Du får promte beskjed fra Google om hvilken informasjon Aviary vil ha tilgang i Google Apps-basen:

User Provisioning (Read only)
This app will give your users access to Aviary and provide help to them get started.

Docs (Read/Write)
This app saves your creations to your Docs account for easy access and sharing.

Og vips – så ble Aviary en ny databehandler for skolen i og med at de kan lese brukerinformasjon (og bruker den for å holde orden på hvem som lager hva) og at de har sin helt egen “Security Policy” enn Google nødvendigvis har. I følge loven må skolen da også inngå en databehandleravtale med Aviary, fordi Google allerede uttrykkelig har sagt at de ikke tar ansvar for hva Aviary bruker informasjonen de henter ut av Google Apps til. Dette kommer også frem i Datatilsynets veileder for databehandleravtaler (s. 13).

Du møter kravet om databehandleravtale igjen og igjen og igjen og igjen – og det før du skal prøve å leve opp til Datatilsynets forventninger til hva du konkret skal kreve/forvente i disse avtalene. Blar du igjennom Datatilsynets krav til Narvik kommune ifm bruk av Google Apps og kikker på listen over skytjenester tidligere i innlegget, skjønner du raskt at den enkelte skole eller kommune kan få store problemer med å bruke tjenestene.

Jeg er ikke motstander av at Datatilsynet passer på at vi ikke skal finne oss i avtaler vi kommer til å angre på, men det er noe som skurrer kraftig når personopplysningsloven møter “Skyen” på denne måten. Det er noe med at “Skyen” bare ikke virker slik personopplysningsloven forutsetter at verden skal virke.

Print Friendly, PDF & Email

2 kommentarer

  1. Hei Odin!

    Takk for en bra blogg, er innom her jevnlig!

    Jeg jobber selv på en skole som ønsket å sjekke ut mulighetene rundt dette med Google Apps For Education, men satte dette litt “på vent” etter det som skjedde i Narvik. Lurer derfor på om dere på Harestad har fått noe mer info om lovlighet o.l. knyttet til dette?

    mvh

    Håvard

    1. Takker og bukker! Det er enda ikke kommet noe endelig fra Google vs Datatilsynet. Men, jeg vet at Google jobber med å lage en standardkontrakt som skal være spiselig for datatilsynet i Norge og tilsvarende organ i Sverige. Dette kombinert med at Datatilsynet i Norge har sagt at de vil de Google/Narvik den tiden de trenger for å få på plass en løsning som Datatilsynet kan godta, høres ut som god musikk i mine øre. Dessverre har ikke orkesteret begynt å spille enda, så hvis jeg var deg ville jeg nok vente litt til. I ventetiden hadde jeg sjekket ut Zimbra ;-)

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.