Mens Google, Narvik og Datatilsynet prøver å bli enige om hva som er godt nok har jeg tenkt litt på skytjenester, personopplysningsloven og databehandleravtaler – og det er noe som skurrer når personopplysningsloven møter virkeligheten på det store Internettet. I det videre skriver jeg med utgangspunkt i skolen (siden det er den jeg kjenner best), men problemstillingen gjelder for alle norske virksomheter som bruker skytjenester.

Personopplysningsloven §15 stiller krav om at det skal være en avtale mellom skolen og en skytjeneste som behandler personopplysninger – en databehandleravtale. Og bare så alle er enige – en personopplysning er «opplysninger og vurderinger som kan knyttes til en person» (§2). Det er i denne sammenheng likegyldig hva slags opplysning det er. Sensitive personopplysninger er en spesiell type opplysninger om personen, som vi i denne runden ikke tar opp. Loven gjelder alle former for behandling av disse opplysningene med elektroniske hjelpemidler eller når opplysningene inngår i et personregister (altså en samling av personopplysninger). Det er skolen som må lage avtalen med skytjenesten. Selvfølgelig kan skytjenesten ha klart et forslag, men det er ansvarlige som skal opprette en avtale med behandler.

Det første jeg måtte avklare for meg selv var hvilke skytjenester som krever en avtale, og nå tenker jeg bare på at en må ha en avtale – ikke hva som skal stilles som krav i avtalen (som er sentral del av diskusjonen rundt Google Apps og Narvik). Hvilke skytjenester har opplysninger som kan «knyttes til en person»? Det er de fleste, fordi de har en eller annen form for autentisering. Da lagres automatisk en del opplysninger direkte knyttet til en person (og husk at vi nå snakker om hvilke som helst opplysninger) og da må en ha lage en avtale. Alle FEIDE-tjenester ramler inn her.

Jeg vil også ta utgangspunkt i at en bare må inngå en slik avtale når skolen bruker en skytjeneste systemisk – at elever og lærere ikke kan la være å bruke den, fordi det ligger i skolens planer at alle skal bruke tjenesten. En trenger ikke gjøre det om det er frivillig – da kan de som ikke vil bruke den bare la være.

Da sitter jeg igjen med en interessant liste med avtalepliktige skytjenester (som ikke er uttømmende):

  • Fronter
  • Cyberbook
  • NRK Skole (om du bruker FEIDE)
  • Gyldendals Smartbok
  • Kindle
  • Mobilskole
  • itslearning
  • Google Apps
  • Microsoft Live@EDU
  • iTunes/iCloud/iTunesU
  • Android Market
  • MinSkole
  • NDLA
  • Apper på mobil/nettbrett som krever identifisering (f.eks. en del kommende norske digitale lærebøker)

Du kan faktisk også kreve det av Wikipedia om elevene har som arbeidsoppgave på skolen å skrive i der, fordi da kreves det som regel en pålogging/identifisering av bruker.

Noe sier meg at skoler ikke lager slike avtaler og ingenting er som et praktisk eksempel. Jeg ville se om skoler inngår avtale med LMSene de bruker. Via via via fant jeg ut at bare en kommune har inngått en databehandleravtale med Fronter – og det er Oslo. Ingen andre. Det betyr i praksis at alle andre skoler/kommuner som bruker Fronter ikke følger det viktigste punktet i personopplysningsloven – og bruken av systemet er dermed ikke lovlig. Jeg har ikke funnet ut hvordan det står til med itslearning, men ansvarlige itslearning-administratorer der ute som kan bekrefte eller avkrefte om de har en slik avtale må bare ta kontakt. Jeg skjønner at dette er litt pirkete og at de fleste enkelt kan lage en databehandleravtale med Fronter, men det er ingen som har gjort det – eller tenker at de burde det. Tydeligvis.

Så kom jeg på enda en ting, som Google er veldig flinke til å informere deg om – hva skjer om du kobler en tredjepartstjeneste / underleverandør til skytjenesten? Jeg tar et eksempel fra Google Apps, men dette gjelder mange andre skytjenester og det mest nærliggende er kanskje Ephorus i Fronter og itslearning. I Google Apps kan du lett koble deg opp til andre tjenester som f.eks. Aviary Design Tools, som er en pakke med online-verktøy for redigere lyd og bilde. Du får promte beskjed fra Google om hvilken informasjon Aviary vil ha tilgang i Google Apps-basen:

User Provisioning (Read only)
This app will give your users access to Aviary and provide help to them get started.

Docs (Read/Write)
This app saves your creations to your Docs account for easy access and sharing.

Og vips – så ble Aviary en ny databehandler for skolen i og med at de kan lese brukerinformasjon (og bruker den for å holde orden på hvem som lager hva) og at de har sin helt egen «Security Policy» enn Google nødvendigvis har. I følge loven må skolen da også inngå en databehandleravtale med Aviary, fordi Google allerede uttrykkelig har sagt at de ikke tar ansvar for hva Aviary bruker informasjonen de henter ut av Google Apps til. Dette kommer også frem i Datatilsynets veileder for databehandleravtaler (s. 13).

Du møter kravet om databehandleravtale igjen og igjen og igjen og igjen – og det før du skal prøve å leve opp til Datatilsynets forventninger til hva du konkret skal kreve/forvente i disse avtalene. Blar du igjennom Datatilsynets krav til Narvik kommune ifm bruk av Google Apps og kikker på listen over skytjenester tidligere i innlegget, skjønner du raskt at den enkelte skole eller kommune kan få store problemer med å bruke tjenestene.

Jeg er ikke motstander av at Datatilsynet passer på at vi ikke skal finne oss i avtaler vi kommer til å angre på, men det er noe som skurrer kraftig når personopplysningsloven møter «Skyen» på denne måten. Det er noe med at «Skyen» bare ikke virker slik personopplysningsloven forutsetter at verden skal virke.