ctrl-buttonDa har Datatilsynet gjennomført sin stedlige kontroll på Harestad skole – og ting forløp omtrent som forventet. Det var ingen hemmelighet at de fleste av dokumentene vi sendte til Datatilsynet ble til etter at de hadde meldt kontrollen – noe de kunne bekrefte at ikke var uvanlig :-)

I korte trekk må ha vi flere ting på plass. Vi må være mer profesjonelle med internkontrolldokumentene våre og gjøre mer detaljerte risikovurderinger, sammen med bedre beskrivelser av hvilke type opplysninger som lagres i hver tjeneste (hvilke intenderte opplysninger som skal lagres). Jobben blir også å pensle ut rutiner mer skriftlig, som også inkluderer veiledninger for brukere av systemet om hva systemet er ment for og ikke ment for. Så til slutt et system for å sikre at vi formidler, følger og jevnlig justerer disse rutinene. Ja, det blir litt sånn rutiner for å sikre at vi har rutiner for de rutinene vi har.

Jeg fikk anledning til å spørre dem om et par ting jeg har lurt på lenge. Er det f.eks. nok at itslearning går god for Ephorus (plagiatkontrollen i itslearning) eller må kommunen ha en egen databehandleravtale med Ephorus for å kunne bruke den? Juristen fra Datatilsynet mente at dette var en separat tjeneste levert av en ekstern aktør utenfor itslearning, så ja – kommunen må inngå en databehandleravtale med Ephorus for å oppfylle lovens krav om databehandling. Det holder ikke at itslearning går god for dem. Tygg litt på den, alle plagiatkontrollelskende itslearning-brukere der ute :-)

Forresten – du må også ha en databehandleravtale med alle du har knyttet FEIDE-autentisering mot og du må ha internkontroll-dokumenter for dem. Så det er bare å sjekke om du har gjort det mot NDLA, KorArti, Matematikk.org, Multi, NRK Skole osv…

Et morsomt poeng i kontrollen er at Google Apps har lett tilgjengelig dokumentasjon om deres internkontroll, hvordan de sikrer data både teknisk og fysisk, hvem som har tilgang til informasjonen som legges inn og hva de gjør med informasjonen. De har også gjort tilgjengelig tredjeparts vurdering om i hvilken grad de lever opp til det de sier at de gjør. Dette er per dags dato ikke mulig å oppdrive for Visma FLYT Skole og Conexus PULS/VOKAL. Ikke det – jeg har snakket med både Visma og Conexus, og de har sagt at de skal lage dette og sende det til meg. Kan noen som bruker itslearning be dem om å supplere tilsvarende informasjon (som de bør kunne oppdrive for deg som dataeier)?

For de som er nervøse for hvordan det gikk med Google Apps for Education har jeg ikke annet å melde enn at den ikke skiller seg negativt ut fra andre digitale tjenester på nett (også norske). Utfordringen fra Datatilsynet er at mange skoler forholder seg til skytjenester som «hyllevare», hvor det bare er å kjøpe tjenesten og så bruke den. Datatilsynet er opptatt av at du må gjøre en jobb i forkant før du tar i bruk tjenesten. Du skal tenke igjennom (og skrive ned) hvilken informasjon som lagres, hvordan den forholder seg til eksisterende lovverk, hvilken risiko som knytter seg til lagringen av denne informasjonen og hvilke rutiner du har for å hindre uønskede hendelser/risiko. Du må også gjøre en vurdering om leverandør har god nok sikring og gode nok rutiner for å sikre de dataene du gir dem tilgang til som dataeier (det er det du skal sikre gjennom databehandleravtalen). Trikset er at dette er helt uavhengig om det er itslearning, Fronter, Facebook, Dropbox, Google Apps for Education, iCloud, Visma FLYT Skole, iTunes, KorArti, NDLA osv. Så lenge du ber elever om å bruke en skytjeneste hvor de legger igjen (teoretisk) identifiserbar personinformasjon skal du ha dette i boks. Lykke til! (Ikke glem alle de der appene på nettbrett som lagrer noe informasjon ett eller annet sted på der ute på Internett!)

Og så lover jeg at jeg skal legge ut internkontroll-dokumentet vårt for Google Apps for Education her på bloggen når vi har revidert det :-)