Mens vi venter på Datatilsynets rapport

Dette innholdet er 10 år gammelt, så det kan godt hende at ting er utdatert i vår hastige digitale hverdag.

ctrl-buttonDa har Datatilsynet gjennomført sin stedlige kontroll på Harestad skole – og ting forløp omtrent som forventet. Det var ingen hemmelighet at de fleste av dokumentene vi sendte til Datatilsynet ble til etter at de hadde meldt kontrollen – noe de kunne bekrefte at ikke var uvanlig :-)

I korte trekk må ha vi flere ting på plass. Vi må være mer profesjonelle med internkontrolldokumentene våre og gjøre mer detaljerte risikovurderinger, sammen med bedre beskrivelser av hvilke type opplysninger som lagres i hver tjeneste (hvilke intenderte opplysninger som skal lagres). Jobben blir også å pensle ut rutiner mer skriftlig, som også inkluderer veiledninger for brukere av systemet om hva systemet er ment for og ikke ment for. Så til slutt et system for å sikre at vi formidler, følger og jevnlig justerer disse rutinene. Ja, det blir litt sånn rutiner for å sikre at vi har rutiner for de rutinene vi har.

Jeg fikk anledning til å spørre dem om et par ting jeg har lurt på lenge. Er det f.eks. nok at itslearning går god for Ephorus (plagiatkontrollen i itslearning) eller må kommunen ha en egen databehandleravtale med Ephorus for å kunne bruke den? Juristen fra Datatilsynet mente at dette var en separat tjeneste levert av en ekstern aktør utenfor itslearning, så ja – kommunen må inngå en databehandleravtale med Ephorus for å oppfylle lovens krav om databehandling. Det holder ikke at itslearning går god for dem. Tygg litt på den, alle plagiatkontrollelskende itslearning-brukere der ute :-)

Forresten – du må også ha en databehandleravtale med alle du har knyttet FEIDE-autentisering mot og du må ha internkontroll-dokumenter for dem. Så det er bare å sjekke om du har gjort det mot NDLA, KorArti, Matematikk.org, Multi, NRK Skole osv…

Et morsomt poeng i kontrollen er at Google Apps har lett tilgjengelig dokumentasjon om deres internkontroll, hvordan de sikrer data både teknisk og fysisk, hvem som har tilgang til informasjonen som legges inn og hva de gjør med informasjonen. De har også gjort tilgjengelig tredjeparts vurdering om i hvilken grad de lever opp til det de sier at de gjør. Dette er per dags dato ikke mulig å oppdrive for Visma FLYT Skole og Conexus PULS/VOKAL. Ikke det – jeg har snakket med både Visma og Conexus, og de har sagt at de skal lage dette og sende det til meg. Kan noen som bruker itslearning be dem om å supplere tilsvarende informasjon (som de bør kunne oppdrive for deg som dataeier)?

For de som er nervøse for hvordan det gikk med Google Apps for Education har jeg ikke annet å melde enn at den ikke skiller seg negativt ut fra andre digitale tjenester på nett (også norske). Utfordringen fra Datatilsynet er at mange skoler forholder seg til skytjenester som «hyllevare», hvor det bare er å kjøpe tjenesten og så bruke den. Datatilsynet er opptatt av at du må gjøre en jobb i forkant før du tar i bruk tjenesten. Du skal tenke igjennom (og skrive ned) hvilken informasjon som lagres, hvordan den forholder seg til eksisterende lovverk, hvilken risiko som knytter seg til lagringen av denne informasjonen og hvilke rutiner du har for å hindre uønskede hendelser/risiko. Du må også gjøre en vurdering om leverandør har god nok sikring og gode nok rutiner for å sikre de dataene du gir dem tilgang til som dataeier (det er det du skal sikre gjennom databehandleravtalen). Trikset er at dette er helt uavhengig om det er itslearning, Fronter, Facebook, Dropbox, Google Apps for Education, iCloud, Visma FLYT Skole, iTunes, KorArti, NDLA osv. Så lenge du ber elever om å bruke en skytjeneste hvor de legger igjen (teoretisk) identifiserbar personinformasjon skal du ha dette i boks. Lykke til! (Ikke glem alle de der appene på nettbrett som lagrer noe informasjon ett eller annet sted på der ute på Internett!)

Og så lover jeg at jeg skal legge ut internkontroll-dokumentet vårt for Google Apps for Education her på bloggen når vi har revidert det :-)


Publisert

i

av

Kommentarer

4 kommentarer til “Mens vi venter på Datatilsynets rapport”

  1. Kjetil avatar
    Kjetil

    Veldig bra jobb, Odin. Er rimelig sikker på at dokumentasjonen du har framlagt er adskillig mer grundig og gjennomtenkt enn det de fleste andre organisasjoner får til. Tror nok du setter skolene i Randaberg i et godt lys.

  2. Kjetil E avatar
    Kjetil E

    Spørsmålet er om all denne dokumentasjonen er hensiktsmessig, eller bare kommer inn i papirmøllen. Målet burde være å fjerne så mye som mulig av byråkratiet bak slikt, samtidig som man er venner med datatilsynet.

    Jeg husker min lærer på ungdomsskolen på 90-tallet printet ut Terms & Conditions fra Yahoo-mail til oss, som vi måtte lese før vi fikk bruke epost opprettet på skolen. Som åpenbart var ganske teit – vi kunne knapt engelsk, og ville uansett ikke skjønt hva som sto der.

    1. Odin avatar

      Det er dette jeg også har noen tanker om. Jeg jobber med noen ideer om hvordan dette kunne blitt gjort på en smidigere måte og minst like sikkert. Det er lett å kritisere Datatilsynet for å generere unødig papirarbeid, men jeg er enig i viktigheten av oppdraget deres og at de finnes – det er bare ikke alltid at løsningen de viser til (lovteksten) i praksis kommer til å gjøre ting bedre (og enklere).

  3. […] Mens vi venter på Datatilsynets rapport […]

Legg igjen en kommentar til Odin Avbryt svar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.