Jeg har tenkt litt etter besøket fra Datatilsynet. Egentlig skisserte Datatilsynet en håpløst situasjon i forhold til databehandleravtaler og internkontrolldokumenter, som kommunen må ha i orden for enhver skytjeneste/digital læringsressurs hvor en legger igjen personidentifiserbar informasjon.

Prøver meg på en liten liste over netttjenester en lett ber elever bruke i skolen, og som faller inn under personopplysningslovens krav:

  • Fronter, Google Apps for Education og itslearning + alle tjenester du kan koble, eller er koblet, opp til dem (her er listene til itslearningGoogle og Fronter (nederst på siden)).
  • Alle sosiale nettverk – Facebook, Google+, Twitter og faktisk også Wikipeida.
  • Alle FEIDE-tjenester (hvis eleven må logge seg på via FEIDE)! Bare for å ta en eksempel – på minstemme.no står det at du ikke trenger en egen avtale med leverandør, men det handler om å få tilgang til tjenesten. Du, som kommune,  ha en databehandleravtale og internkontrolldokumenter om du sier at elever skal bruke det.
  • Alle apper på iPad/Android/Win8 som lagrer og deler informasjon i skyen (bortsett fra innlysende skytjenester). Tenk litt over hvor mange apper på en iPad som bruke iCloud eller sin egen lagrings-/delingstjeneste på nett (f.eks. Doceri, Prezi, SlideShare osv).
  • Og som en oppfølging til punktet over – alle nettressurser som krever autentisering, f.eks. KhanAcademy.

Husk at grensen for når du skal ha en databehandleravtale og må lage internkontrolldokumenter med risikovurdering ikke er at skolen/kommunen offisielt bruker det – det er at en lærer ber elevene om å gjøre skolearbeid ved hjelp av en av disse tjenestene!

For å si det på en annen måte: Hvilke tjenester må du inngå en databehandleravtale med og lage interkontrolldokumenter til? Jo, alle digitale tjenester du ber elever bruke i skolen og som lagrer brukergenerert eller personrelatert informasjon et annet sted enn på skolen/kommunen.

Lovens (nesten) umulige krav
Først skal hver eneste kommune prøve å skaffe en databehandleravtale med tjenesteleverandør – og det er ikke selvsagt at tjenesteleverandør overhode er interessert i det. Det er ikke sikkert du får nrkskole.no (NRK) eller matematikk.org (UiO) eller minstemme.no (Senter for IKT) til å skjønne at du må det. Og så skal hver kommune/skole lage sine egne internkontrolldokumenter for hver tjeneste. Det sier seg selv at kvaliteten kommer til å variere fra kommune til kommune og skole til skole – uansett hvor mange kontroller som gjøres eller veiledere som lages. Det er så mye sky for tiden at det i praksis er umulig å ha klar sikt over alt.

Det er vårt ansvar som kommune/skole (dataeier) å ha gode nok kunnskaper om tjenesteyters (databehandlers) rutiner og systemer for å sikre våre data. Derfor skal vi ha en databehandleravtale med dem der dette formaliseres. I praksis betyr det at vi skal ha mulighet til å kontrollere hvordan databehandler lever opp til sine rutiner (og da må du jo vite om dem!). I tillegg skal dataeier gjøre en risikovurdering ut i fra hvilke opplysninger som lagres hos databehandler.

Og for å ta dette som et praktisk eksempel – vi bruker Visma FLYT Skole som skoleadministrativt system. Det er en skytjeneste. Vi har inngått en databehandleravtale med Visma, men vi har ingen oversikt over deres rutiner omkring sikring og tilgang til våre data (som f.eks. Google har for Google Apps). Siden vi ikke har den oversikten kan vi ikke vite noe om risiko knyttet til informasjonen vi lagrer hos Visma – vi må bare stole på at de har alt i orden. Det er ikke godt nok overfor personopplysningsloven. Den sier at vi skal ha denne oversikten og at vi skal gjøre en risikovurdering – og vi kan ikke gjøre det uten denne informasjonen. Nå vil jeg tilføye at vi skal få denne informasjonen fra Visma. De har den ikke klar enda, men skal lage den – fordi jeg har spurt etter den.

Så var det at vi skal ha anledning til å kontrollere at databehandler gjør det de sier i sitt rutineskriv/internkontrolldokument. Google har ordnet det med at en tredjepart kontrollerer og gjør resultatet av kontrollen tilgjengelig for dataeier. Dette aner jeg ikke om Visma gjør via tredjepart, eller om de kommer til å tillate meg (som kommunerepresentant) å kontrollere det selv. Men for kunne si at jeg som dataeier har god nok kontroll over dataene min, må en av disse to mulighetene være oppfylt.

Poenget blir at dette nesten er umulig å oppfylle for dataeier. En ting er å skaffe databehandleravtale – det har de store norske tjenestetilbydere rutiner på (også noen av de utenlandske). Men når en krever innsyn i rutiner for sikring og innsyn hos databehandler blir ting mye vanskeligere. Jeg tviler sterkt på at det bare er Visma og Conexus som per dags dato ikke kan levere fra seg noe som likner på det Google kan levere. Da blir det omtrent helt vilkårlig hvilken tjeneste som blir «forbudt». Alle tjenester som kommer i Datatilsynets søkelys vil falle igjennom – hos kommunen. Ingen kommune kan leve opp til kravet. Det ble Google Apps i Narvik, men Google har orden på tingene og kan dokumentere det (og gi den dokumentasjonen til kommunen). Hva med alle de andre skytjenestene som skoler rundt omkring i landet forventer at elever skal bruke for å utføre skolearbeid? Bare plukk ut en og sjekk om kommunen kan leve opp til kravet i personopplysningsloven.

Problemet er at vi ikke bare kan, eller bør, ønske personopplysningsloven vekk. Jeg liker den! Det er viktig at informasjon ikke flyter uten styring, og det er bra at vi har et Datatilsyn som passer på. Vi skal vokte oss vel for den regjering som vil sette Datatilsynet under politisk styring eller ønsker å fjerne det!

Et forslag til forbedring
Så hva gjør vi da? Det er en ting at det å følge personopplysningsloven i en digital tidsalder genererer hauger av dokumenter og rutiner. Det er verre at loven er mer eller mindre umulig å leve opp til. En lov ingen klarer å følge i praksis er en dårlig lov. Du kan ikke forby alle skytjenester i skolen. Det funker bare ikke. Den tid er allerede forbi.

Det beste jeg klarer å tenke ut er at ansvaret for å sikre at databehandlers behandling av data er god nok må vekk fra kommunen/skolen. Nå er det slik at hver kommune må lage sin egen avtale og sin egen internkontroll for f.eks. itslearning – selv om den i praksis kommer til å være identisk. Det må vekk fra hver enkelt kommune og over på en aktør.

Her er det flere mulige alternativer. Enten kan tjenesteleverandør få en «godkjenning» fra Udir/Datatilsynet gjennom en sertifisering som tjenesteleverandør kan vise til at de oppfyller (gjennom tredjepart). Eller Udir kan på vegne av utdanningssektoren lage internkontrolldokumenter og databehandleravtaler med tjenesteleverandørene. Det er en ulempe med dette alternativet, nemlig at da er det Udir som velger ut hvilke tjenester de vil godkjenne. Det er bedre om tjenesteleverandør kan få tredjepart til å bekrefte at de lever opp til standarder satt av Udir for tjenester levert til undervisningssektoren.

Da kan enhver i undervisningssektoren (som er en stor sektor) benytte tjenesten vel vitende om at de er innenfor lovens krav. Loven må nok endres litt for å få dette til, men det er jo blant annet det vi har Udir til :-)

Og om ingen sentrale personer tar fatt i dette får vi trø til med en kjent og velfungerende modell – vi deler det vi har sammen! I forrige innlegg på bloggen lovet jeg at jeg skulle legge ut internkontrolldokumentene for Google Apps for Education når jeg har fått revidert dem. Jeg lover også at jeg også skal utforme dem slik at andre skoler/kommuner lett kan gjøre dem til sine dokumenter. Kanskje vi kunne samle alle slike dokumentmaler ett felles sted? Da slipper kommuner som vil ta tjenester i bruk å finne opp kruttet på nytt når en jobber seg hjelpesløst gjennom utydelige veiledere.