Når instruksen ikke passer med virkeligheten

Jeg har tenkt litt etter besøket fra Datatilsynet. Egentlig skisserte Datatilsynet en håpløst situasjon i forhold til databehandleravtaler og internkontrolldokumenter, som kommunen må ha i orden for enhver skytjeneste/digital læringsressurs hvor en legger igjen personidentifiserbar informasjon.

Prøver meg på en liten liste over netttjenester en lett ber elever bruke i skolen, og som faller inn under personopplysningslovens krav:

  • Fronter, Google Apps for Education og itslearning + alle tjenester du kan koble, eller er koblet, opp til dem (her er listene til itslearningGoogle og Fronter (nederst på siden)).
  • Alle sosiale nettverk – Facebook, Google+, Twitter og faktisk også Wikipeida.
  • Alle FEIDE-tjenester (hvis eleven må logge seg på via FEIDE)! Bare for å ta en eksempel – på minstemme.no står det at du ikke trenger en egen avtale med leverandør, men det handler om å få tilgang til tjenesten. Du, som kommune,  ha en databehandleravtale og internkontrolldokumenter om du sier at elever skal bruke det.
  • Alle apper på iPad/Android/Win8 som lagrer og deler informasjon i skyen (bortsett fra innlysende skytjenester). Tenk litt over hvor mange apper på en iPad som bruke iCloud eller sin egen lagrings-/delingstjeneste på nett (f.eks. Doceri, Prezi, SlideShare osv).
  • Og som en oppfølging til punktet over – alle nettressurser som krever autentisering, f.eks. KhanAcademy.

Husk at grensen for når du skal ha en databehandleravtale og må lage internkontrolldokumenter med risikovurdering ikke er at skolen/kommunen offisielt bruker det – det er at en lærer ber elevene om å gjøre skolearbeid ved hjelp av en av disse tjenestene!

For å si det på en annen måte: Hvilke tjenester må du inngå en databehandleravtale med og lage interkontrolldokumenter til? Jo, alle digitale tjenester du ber elever bruke i skolen og som lagrer brukergenerert eller personrelatert informasjon et annet sted enn på skolen/kommunen.

Lovens (nesten) umulige krav
Først skal hver eneste kommune prøve å skaffe en databehandleravtale med tjenesteleverandør – og det er ikke selvsagt at tjenesteleverandør overhode er interessert i det. Det er ikke sikkert du får nrkskole.no (NRK) eller matematikk.org (UiO) eller minstemme.no (Senter for IKT) til å skjønne at du må det. Og så skal hver kommune/skole lage sine egne internkontrolldokumenter for hver tjeneste. Det sier seg selv at kvaliteten kommer til å variere fra kommune til kommune og skole til skole – uansett hvor mange kontroller som gjøres eller veiledere som lages. Det er så mye sky for tiden at det i praksis er umulig å ha klar sikt over alt.

Det er vårt ansvar som kommune/skole (dataeier) å ha gode nok kunnskaper om tjenesteyters (databehandlers) rutiner og systemer for å sikre våre data. Derfor skal vi ha en databehandleravtale med dem der dette formaliseres. I praksis betyr det at vi skal ha mulighet til å kontrollere hvordan databehandler lever opp til sine rutiner (og da må du jo vite om dem!). I tillegg skal dataeier gjøre en risikovurdering ut i fra hvilke opplysninger som lagres hos databehandler.

Og for å ta dette som et praktisk eksempel – vi bruker Visma FLYT Skole som skoleadministrativt system. Det er en skytjeneste. Vi har inngått en databehandleravtale med Visma, men vi har ingen oversikt over deres rutiner omkring sikring og tilgang til våre data (som f.eks. Google har for Google Apps). Siden vi ikke har den oversikten kan vi ikke vite noe om risiko knyttet til informasjonen vi lagrer hos Visma – vi må bare stole på at de har alt i orden. Det er ikke godt nok overfor personopplysningsloven. Den sier at vi skal ha denne oversikten og at vi skal gjøre en risikovurdering – og vi kan ikke gjøre det uten denne informasjonen. Nå vil jeg tilføye at vi skal få denne informasjonen fra Visma. De har den ikke klar enda, men skal lage den – fordi jeg har spurt etter den.

Så var det at vi skal ha anledning til å kontrollere at databehandler gjør det de sier i sitt rutineskriv/internkontrolldokument. Google har ordnet det med at en tredjepart kontrollerer og gjør resultatet av kontrollen tilgjengelig for dataeier. Dette aner jeg ikke om Visma gjør via tredjepart, eller om de kommer til å tillate meg (som kommunerepresentant) å kontrollere det selv. Men for kunne si at jeg som dataeier har god nok kontroll over dataene min, må en av disse to mulighetene være oppfylt.

Poenget blir at dette nesten er umulig å oppfylle for dataeier. En ting er å skaffe databehandleravtale – det har de store norske tjenestetilbydere rutiner på (også noen av de utenlandske). Men når en krever innsyn i rutiner for sikring og innsyn hos databehandler blir ting mye vanskeligere. Jeg tviler sterkt på at det bare er Visma og Conexus som per dags dato ikke kan levere fra seg noe som likner på det Google kan levere. Da blir det omtrent helt vilkårlig hvilken tjeneste som blir «forbudt». Alle tjenester som kommer i Datatilsynets søkelys vil falle igjennom – hos kommunen. Ingen kommune kan leve opp til kravet. Det ble Google Apps i Narvik, men Google har orden på tingene og kan dokumentere det (og gi den dokumentasjonen til kommunen). Hva med alle de andre skytjenestene som skoler rundt omkring i landet forventer at elever skal bruke for å utføre skolearbeid? Bare plukk ut en og sjekk om kommunen kan leve opp til kravet i personopplysningsloven.

Problemet er at vi ikke bare kan, eller bør, ønske personopplysningsloven vekk. Jeg liker den! Det er viktig at informasjon ikke flyter uten styring, og det er bra at vi har et Datatilsyn som passer på. Vi skal vokte oss vel for den regjering som vil sette Datatilsynet under politisk styring eller ønsker å fjerne det!

Et forslag til forbedring
Så hva gjør vi da? Det er en ting at det å følge personopplysningsloven i en digital tidsalder genererer hauger av dokumenter og rutiner. Det er verre at loven er mer eller mindre umulig å leve opp til. En lov ingen klarer å følge i praksis er en dårlig lov. Du kan ikke forby alle skytjenester i skolen. Det funker bare ikke. Den tid er allerede forbi.

Det beste jeg klarer å tenke ut er at ansvaret for å sikre at databehandlers behandling av data er god nok må vekk fra kommunen/skolen. Nå er det slik at hver kommune må lage sin egen avtale og sin egen internkontroll for f.eks. itslearning – selv om den i praksis kommer til å være identisk. Det må vekk fra hver enkelt kommune og over på en aktør.

Her er det flere mulige alternativer. Enten kan tjenesteleverandør få en «godkjenning» fra Udir/Datatilsynet gjennom en sertifisering som tjenesteleverandør kan vise til at de oppfyller (gjennom tredjepart). Eller Udir kan på vegne av utdanningssektoren lage internkontrolldokumenter og databehandleravtaler med tjenesteleverandørene. Det er en ulempe med dette alternativet, nemlig at da er det Udir som velger ut hvilke tjenester de vil godkjenne. Det er bedre om tjenesteleverandør kan få tredjepart til å bekrefte at de lever opp til standarder satt av Udir for tjenester levert til undervisningssektoren.

Da kan enhver i undervisningssektoren (som er en stor sektor) benytte tjenesten vel vitende om at de er innenfor lovens krav. Loven må nok endres litt for å få dette til, men det er jo blant annet det vi har Udir til :-)

Og om ingen sentrale personer tar fatt i dette får vi trø til med en kjent og velfungerende modell – vi deler det vi har sammen! I forrige innlegg på bloggen lovet jeg at jeg skulle legge ut internkontrolldokumentene for Google Apps for Education når jeg har fått revidert dem. Jeg lover også at jeg også skal utforme dem slik at andre skoler/kommuner lett kan gjøre dem til sine dokumenter. Kanskje vi kunne samle alle slike dokumentmaler ett felles sted? Da slipper kommuner som vil ta tjenester i bruk å finne opp kruttet på nytt når en jobber seg hjelpesløst gjennom utydelige veiledere.

En kommentar til “Når instruksen ikke passer med virkeligheten

  1. Bare en liten presisering i forhold til Feide-tjenester:
    Det er fullt mulig å benytte Feide uten å sende over personidentifiserende informasjon til tjenesten, og dette er en mulighet jeg mener er sterkt underbrukt i Feide i dag.

    Av en eller annen grunn mener nesten alle tjenester at de må vite nøyaktig hvem personen er, med brukernavn, e-postadresse o.l. Slik det ser ut for meg kunne ganske mange tjenester klart seg veldig godt bare med informasjon som ikke kan knyttes direkte til en person som f.eks. at her kommer det en elev i tredje trinn fra Randaberg kommune.

    Spekteret strekker seg fra «her har du en autentisert bruker fra norsk utdanningssektor», via ting som «her har du en bruker du (og bare du) kjenner som 1274623753616195273642047527235732 med litt info», til «her har du masse info om brukeren, identifikatorer og fødselsnummer».

    Men skoleeier må se hvilken informasjon tjenesten får tilgang til og vurdere om det er kommer inn under loven/forskriften eller ikke. Gråsoner oppstår veldig lett når man sender mye anonym info. Hvor personidentifiserende er det ikke å si at «her er en elev på tredje trinn fra den veldig lille skolen y» når skolen har to elever på tredje trinn. For ikke snakke om funksjonalitet i tjenesten som gjør at eleven kan legge inn personidentifiserende informasjon, i fritekst oppgaver o.l. Og så har vi hele «IP-adresser som personinformasjon»-styret.

    Jeg har vel liten tro på at loven/forskriften kommer til å bli slakkere i de nærmeste årene, så det en må få det til å bli «enklere» både for skoleeiere og tjenesteleverandører å gjøre det riktig/tilstrekkelig.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.