Varsel om vedtak og foreløpig kontrollrapport

Datatilsynet har tenkt ferdig. Vi har fått «Varsel om vedtak og foreløpig kontrollrapport» etter besøket på Harestad skole i høst.

Det meste av det som står i kontrollrapporten og i de varslede vedtakene er ingen overraskelse. Vi hadde ikke ting på plass i forhold til internkontroll, vi må bedre risikovurderingen og så må vi ha sikkerhetsrevisjoner. Dette er selvfølgelig avvik vi må lukke. Men – vi fikk ikke avvik på sikkerhetsledelse, og vi fikk en fin kommentar om at vi hadde et «noenlunde bevisst forhold til grunnleggende personverninteresser i forbindelse med behandling av personopplysninger» (må hente fram det som gikk bra også :-).

Det som kom som en overraskelse var at læringsplattform(er) må sikres med sterk autentisering for ansatte. Med begrunnelse i at ansatte har tilgang til informasjon om mange elever via eksterne nett (altså Internett) holder det ikke med en svak autentisering (bare brukernavn og passord). Jeg måtte dobbelsjekke med Datatilsynet om det var det de mente – og det var det. Jeg snakket også med Senter for IKT i utdanningen, som kunne bekrefte at alle skolene som hadde hatt besøk av Datatilsynet hadde fått dette pålegget.

I vårt tilfelle gjelder dette Google Apps for Education og teknisk sett er det barnemat å hive på 2-trinns bekreftelse/autentisering. Det er ett klikk i administrasjonspanelet og det koster ingenting ekstra.  Løsningen i GAE er elegant nok – du får en ekstra kode på SMS (eller via en app på mobilen) og maskinen du logger på kan «huske» denne ekstra bekreftelsen i 30 dager, om du ønsker det. Dessverre er dette en høy bruksterskel for den jevne ansatt-bruker, og vi må nok bruke en del tid og krefter på å forklare hvorfor og vise hvordan. Og siden en i praksis bør (må) ha en mobiltelefon kommer nok også diskusjonen via Utdanningsforbundet om ikke skolen bør supplere hver lærer med hver sin. GAE kan lage en «nødlapp» med 10 koder, men det er en reserveløsning.

Det som vrir seg litt i meg er at dette pålegget bare gjelder oss som fikk besøk av Datatilsynet. Kommuner som ikke er kontrollert trenger ikke skru på noen 2-trinn bekreftelse. Senter for IKT i utdanningen kommer antakeligvis til å lage en «anbefaling» om det, men det er stor forskjell på det og et pålegg. Ikke det – jeg regner med at noen i itslearning nå svetter litt. Det er i utgangspunktet ikke lenger mulig å tilby læringsplattformer i Norge uten at det er sterk autentisering for ansatte. FEIDE bør nok også gjøre en jobb, selv om de kan velge å si at FEIDE autentiserer sitt nivå (svakt) og så må det enkelte nettsted gjøre en ekstra autentisering ut fra hvem som logger seg på. pas.udir.no har f.eks. et ekstra passord når du logger deg inn via FEIDE.

Og en siste ting til 2-trinn bekreftelse – det skoleadministrative systemet vårt, Visma Flyt Skole, har ingen sterk autentisering (enda) og er en ren skytjeneste tilgjengelig via Internett. Det var ikke noe krav om 2-trinn bekreftelse der, selv om jeg tror de fleste synes det ansatte får tilgang til der er mer personsensitivt enn det som ligger på læringsplattformen.

Den andre tingen vi må gjøre er å avklare om Google bruker personopplysninger til «egne formål». Det litt pussige i bakgrunnen for dette er at Datatilsynet under punktet om databehandleravtaler skriver…

«Som ledd i denne kontrollen vurderer ikke Datatilsynet nærmere innholdet i de fremlagte databehandleravtalene.»

…men, til tross for dette vil de ha utdypet noe knyttet til Googles databehandleravtale…

«Når det gjelder avtalen med Google Inc. er Datatilsynet spørrende til om kommunen i tilstrekkelig grad sikrer at Google Inc. ikke bruker personopplysninger om brukerne (elever og ansatte) til egne formål.»

«Egne formål» er her forstått etter Personopplysningsloven §15 første ledd og betyr at Google ikke kan bruke personopplysninger på «annen måte enn det som er skriftlig avtalt». Heldigvis er det Google sin avtale som er god :-) Den er presis og velformulert (og lang) – i motsetning til stort sett alle de andre avtalene vi har med norske databehandlere (som er vage og korte). I de norske avtalene står det egentlig bare «vi skal følge norsk lov», men i Googles avtale kommer det tydelig frem at de ikke bruker personopplysninger til noe annet enn det som er avtalt – og de skriver til og med hva som er avtalt, hva de samler inn av opplysninger og hva de bruker det til. Det gjør ingen av de norske. Jeg hadde ikke hatt nubbesjanse til å vise at de norske databehandlerne ikke bruker personopplysninger til «egne formål» – og jeg vet vel i praksis at flere av dem bruker opplysningene ut over det vi har gitt dem lov til… eller i det minste til ting som ikke det står noe om i databehandleravtalen at bruken var tiltenkt. Så ikke kom å si at Datatilsynet ikke er interessert i å stramme opp de som velger å bruke Google som databehandler.

Men igjen – fingeren jeg vil peke på noen andre får jeg bare i retur. Det er vi som kommune som er ansvarlig for egne data. Hvis jeg virkelig mener at databehandlere ikke gjør som avtalt, så er det jeg som må ordne opp i eget rede – sier regelverket. Det er slik sett bare Datatilsynet som kan peke på andre enn seg selv. Likevel – jeg synes det er fortærende når det virker som om de hopper bukk over nærliggende utfordringer når de først kikker oss i kortene.

Skal jeg se positivt på alt dette, så er vel lærdommen at jeg nå kan mye mer om databehandleravtalene vi har inngått (spesielt Google sin) og er mer bevisst personvernting enn jeg var før. Det er vel også litt av ideen til Datatilsynet med tilsynet, men det er også irriterende at ting blir hengende i løse luften der det kunne vært klarere retningslinjer for alle. Mitt tidligere hjertesukk om dette gjelder enda. Det er ikke samsvar mellom den digitale verden og det Datatilsynet ønsker – og siden regelverket er utformet slik det er, kan du leve i synden til du får et pålegg. Jeg skulle ønske at noen mer sentralt plasser enn meg kunne tatt fatt i hjertesukket mitt.

3 tanker om “Varsel om vedtak og foreløpig kontrollrapport

  1. Tusen takk for den inngående beskrivelse av forløpet og resultatet av Datatilsynets besøk! Sammen med dine betraktninger er dette uvurderlig informasjon for – ihvertfall – denne skole-IT administrator.

  2. Nå har ikke jeg lest alle blogginnleggene dine om dette inngående (dvs jeg har lest alle men teflonhjernen er aktiv…), men det ligger ikke noe her om data lagret innenfor/utenfor Norge også da? Eller forstår jeg dette slik at Datatilsynet krever sterk autentisering for alle tjenestene vi skal bruke i skolen? Eller bare de som inneholder sensitiv informasjon? Hvor går grensen?

    1. Nei, de tar ikke noe forbehold om data er lagret i Norge eller ikke. Safe Harbor-avtalen og databehandleravtalen med Google sikrer slike ting.

      Datatilsynet krever derimot sterk autentisering mot læringsplattformer for ansatte når de kobler seg opp via eksterne nettverk (aka Internett), fordi ansatte har direkte tilgang til mange elevers personlige opplysninger der. Så ja – dette vil nødvendigvis også gjelde andre tjenester enn «læringsplattformer», men som jeg problematiserer i innlegget – det er bare læringsplattformer som har fått Datatilsynets søkelys mot seg akkurat nå. Dette vil selvfølgelig i prinsippet også gjelde f.eks. Visma Flyt Skole, som er vårt skoleadministrative system tilgjengelig bare via Internett. Og det finnes nok også andre skytjenester hvor ansatte har tilgang til mange elevers personopplysninger, som f.eks. elevarbeider. Datatilsynet har dermed vist at det er et skille mellom brukere som bare har tilgang til egen informasjon (f.eks. elev) og andre som har tilgang til mange brukeres informasjon (f.eks. læreres tilgang til elever).

      Sensitive personopplysninger skal en ikke ha liggende på Internett i utgangspunktet. Der går det en tydelig grense, men slike ting ligger naturlig nok ikke i et LMS uansett.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.