privacyJeg tenker og tenker og tenker på det Datatilsynet prøver å opprettholde av personopplysningsloven innenfor IKT og skole. Loven er på ville veier i forhold til slik verden ser ut i skolen… tror jeg. Men når jeg skulle finne et eksempel på noe urimelig ble jeg plutselig ikke så sikker lengre. Eksemplet under er nok ikke utypisk, men samtidig peker det kanskje også på at Datatilsynet er inne på noe…

Eksempelet er en norsk betal-app som finnes for iPad, Android og Win8 – og den er grådig populær i skolen.

I personvernreglene til firmaet/appen skriver de at de bare samler inn ikke-personlige data, altså informasjon som ikke direkte identifiserer deg. Men hva slags informasjon er dette da? Jo, det er følgende (men ifølge reglene ikke uttømmende!):

  1. Enhetsinnstillinger, inkludert, men ikke begrenset til, IP-adresse, MAC-adresse og UDID (unique device identifier).
  2. Enhetens operativsystem og fastvare.
  3. Mobiloperatør.
  4. Geografiske data, som postnummer og grov stedslokalisering.
  5. Fremdrift i spillet, poengsum og trofeer.
  6. Annen ikke-personlig informasjon som en med rimelighet kan kreve for å forbedre tjenesten og andre produkter firmaet drifter.

Jaha…

De bruker et tredjeparts firma for å samle og analysere bruk av tjenesten – og de kan gi andre tilgang til oppsamlede data for å analysere bruk av tjenesten og utvikle den og andre tjenester videre. Javel…

Og de skriver også at du, som bruker, vet og er enig i at analysefirmaet kan kombinere informasjonen de samler inn med annen informasjon de har samlet inn uavhengig fra andre tjenester og produkter knyttet til din aktivitet. Yikes!

De viser til at de er temmelig sikre på at analysetjenesten de bruker følger COPPA-standarden (som ikke er noen norsk standard). Utfordringen i en norsk kontekst er at COPPA overhode ikke nevner IP eller MAC eller UDID – og i praksis ikke anser dette som personopplysninger.

Det gjør derimot Datatilsynet! Datatilsynet har hatt en god runde omkring webanalyse-verktøy under forståelsen av at en IP-adresse er en personopplysning. Og vips – ble denne appen ulovlig å bruke i skolen, hvis du da ikke som skole/kommune skaffe deg en databehandleravtale med firmaet (og gjennom dem en ordentlig avtale med analysefirmaet de bruker).

For å toppe det hele – i personvernreglene skriver også firmaet at de forbeholder seg retten til å endre personvernreglene ved passende anledninger, så de anbefaler at du besøker den ofte! Hvis de gjør større endringer kan det hende at de poster en notis om dette på firmaets hjemmeside – og at din fortsatte bruk av tjenesten/appen viser at du har godtatt denne endringen.

Og hvilken app snakker vi egentlig om… følg denne lenken. (Og her er lenken til personvernreglene.)

14 tanker om “Håper ikke det er slik, men…

  1. Når alt kommer til alt her, ender man opp med at elever må være i en digital verden som faktisk ikke eksisterer dersom Datatilsynet skal ha det som de vil. En lukket digital institusjon som er avgrenset fra resten av samfunnet. Det er det Datatilsynet indirekte sier.. Slik Internett og det digitale samfunn fungerer i dag kan ikke Datatilsynet få både i pose og sekk. Det er umulig dersom vi vil at elevene våre skal fungere i det digitale samfunn på en hensiktsmessig måte. Datatilsynet bør stikke fingeren i jorda og fire på noen av kravene som ikke holder mål i 2014 i forhold til hvordan digitale tjenester faktisk er bygget opp.. Kan elevene skade seg på sykkeltur i skolens regi. Ja. Men vi hindrer dem ikke å bruke sykkel av den grunn. Kan elevene stikke seg i øyet med blyanten. Ja.. Men selvfølgelig må de bruke blyant. Kan elevene ta skade av Internett. Ja. Men vi hindrer dem ikke. Fordi det ikke er hensiktsmessig å gjøre det.

    1. Ikke uenig i mye av det du skriver, men… synes det er helt greit med den «blanko»-fullmakten de ovennevnte personvernreglene gir to ulike firmaene? Synes du det er greit at FB, Google, Twitter, Microsoft, Apple osv. kan bruke samle inn alle opplysninger de vil og bruke det til hva de vil? Antakeligvis ikke – og hvor setter du grensen?

  2. Det er det som er poenget. Man kan ikke sette grenser. Fordi det finnes ingen dersom det skal være mulig å bruke nettet slik det er tiltenkt. Datatilsynet prøver, slik jeg ser det, å hindre vannet i å nå havet. Som kjent ender vannet i havet til slutt, uansett hvor mye energi man bruker for å hindre det.. Man kan ikke sammenligne digitale tjenester på nett med trafikkregler hvor brudd på disse medfører bot. Det er å sammenligne fisk og fugl.. Det mener jeg at Datatilsynet ikke helt har forstått. Dette krever en større tilpasning fra Datatilsynet sin side. Det er ikke bare brukeren som må tilpasse seg Datatilsynet. Kort fortalt. Datatilsynet må mer tilpasse seg bruken. Det er ikke bruken som bare må tilpasse seg Datatilsynet

    1. Tror ikke du tenker helt etter her… Virkelig ingen grenser? er det greit om Google selger alle opplysningene om Randabergelevene de har fått gjennom Google Apps til forsikringsselskap, leketøysbutikker og alt annet du kan tenke på, slik at elevene våre kan få treffsikker reklame i posten eller en «tilpasset» forsikring når de blir store?

      Og hva med denne? http://arstechnica.com/tech-policy/2014/03/volunteers-in-metadata-study-called-gun-stores-strip-clubs-and-more/

      De var til og med frivillige!

  3. Jeg tenker etter;-) Men jeg kan legge til «klare» grenser. Og med det mener jeg sammenligningen min med trafikkregler hvor det er nødt til å være klare regler og grenser. I forhold til nettbruk kan ett sett med grenser og regler fungere bra i en sammenheng. Men fungerer elendig i en annen. Mitt poeng er altså at Datatilsynet viser for liten fleksibilitet. Og det tror jeg at du forstod. :-)

    1. Bare for å utfordre deg litt til – men hva synes du ville være «klare» grenser da? Utfordringen nå er at personopplysningsloven setter tydelig nok fartsgrense – det er bare det at så godt som alle kjører for fort.

      Hvor burde grensene gå? Hva har en app/nettside lov til å samle inn informasjon om ift våre elever? Hva har de lov til å bruke det til? Skal det være et krav at skolen må være i stand til å slette/endre alle opplysninger elever legger igjen på systemer skolen sier de skal bruke? (i tilfelle elever legger ut noe de ikke burde)

  4. Datatilsynet fremstår tildels som «gubber» hvor man ikke ser at bruk av digitale tjenester som fordrer fleksibilitet. De setter sine kjøreregler ut i fra et «sterilt laboratoriumforsøk». En verden som ikke har forankring i virkeligheten.

  5. Det finnes vel knapt en nettside i dag hvor man ikke blir utsatt for reklame, eller kommersielle innslag. Dersom man skal være engstelig for at elevene blir utsatt for reklame basert på Ip-adresse (lokasjon), osv., kan ungene rett og slett ikke bruke nettet. Det blir for meg noe naivt å tro at man kan unngå at ungene blir utsatt for «personlig» reklame. Derfor mener jeg også at Datatilsynet bruker tid og krefter til ingen nytte med å «sikre» at de systemene skolene bruker, er uten kommersielle hensikter. Alt med måte selvfølgelig. Men dersom jeg som lærer mener at elevene har nytte av å bruke en digital ressurs, vil jeg gjerne som en voksen, ansvarlig lærer ha meg frabedt at Datatilsynet umyndiggjør meg, og det jeg mener er riktig for mine elever. Datatilsynet kjenner ikke meg, eller mine elevers pedagogiske behov. Jeg mener bestemt at jeg selv er mer i stand til å vurdere ovennevnte, enn en instans som verken kjenner meg, min pedagogikk, eller mine elever…

    1. Det er ikke personlig reklame som her er på plakaten – det tror jeg alle er innforstått med vil være i grenseland til evig tid fremover. Det sagt – det er kraftige føringer i EU/EØS for at nettopp dette med «anonym» tracking av nettadferd bør begrenses, jfr. regler knyttet til cookies/informasjonskapsler.

      Selvfølgelig vil alle systemer skolen bruker, bortsett fra offentlige, bære preg av å ha kommersielle hensikter i en eller annen variant – det er det heller ingen som er uenig i eller som tror vi kan leve uten. Google Apps for Education er selvfølgelig gratis fordi Google håper at brukerne vil fortsette å bruke Google når de er ferdig på skolen – selv om de ikke får særlig metadata eller reklameklikk fra brukerne når de er GAE-brukere.

      Men jeg vet ikke om jeg er enig i din egen vurdering som voksen. Omskrevet til trafikkregler – «Jeg vil ha meg frabedt at politiet umyndiggjør meg, og det jeg mener er riktig å gjøre i trafikkbildet. Politiet kjenner ikke meg, eller mine trafikale ferdigheter. Jeg mener at jeg selv er mer i stand til å vurdere trafikksituasjonen, enn en instans som verken kjenner meg, bilen min eller kjøreferdighetene mine…»

      Ut i fra min erfaring med voksne læreres kjennskap til hvordan IKT-systemer og skytjenester (og lovverk) fungerer, vil jeg ha store problemer med å stole på de vurderingene den gjennomsnittlige lærer klarer å gjøre på dette feltet.

      Synes du det ville vært helt uproblematisk at jeg krevde at alle elevene på ungdomstrinnet i Randabergskolen skulle brukt Facebook i alle fag i undervisningen?

      Og… hadde du stolt på at alle lærerne du kjenner ville behandlet IOPer på en OK måte om du gav dem fritt leide til å gjøre det de syntes var det beste å gjøre?

  6. Og for å svare på spørsmålet ditt. Jeg mener at det ikke skal være et krav om skolen skal kunne slette/endre opplysninger elevene legger igjen. Simpelthen fordi skolen ikke kan bruke nettet, eller digitale ressurser dersom dette skal være krav. Her fokuserer man på «tenk om», «hvis», «kanskje». Hvor mange elever har jeg hatt, hvor mange systemer har jeg brukt hvor lenge. Legger man dette sammen får man en veldig lang liste. Hvor ofte har jeg hatt behov for å slette, eller endre noe digital informasjon elevene har lagt igjen. En promille kanskje. Skal systemene bestemmes ut fra denne ene promillen. Eller skal vi kunne bruke systemer som er tilrettelagt 99,99% av bruken?. Jeg mener at det samme prinsippet gjelder med f.eks bruk av ark. Kanskje vi ikke burde dele ut ark til elevene? Det kan jo være de skriver noe personlig på disse, og legger dem et sted utilgjengelig for skolen. Poenget er at vi ikke kan sikre dette. Og det kan vi heller ikke gjøre med åpne, tilgjengelige digitale ressurser på nettet. Ressurser som faktisk bidrar til veldig mye nyttig i forhold til undervisning og opplæring. Og det er dette jeg oppfatter at Datatilsynet vil hindre oss i å bruke. Nemlig gode, nyttige, positive ressurser. Og nettopp det greier jeg ikke se noe fornuft i….

    1. Kjetil, du vet godt at det er noe kvalitativt annerledes med Internett og et ark – hvis ikke hadde vi ikke behøvd å innføre IKT i skolen. Men det som gjøre IKT til noe annet enn et ark er også det som gjør det til en potent kilde for ting som kan gå galt. «Du bestemmer»-kampanjen er dessverre nødvendig – og vi som ansvarlige lærere må ikke opptre som hjernedøde høns i den sammenheng. Datatilsynet vil ikke være uenig med oss i at det finnes mange gode, nyttige og positive ressurser på nett – og de vil ikke hindre oss i å bruke dem. Det de gjør er å spørre om vi synes prisen vi «betaler» for den enkelte ressurs står i forhold til nytten. Den andre jobben til Datatilsynet er å overholde loven bokstav – og da får vi heller klage til Kunnskapsdepartementet om vi mener personopplysningsloven er for omfattende.

      …og som jeg skriver i innledningen i blogginnlegget. Målet mitt var å gi et eksempel på at Datatilsynet stiller urimelige krav i forhold til slik verden ser ut. Samtidig ble jeg overrasket over vilkårene til DragonBox og det fikk meg til å tenke litt på om jeg egentlig likte det jeg leste der. En skal ikke stikke under en stol at Datatilsynets press (og tilsvarende i andre EU/EØS-land) fikk Google til å endre vilkårene i Google Apps til noe som var både tydeligere og bedre enn det de var.

  7. Odin,

    Jerome from WeWantToKnow.

    You are raising some important concerns and let me try to clarify them here.

    * our privacy policy is global. Some countries require us to have lots of layers of protection because people there are easy to lawyer up. I do believe our policy probably needs polishing.

    * our apps do not share data with third party. I invite you to come and read our code if you want. We do use a third party game analytics (because building a full fledge analytics service is as consuming as making the type of apps we are doing). But the only information we gather is information that allows us to improve the game itself. Which levels are too hard, etc. This sort of information.

    * finally you may have noticed, we do not have ads, we do not have purchase in apps. We have put age gate dialogs for any outgoing links, even though that hurts us a bit. We make a big effort to stay clean.

    Feel free to contact us if you want more information. I hope we can make a follow up on our blog in a few weeks.

    Thanks!

    1. First I’d like to thank you for replying to my blog! :-)

      As you probably know The Norwegian Data Protection Authority (Datatilsynet) has stated that IP-addresses is personal information, and they have make quite a hassle for some large Norwegian governmental websites about their use of Google Analytics. Datatilsynet demanded that all IP-addresses were anonymised, and they also choose not to believe that Google did this properly in their API – in the first place.

      So when you collect, and use, IP-addresses (and I assume that it is not anonymised) you are collection and using personal information, according to Datatilsynet in Norway. And when you let gameanalytics…

      «…combine the information collected with other information they have independently collected from other services or products relating to your activities. These companies collect and use information under their own privacy policies.»

      …then schools (in Norway) really have a problem. If we give every pupil an iPad, install DragonBox and tell the pupils to use the app – then we’ll have to make an Data Processing Agreement with WeWantToKnow and gameanalytics because both store and use personal information about the pupils. Datatilsynet demands that this is regulated through the agreement to be in accordance with the Norwegian law of personal information.

      Of course – this is a challenge that no one really has taken before, and no one is going to do anything about it before Datatilsynet does a revision at a school that uses DragonBox in an 1-to-1 environment.

      And just to be clear about at least one point – I do really like DragonBox! I have a 7 year old son that just love it :-)

  8. This is the kind of messages we get through gameanalytics:


    {"data":{"build":"0.1Conf:2","event_id":"PushButtonBuy","area":"TestAnalytics","session_id":"8d7b5f6c-8fca-4555-a6b2-587efc8485b4","user_id":"gd2pZRDXXXXX"},"country_code":"FR","arrival_ts":1405954633,"category":"design","game_id":10127,"public_key":"06ae9f32d12010XXXXXXXXXXX","multi_message":true,"user_meta":{"install_ts":1405954633,"revenue":{}}}

    This information is more or less anynomous. We don’t know who you are. We don’t even have your IP. We could try some funky stuff to make a wild guess, e.g. by correlating it with other data. E.g. If you press the button to share an image to facebook, you have to hit our backend at some point, so we could try to find out through web logs.

    But we don’t care. We have other things to do. Building a company that makes enough money on the app store, without having the ability to use all those techniques that cause people to be almost dependent to apps is hard, especially when you have to sustain costs from being in one of the most expensive country in the world.

    I believe we’re doing the right thing. :)

    Yet we may have made some mistakes, and I am willing to work even extra to fix this if possible.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.