Hvem bryr seg? Egentlig ingen…

Hvem bryr seg egentlig om personvernreglene (utenom Datatilsynet)? Ingen.

Personvernutfordringen min til deltakere på NKUL var ikke akkurat en suksess. Ingen la noe inn på skjemaet, bortsett fra en leverandør som skrev om seg selv og lurte på om de var «innenfor» :-). Selv snakket jeg med et par leverandører. Den ene ble tilfeldigvis itslearning, ikke fordi jeg aktivt oppsøkte dem, men fordi jeg gikk forbi og salgs- og markedssjef Trond Skeie sa «Hei!». I følge ham hadde de faktisk hatt et møte rett før NKUL om poengene i utfordringen min. De hadde ikke noe godt svar på hvordan de skulle vise meg at de gjorde det som stod i kontrakten – men de var på saken (som de så ofte er). Og at de ikke hadde slettet Fronter og itslearning-kontoene til Randaberg kommune var en glipp. Sikkert :-)

Det forrige innlegget på bloggen min om reelle utfordringer ift personvernrelgene laget ingen utslag i bloggloggen min i det hele, ut over bakgrunnstøyen. Altså er det i praksis ingen som har lest den. Dette har jeg sett før – ting jeg synes er viktig (og som jeg synes jeg jobbet litt med) synes andre ikke er viktig i det hele, mens helt banale ting kan ta helt av :-)

Selv har jeg konkludert med at vi egentlig ikke bryr oss så veldig om personvernutfordringer. Et visst engasjement finner du når noen vil kritisere tjenester de likevel ikke liker/bruker, men blikket på egen praksis kan ofte være nokså sløvt – hvis du ikke tar deg selv i nakken og våger å ta et utenfra-perspektiv på egen praksis. Du fremstår lett som en gledesdreper hvis du virkelig vil holde god standard på bruk av personopplysninger i skolen. Likevel mener jeg det er nødvendig og av og til si «nei, dette må vi se på først» før en trør i gang nye tjenester. Utfordringen er kanskje mest å få overordnede til å godta at dette tar tid – og at ingen har brukt så mye tid på dette før.

Vi har et eksempel på dette i Randaberg kommune for tiden. Sentrale personer i kommunen har oppdaget det nye personverndirektivet som trer i kraft mai 2018 og det ble skrapt sammen et møte med sentrale personer fra de ulike områdene i kommunen. Det ble raskt tydelig at få hadde tenkt og det gjenstår et godt stykke arbeid for at kommunen skal være innenfor de nye reglene innen mai 2018. Ikke det at kommunen har dårlig praksis. Jeg tror det meste er rimelig ok, men det er det som er problemet – jeg tror. Det er ikke gjennomført risikovurderinger og gjennomganger av disse for hverken lokale eller eksterne tjenester – bortsett fra i skolen. Selv om vi i skolen også har ting som kan være bedre ligger vi et hestehode foran.

Men om jeg legger ned en masse arbeid i å skaffe nødvendig bakgrunnstoff, lager internkontrollskjema og utforme databehandleravtaler med alle løse skytjenester – kommer det til å bety noe i praksis? Kutter vi ut AskiRaski, Brettboka, Klassetrivsel.no, M+ osv. hvis de ikke vil/klarer å levere oss nødvendig bakgrunnstoff slik at vi kan lage et internkontrollskjema og en databehandleravtale som er god nok? Jeg tviler både på at noen med makt og myndighet kommer til å gjøre det – eller at de ulike tjenestene kommer til å endre praksis. De store aktørene tar grep, fordi de må. Visma, IST, Microsoft, Google, kanskje til og med Apple kommer til å legge ting tilrette – mest fordi de konkurrerer mot hverandre og en tjeneste som ikke er tilpasset de nye personvernreglene kommer til å ha en reell ulempe i konkurranse med de andre.

Men hvorfor bryr vi oss ikke? Hvorfor synes vi ikke det er viktig å følge akkurat disse lovene? Mitt tipp er at det er fordi det kan være komplisert å forstå omfanget av digital informasjon på ville veier og at endringer kan være omfattende (og da en god del arbeid både teknisk og i organisasjonen) – og vi må kanskje også gjøre en del IKT-tjenester mer tungvindt å bruke. Enkelt og praktisk er ofte ikke særlig sikkert. Resultatet er en form for apati – ingen vet helt hvor de skal begynne. Endringene er for uoversiktlige og omfattende.

Ta f.eks. opptaket til videregående skole som jeg skrev om i forrige blogginnlegg. Hva om VIGO ikke vil gjøre noe – at de ikke gidder å lage noen avtale med oss i kommunen. Hva skal vi gjøre da? Nekte å overføre data til dem? Hvem går det ut over? Jo, elevene. Og hvem får skylden? Garantert vi på skolekontoret i grunnskolen. Hvem er motivert for å endre praksis? Eller for å si det mer pedagogisk – hvem eier problemet?

Og en ting til – det er slitsomt å tenke på at hver kommune sitter for seg selv med disse utfordringene. Vi i Randabergskolen har antakeligvis like mange ulike skytjenester (og interne tjenester) som Stavangerskolen, Gjesdalskolen, Trondheimskolen og [tenk-på-en-liten-kommune]skolen. Store kommuner har kanskje bedre ressurser til å lage disse planene (og presse tjenesteleverandør) enn små kommuner, men vi skal alle og enhver lage hver våre egne avtaler og internkontrollskjemaer. Hvordan kan vi lette og kvalitetssikre dette arbeidet for kommunene – altså hvordan kan vi samarbeide om dette? Kan vi ikke lage oss en «infobank»/en wiki med internkontrollskjemaer, RoS-analyser og bakgrunnstoff fra tjenesteleverandør og gjøre dette på en dugnad slik at vi alle slipper å finne opp kruttet hver på vår tue av varierende størrelse?

Og til ettertanke for alle som jobber i Randaberg kommune – sjekk ut lenken https://hrm.randaberg.kommune.no. Ikke så spennende, ser det ut til. Det er her vi søker om ferier, finner lønnsslipper, leverer egenmelding, fyller ut reiseregninger osv. Men hva om en annen hadde brukernavn og passord til en ansatt i Randaberg kommune? Jeg har levert en avviksmelding på denne tjenesten og den lyder:

Beskrivelse
Det er mulig å logge på https://hrm.randaberg.kommune.no fra et åpent Internett (altså fra hvor som helst i verden). Pålogging er enkelt brukernavn og passord. Det er da mulig å få tilgang til sensitive personopplysninger, mest knyttet til helse (egenmeldinger / fravær), men også andre personlige opplysninger om f.eks. ektefelle og barn, søknad om jobb, ferier, reiseutgifter osv. Det er også mulig å få tak i lønnsslipper med alt det dette inneholder av personlige opplysninger.
Konsekvenser av hendelsen
Andre kan rimelig enkelt få tilgang til ansattes helseopplysninger og andre svært private opplysninger.
Forbedringsforslag
Innføre sterk autentisering på nettjenesten eller legge tjenesten bare tilgjengelig via intranettet i kommunen (altså at du må være på en jobbmaskin for å få tilgang eller logget på via Citrix – som har sterk autentisering).

Blir spennende å se hva som skjer. Det er tungvint, men mer korrekt…

5 thoughts on “Hvem bryr seg? Egentlig ingen…”

  1. WebView 4.0 WebView 4.0 Android 7.0 Android 7.0
    Mozilla/5.0 (Linux; Android 7.0; SM-G930F Build/NRD90M; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/61.0.3163.98 Mobile Safari/537.36 [FB_IAB/FB4A;FBAV/144.0.0.27.91;]

    Hei Odin.. leste både forrige og dette innlegget og tror du har veldig rett i det du skriver.. vi sitter stille i båten og håper ikke bølga treffer oss.. ikke en særlig smart strategi, men er en måte å overleve på med alle arbeidsoppgavene som henger over oss.. men jeg er knakende enige om at dette burde kommuner på tvers samarbeide om og finne en felles og god tilnærming. Tror ikke stillheten skyldes at folk ikke bryr seg, men en ser heller ikke hvordan det kan løses på en enklest mulig måte

  2. Google Chrome 59.0.3071.104 Google Chrome 59.0.3071.104 Windows 10 x64 Edition Windows 10 x64 Edition
    Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.104 Safari/537.36

    Har ikke lest hovedinnlegget ennå. men skal absolutt gjøre det senere…

    Antar det er hrm fra visma du referer om over? I såfall er tofaktor en mulighet på den løsningen.
    Forutsetter at brukeren har telefonnummeret lagret på forhånd for sms med engangspassord.

    1. Google Chrome 61.0.3163.117 Google Chrome 61.0.3163.117 Google Chrome OS x64 Google Chrome OS x64
      Mozilla/5.0 (X11; CrOS x86_64 9765.79.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.117 Safari/537.36

      Ja, det er Visma sin HRM-løsning jeg referer til, men samtidig er jeg ikke helt sikker på om koblingen fra kommunens AD til akkurat hrm.randaberg.kommune.no er satt opp til tofaktor. Pålogging virker veldig «webaktig» og som en enkel kobling mot en SAML-løsning mot kommunens AD. Men selvfølgelig – det burde være en tofaktor-løsning og jeg regner med det blir løsningen (om noen vil betale for det).

      1. Google Chrome 59.0.3071.104 Google Chrome 59.0.3071.104 Windows 10 x64 Edition Windows 10 x64 Edition
        Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.104 Safari/537.36

        Ut i fra hvordan linken ser ut, så synes jeg det ikke ser ut som tofaktor er lagt til løsningen.
        Utfordringen er at man må få lagt inn mobilnummer på alle brukerne. og om tofaktor tilkoblingen er eneste vei inn, så må man ha en rutine på å få lagt inn mobilnummer. Men ellers så er det enkelt å få på plass :) Sist jeg så prisene fra Visma, så synes jeg ikke prisene for tofaktor-løsningen var særlig avskrekkende. Det var en engangskostnad for lisensen, og en årlig kostnad.
        Jobber i en annen kommune :)

        1. Google Chrome 59.0.3071.104 Google Chrome 59.0.3071.104 Windows 10 x64 Edition Windows 10 x64 Edition
          Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.104 Safari/537.36

          Tofaktoren på visma hrm kan være sms eller epost.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *