Er Google lovlig i norsk skole?

Det finnes mange varianter av dette spørsmålet – og den siste tiden har de versert i ulike medier. Her er et lite knippe av dem:

Og bare for å roe ned alvoret som signaliseres i overskriften – Datatilsynet sjekker ikke om Google er lovlig å bruke i norsk skole. De sjekker ut klager fra tre foreldre (en i Sandnes og to i Bergen) og ser om kommunene har gjort rede for og sikret det som må være på plass for å kunne la en databehandler behandle personopplysninger på kommunens vegne ut fra kravene i GDPR. Jeg kjenner saken fra Sandnes kommune og den burde være rimelig enkel å svare opp overfor Datatilsynet (noe kommunen også har gjort for lenge siden – uten å ha fått svar enda). De to fra Bergen, omtalt i artiklene fra barnevakten.no, burde også være enkle å legge vekk, hvis artiklene er representative. Det ville være pussig om de aktuelle foreldrene har klart å finne noe så kritikkverdig at det er helt umulig å omgå, og at Google sine tjenester dermed ikke ville være lovlig i norsk skole – og som ihuga og ansvarlige kommuner ikke har klart å finne (meg inkludert). Jeg deler fullt ut IT-sjef Bjørn Villas spørsmål til, og frustrasjon over, Datatilsynet i denne saken.

I et bidrag for å være med å rydde opp i rotet, så tenker jeg at jeg ville ta opp noen punkter som er gjengangere i møtet med klager og hvordan Datatilsynet etterspør ting. Heng med, hvis du vil :-)

Vi kan ikke forvente at klager alltid har full oversikt over hvordan store systemer som f.eks. Googles G Suite for Education fungerer i forhold til datasikkerhet og personvern. Det første vi må klare å rydde av veien er at det er forskjeller mellom hvordan personopplysninger håndteres for en forbrukerkonto (de som slutter med @gmail.com) – og en utdanningskonto (f.eks. @randabergskolen.no). Google lever av å være mellommann for bedrifter som vil selge produkter og deg som forbruker – og dette gjør Google ved å vite mest mulig om deg, slik at de kan gi deg den reklamen de tror du kommer til å klikke på. Om du klikker på en reklame, må bedriften betale Google for at reklamen traff (den virket) – og slik tjener Google penger. Jo større sannsynlighet for at de klikker på reklamen, jo mer penger tjener Google – og det betyr at Google vil vite mest mulig om deg for å få dette til å skje. Den vanlige måten Google samler inn denne informasjonen på er gjennom å vite hva du søker etter og hvilke sider du surfer på – og det vet de siden du stort sett surfer på sider ut fra hva du søkte etter på google.com og at Google vet når du har vært innom nettsider hvor de leverer reklamer.

Samtidig betyr dette at Google ikke ønsker å dele denne informasjonen. Det er tross alt dette som er «valutaen» til firmaet, så Google deler ikke dette med noen – heller ikke bedriftene som betaler for reklamen. Bedrifter betaler Google, som igjen gjør det de kan for at du skal ta turen innom nettstedet til bedriften. Så alt du gjør på nettet, hvor Google også er, blir brukt av Google for å lage en så presis profil som mulig av deg.

Den andre delen av dette er at Google også bruker informasjon om hvordan du bruker deres tjenester for å lage enda bedre tjenester, slik at du bruker tjenestene deres enda mer – og på den måten også holder deg i Googles del av nettet, slik at de igjen kan vite mer om deg og levere deg vel frem til bedrifter mot betaling fra bedriften – i en eller annen form. I den forstand er du Googles produkt, som de tjener penger på når du bruker Googles tjenester – som forbruker!

Men så skjer det noe når du inngår en avtale med Google om bruk av G Suite for Education. Da er du ikke lenger en forbruker i Google-systemet. Du er en G Suite for Education-bruker og det er helt andre regler som trer i kraft.

Den viktigste endringen er at Google ikke bruker noe av personopplysningene (viktig ord) om brukerne til annet enn å gi brukeren tjenesten G Suite for Education. Det er ingen profilering, ingen reklame, ingen innsamling (fra Google sin side) av personopplysninger og ingen bruk av personopplysninger til andre formål enn å gi oss tjenesten – og alle personopplysninger blir slettet når brukeren slettes (og det er det kommunen som bestemmer når skjer). Google kobler rett og slett ut den delen de tjener penger på når du er innlogget som en Edu-bruker. De har enkelt sagt ingen informasjon de kan bruke til eget formål.

Likevel – det er én viktig ting administratorer (og andre) må vite om – det er forskjell på kjernetjenester og tilleggstjenester i G Suite for Education. Det er i kjernetjenestene disse spesielle reglene for utdanning gjelder. I tilleggstjenestene er det de ordinære vilkårene for bruk av Googles tjenester som virker. Alt dette er beskrevet av Google selv på denne nettsiden – og det betyr at kommuner i praksis ikke bør åpne disse tjenestene for elevene. Dette betyr ikke at elevene ikke kan bruke tjenesten – det betyr at de ikke kan logge på tjenesten og at ingenting derfor vil bli lagret på brukerens profil knyttet til dette. Sagt på norsk – elevene kan bruke YouTube, men de kan ikke logge på tjenesten og dermed kan de ikke lagre noe i YouTube og Google har ikke noen profil å knytte YouTube-informasjonen til. Hvis elevene har lov til å bruke YouTube som en G Suite for Education-tjeneste, så vil Google lage en profil på eleven ut fra de vilkårene som gjelder bruk av YouTube for vanlige forbrukere – selv om det ikke er laget en reklameprofil på eleven, fordi den regelen gjelder uansett for Edu-brukere.

Lagrer ikke Google noe selv? Jo, selvfølgelig gjør de det. Google lagrer logger og bruk av tjenestene sine, men disse dataene blir anonymisert. All informasjon som kan brukes til å kjenne igjen en person blir fjernet og informasjonen blir aggregert til metadata Google bruker for å sikre kvaliteten på tjenestene sine og utvikle bedre tjenester – men da er det på anonyme data! De bruker altså ikke personopplysninger til å forbedre tjenestene sine. Og til informasjon – dette gjør mer eller mindre alle nettsider, som f.eks. udir.no, vg.no, snl.no, www.randaberg.kommune.no osv. Alle – også de hvor du ikke er logget på. Og det er helt lov. Du kan i praksis ikke surfe på en nettside uten at dette skjer.

Kan vi stole på at Google gjør det de sier at de gjør? Først det pragmatiske svaret – om vi ikke kan stole på Google kan heller ikke store firma som Schibsted, Boeing, statsministerens kontor i England eller MIT heller gjøre det. Men det gjør de tydeligvis, siden de er storbrukere av Googles G Suite-løsning. Det mer seriøse svaret er at Google også skjønner at dette er en utfordring, og de har derfor anerkjente 3.-parter som kontrollerer at de faktisk gjør det de skriver at de skal gjøre i vilkårene og avtalene vi inngår med dem – og Google har samlet dette på en nettside for de som vil lese og sjekke sertifiseringene.

Logger Google alt elevene gjør på Internett og på Chromebookene – alt fra hvilke sider de surfer på og hvor de er i verden med Chromebooken? Google logger og lagrer nettsider brukerne surfer på når brukeren er logget på Chrome, som de er på en Chromebook. Det viktige er at Google ikke bruker dette til noe annet enn å gi brukeren en oversikt over hvilke sider de har surfet på – altså til å gi brukeren tjenesten med en historie over sider og søk de har gjort. Google bruker ikke dette til noe selv, og brukerne kan slå dette av om de vil. Vi som er überadministratorer har tilgang til logger med IP-adresser om hvor og når brukere og maskiner kobler seg opp til G Suite-domenet, og dette er begrunnet i at vi må vite en del om bruken av systemet for å sikre oss mot misbruk både utenfra og innenfra (og vi har hatt bruk for det!). Dette har forresten også den enkelte bruker tilgang til for sin egen del. De kan selv se når og hva hvilken maskin og IP-adresse de har logget seg på og brukt systemet.

Alt jeg har skrevet her, og mer til, finner du på Google sine sider om personsikkerthet – https://edu.google.com/intl/no/why-google/privacy-security – men skulle det være noe du ikke synes du finner svar på, må du gjerne legge igjen en kommentar eller sende meg en melding/epost. Da skal jeg sjekke det og legge det inn som et spørsmål med svar i denne bloggposten.

Og en ting helt til slutt – hvis Datatilsynet, ut fra det de har tilgjengelig av informasjon, mot formodning skulle konkludere med at Google ikke er lov i norsk skole, da er det ikke bare Google som sliter. Den samme eventuelle usikkerheten Datatilsynet vil måtte begrunne dette med vil gjelde absolutt alle andre skytjenester også – inkludert de norske. Hvordan i all videste verden skal jeg kunne vite om Conexus bruker all den elevinformasjonen de har tilgjengelig i «Conexus Engage» til noe som ikke er beskrevet i kontrakten med dem? Eller om itslearning bruker personopplysninger til å forbedre tjenestene sine? Eller om www.snl.no aktivt bruker logger for å profilere tjenesten inn mot skoleelever? Og så videre…

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.