I tørken av innlegg på bloggen siden i vår (har gitt ut bok i mellomtiden! :-) har jeg glemt å legge ut et innlegg jeg tenkte å skrive når saken med Datatilsynet og kontaktlisten først brøt ut (så det mer kjekke innlegget jeg skriver på får vente litt). Det er en fin fortsette av forrige blogginnlegg, så da kan det heller komme nå.
Saken i media (lenke til Aftenbladet) er knyttet til at det i G Suite-systemet er det en kontaktliste-funksjon der du får opp navn og epost til alle brukerne i systemet i en lang søkbar liste. Så elever i Sandnes kommune får tilgang til alle brukere i Sandnes – og elever i Stavanger får tilgang til brukerne i Stavanger.
Det som ikke kommer tydelig frem i media er at det er ingen som har fått en formell melding om avvik fra Datatilsynet. Saken begynte med at en foresatt tok kontakt med en journalist i Aftenbladet, og hvor denne så har ringt til Datatilsynet og fått en muntlig uttalelse fra direktør i Datatilsynet, Bjørn Erik Thon. Dette er Thons personlige tilbakemelding på direkten. Datatilsynet har ikke behandlet en klage eller en melding om avvik – før Sandnes kommune og Stavanger kommune sendte et avvik pga. uttalelsen fra Thon til Aftenbladet. De kunne ikke la den uttalelsen stå uimotsagt.
I Randabergskolen har vi, som de andre kommunene, vært klar over at denne katalogen over brukerne er der og at alle brukerne har tilgang til den. Vi vurderte dette når vi tok i bruk tjenesten i 2011 og mener dette er nødvendig informasjon brukerne trenger for å bruke systemet slik det er tenkt. Vi vet hvorfor vi har det slik og vi mener det er nødvendig av vi fortsetter samme praksis.
Under kommer det vi har tenkt om dette (og som likner en del på det Sandnes kommune har svart i media) og så, vanen tro, litt «ranting» om hva jeg synes Datatilsynet heller kunne gjøre til slutt.
Katalogen inneholder ikke unødvendig personinformasjon og er ikke offentlig
Katalogen inneholder ikke mer informasjon enn det brukerne trenger – bare for-/etternavn og epostadresse. Det er ingenting i utformingen av epostadressen som viser til verken årstrinn eller skole. Det er heller ikke mulig å se om det er en elev eller en ansatt. Denne informasjonen er bare tilgjengelig for brukere som er logget på systemet – og er derfor ikke direkte offentlig tilgjengelig, i streng forstand.
Til sammenlikning er klasselister offentlige! I disse står det mer informasjon enn det som er tilgjengelig i G Suite-katalogen. Klasselister har klassetrinn, navn og ofte adresse på alle elever. Alle kan kreve innsyn i klasselister, uten spesiell grunn eller behov (jf Datatilsynet selv): https://www.datatilsynet.no/personvern-pa-ulike-omrader/skole-barn-unge/elevlister/
Det er bare å spørre en kommune om å få alle klasselister fra alle skolene i kommunen – og du skal få dem. Og i prinsippet kan du bruke dem til hva du vil (bortsett fra å publisere dem offentlig på nett jf. lenken til Datatilsynet).
Behov for åpenhet
I GDPR er det et krav om åpenhet rundt hvilke personopplysninger som er tilgjengelig i systemet for brukerne. Katalogen over alle brukerne viser hvilken informasjon om brukere som brukerne kan se i systemet – og som da er en del av autooppslagsfunksjonen. Vi har også i rutinebeskrivelsen av G Suite-systemet ifm GDPR lagt inn at denne personinformasjon om navn og epost er lagt inn og gjort tilgjengelig for alle som er brukere av systemet – og at informasjon om denne informasjonen er tilgjengelig for alle som vi har lagt inn i systemet.
Behov for at personopplysningene deles (er tilgjengelige for brukerne)
Det å søke opp kontaktinformasjon (eposten) til andre elever er en kjernefunksjonalitet for å kunne bruke de digitale verktøyene til det de er tiltenkt. Styrken til de moderne digitale verktøyene i dag er samarbeid, samskaping og deling – både på skolene og mellom skolene. Om ikke en slik katalog var tilgjengelig for elevene (eller for ansatte for den saks skyld) ville det blitt nærmest umulig som pedagog å skulle fasilitere digitalt samarbeid. Lærere og elever må manuelt vis fremskaffet riktig epostadresse hver gang det skulle bli delt noe mellom elever, om de ikke kunne søkt denne opp digitalt selv. Digitalt samarbeid er del av opplæringsplanen som skoleeier er pålagt å fasilitere.
Om brukerne opplever at tjenestene blir vanskeligere å bruke, er det også en reell fare for at elever (og ansatte) begynner å bruke andre tjenester enn skolens (skygge-IT). Dette må vi unngå at skjer, fordi vi da har enda mindre kontroll over informasjon enn om katalogen er tilgjengelig i G Suite-tjenesten for brukere som er logget på. At deling foregår korrekt og effektivt er et sentralt punkt i arbeidet som foregår i skolen, og det er derfor viktig at dette fungerer god i G Suite-verktøyet.
En kort risikovurdering
Det er tryggere at elevene får opp forslag til navn og epost av systemet. Det er lettere å sende eposter og dele dokumenter feil om det ikke kommer opp et forslag til navn / epostadresse. Vi vurderer dette som en større risiko enn at elever kan se epostadressen til andre/alle elevene i kommunen, som uansett ikke er sårbar eller taushetsbelagt informasjon.
Skulle noe være en risiko er det at det er litt lite informasjon tilgjengelig i katalogen. Det burde være mulig for brukerne å se hvilken skole brukeren var knyttet til og om det var en elev eller en ansatt. Det er vanskelig å vite om marvis@ er Marius Viste, Markus Vistnes, Marie Vistvik, Markus Vistnes (på den andre skolen), Marius Viste (på et annet klassetrinn) osv. Faktisk ville mer informasjon sikret riktig bruk av systemet bedre.
Sikring av elever med hemmelig adresse
Elever som har hemmelig adresse er ikke søkbare og ligger ikke i katalogen. Randabergskolen har rutine for at disse elevene ikke dukker opp i klasselister og har market dem som bruker i G Suite at de ikke skal vises i katalogen eller være søkbare i systemet. Alternativet er å gi dem falske navn, men det er faktisk ikke lov – fordi det er et brudd på GDPR om at personopplysninger skal være korrekte.
Så…
Hva er det Datatilsynet egentlig vil? Sliter de virkelig så mye med å finne kritikkverdige forhold knyttet til G Suite at de må rote rundt på dette nivået? Hva med å ta et litt mer pragmatisk utgangspunkt og tenke at Google sin G Suite-tjeneste er så stor at de hadde hatt et kjempeproblem om databehandleravtalene og rutinene deres ikke holdt mål for alle kontrakter og millioner av brukere de har i kommersiell sektor, ulike offentlige myndigheter og utdanning på alle nivå. Jeg tror ikke de store kundene til G Suite går med på hjernedøde avtaler med hverken innlysende eller finurlige problematiske sider.
Men at kommuner i Norge kan ha dårlige rutiner knyttet til bruken av G Suite – det er en helt annen ting! Og det kan godt Datatilsynet gripe fatt i, men det er ikke et G Suite-problem. Det er f.eks. ikke bra om alle elever på 1.-4. trinn har samme passord. Det er et rutineproblem i den enkelte kommune, og vil være like problematisk uansett valg av IT-løsning (jf. forrige innlegg med saken om Microsoft) – og også om de ikke har noen IT-løsning i det hele.
Legg igjen en kommentar