Datatilsynet har nylig publisert en veileder om «Bruk av Google Chromebook og G Suite for Education (og andre skytjenester) i grunnskolen» – og på en måte er dette Datatilsynets egen totale fallitterklæring for hva de selv har holdt på med i det siste. Etter måneder med insinueringer om at Google kanskje ikke er lov i skolen sier denne veilederen: Jo, det er lov. Hilsen Datatilsynet.
Nå skal det sies at Datatilsynet presiserer at det lov hvis du passer på alt som står i denne veilederen. Og det er det den gjør – veilederen veileder deg om hva du må passe på om du bruker skytjenester i skolen. De burde heller kalt dette dokumentet «Bruk av skytjenester i grunnskolen» (og kanskje også lagt inn videregående skole), fordi brorparten av veilederen handler om hva en kommune generelt må passe på når de skal innføre en skytjeneste og ikke om Googles tjenester spesifikt. Det er faktisk bare punkt 2 og 5 som er direkte knyttet til G Suite og Chromebook. De aktuelle kommunene i disse sakene har ikke fått kritikk for å ha valgt Google sine løsninger, men at de ikke har gjort de vurderingene de skulle ha gjort uansett skytjeneste!
Selv om jeg mener at vi i Randabergskolen har det meste i orden når det gjelder G Suite og Chromebook (og andre skytjenester), så er jeg veldig klar over at det er ikke tilfelle i alle kommuner. Det vet jeg godt, siden jeg har snakket med mange kommuner om akkurat G Suite – og andre skytjenester. Jeg vet også at det er helt krise i enkelte kommuner når det gjelder bruk av Microsoft 365 Education også. Det er bare flaks, og det at foreldre ikke ønsker å stå frem i media, som gjør at det ikke har dukket opp noen særdeles interessante overskrifter i ulike medier. FEIDE-saken i Bergen er småting i forhold til noe av det jeg har plukket opp på veien de siste årene, men det er verken min jobb eller rolle å henge dem ut her.
Så er veilederen nødvendig? Ja, det er den dessverre, men den kunne med fordel kuttet ut Google i tittelen. Slik den er nå flytter den fokus mot feil utfordring. Dessuten er det noen punkter som viser at Datatilsynet surmuler og at de ikke helt skjønner hva G Suite eller Chromebook er. Kanskje det får stå sin prøve, siden dette er det beste dokumentet Datatilsynet har laget i forhold til denne typen skytjenester. Men… klarer jeg la være å kommentere disse punktene? Nei.
Det første er faktisk tittelen «Bruk av Google Chromebook og G Suite for Education…». De som kjenner disse systemene godt vet at det er Google G Suite for Education som kommer først og så kommer bruk av Chromebook som en bonus. Du kan ikke bruke en Chromebook uten en Google-konto, så en kommune som vil ta i bruk Chromebooker må først komme seg på innsiden av G Suite. Jeg vet dette er en detalj, men det er en klassisk feil flere kommuner gjør når de vil digitalisere skolen sin. Du forstår ikke løsningen riktig om du begynner med Chromebooken, så allerede her gjør Datatilsynet en glipp i hvordan de må nærme seg dette.
Punkt 2 er siden der Datatilsynet mener at Chromebooken er som en mobiltelefon og det er også feil forstått (og jeg skjønner ikke hvorfor de gjør det om de ikke skal prøve å feste en eller annen «dårlig» merkelapp på ChromeOS). At du ikke kan bruke Windows på en Chromebook er like lite viktig å vite som at du ikke kan kjøre macOS eller ChromeOS på en ordinær Windows-maskin. (Hvis noen nå protesterer og sier at du kan kjøre macOS og ChromeOS på en vanlig Windows-maskin, så har du helt rett – men er vi på det tekniske nivået så kan du kjøre alle OS på alle maskiner, mer eller mindre.) Windows og macOS er like låst til sitt økosystem som en Chromebook, så her handler det om at Datatilsynet ønsker å forstå Chromebooken som noe det ikke er (eller så har de ikke skjønt hva den er). De eneste digitale enhetene i skolenorge som i prinsippet (og i praksis) er låst til et gitt økosystem er Apple sine. Du kan i prinsippet installere hvilket som helst linux-program og Android-app utenfor Google Play på en Chromebook – og det er mer enn du kan si om en iPad.
Også punkt 5 da… sukk. For det første – kan det være så veldig vanskelig å skjønne at G Suite skifter navn til Workspace? Hvem er det som blir forvirret av at det i overgangen enda står G Suite på noen sider og Workspace på noen andre? Jeg tror de fleste som opererer innenfor dette feltet klarer å tenke at både G Suite og Workspace er det samme.
Jeg ser jo at Datatilsynet prøver å få Googles avtaleverk til å se uhåndterbart ut, men da må de selv være ryddigere og mer ordentlige i måten de gjør dette. Mange av lenkene som står i veilederen til Datatilsynet på punkt 5 er unødvendige av to grunner: 1) flere har faktisk ikke noe med personopplysninger og G Suite for Education eller Chromebook å gjøre, og 2) mange er redundante. Du trenger faktisk bare én lenke – og det er denne: https://cloud.google.com/terms (som er nokså teknisk) eller du kan bruke den mer vennlige utgaven for å få den forenklede forståelsen Google selv har av avtaleverket sitt. Og ja, du må finne de delene som er aktuelle for G Suite Education og Chromebook på den mer tekniske siden.
Her viser Datatilsynet bare vrang vilje og det er bare useriøst. Alle slike store tjenestepakker har komplekse avtaler nettopp på grunn av lover som Datatilsynet ønsker skal være der. Det er mulig å rette saklig kritikk mot Google og andre leverandører, men da må du gjøre noe annet enn å bare slenge ut en rekke mer eller mindre tilfeldige lenker, hive hendene i været og se oppgitt ut.
Og for å sette ting i litt perspektiv tar jeg et lite sidespor innom Googles hovedkonkurrenter i skolen. Microsoft har samme opplegg når det gjelder Microsoft 365 og deres tjenester. Her er lenkene til Microsoft 365 sine «Terms of Use» (ca 32 sider) og «Privacy Policy» (72 sider). Ikke la deg lure av hvor «kort» PP-siden virker. Du må klikke på «Finn ut mer» under alle sammendrag på siden for å få se alt som står under hver overskrift. Begge dokumentene har innebygget en rekke lenker som tar deg videre til mer detaljerte beskrivelser av de ulike tjenestene Microsoft benytter seg av (f.eks. Azure), som du også bør/må lese. Så her snakker vi om en dokumentmengde som ikke på noen måte er enkelt tilgjengelig eller oversiktlig.
Apple er det ikke så mye å si om. De har en avtale for Apple School Manager (31 sider), men den gjelder bare for selve Apple School Manager-systemet. Du må selv finne «Privacy Policy» og «Terms of Use» for hver eneste app du bruker på iPaden. Ja, hver eneste app har sin egen PP og ToS – og det gjelder også appene fra Apple selv.
Da er det bare å sette i gang arbeidet med risikoanalyser av alt sammen før du ruller det ut til elevene (eller ansatte i kommunen). Husk at du må gjøre egne DPIAer på alle tjenester – Microsoft 365, Windows 10-maskinen du velger, nettleseren Microsoft Edge, hver eneste lille app på iPaden osv. Så her er det en heftig jobb som venter på dem som skal lage disse DPIAene. Og du skal lage dem, siden Datatilsynet nå sier at alt i skole må ha det (jf. punkt 10 i veilederen).
Når jeg leser punkt 7 om innebygget personvern lurer jeg på om ingen på Datatilsynet noen gang har jobbet seg gjennom oppstartsskjermen til Windows 10 når den nylig er oppgradert. Hvis du bare klikker på «Neste» på alle skjermene som dukker opp da har du valgt de innstillingene som er minst personvernvennlige. Standardalternativet er alltid det som gir Microsoft mest informasjon.
Til tross for at veilederen er noe av det bedre Datatilsynet har gitt ut om skytjenester i skolen synes jeg ikke de er på plass enda. Det er for mange faktiske feil og rare forventninger til hvordan ting burde fungere til at jeg tror de vet hvordan datamaskiner og skytjenester fungerer i praksis. Det handler ikke om at jeg er uenig med hva de prøver å få til, men det er for dumt at de ikke klarer å kommunisere godt fordi de selv ikke kan det godt nok. Datatilsynet kan garantert jussen, men det hjelper ikke hvis de tror ChromeOS er en mobiltelefon eller at de lenker til reklamesiden for Google G Suite Education som et forpliktende jussdokument vi må vurdere. Det er pinlig at Datatilsynet er like unøyaktige og omtrentlige på det tekniske som kommunene de kritiserer er på jussen.
Til tider virker det som om de vil få Google til å fremstå som et rotete og useriøst alternativ siden de ikke klarte å finne noe som var «galt». Nå venter jeg i spenning på veilederen for Windows-maskiner og Microsoft 365 – og alle de andre vanlige skytjenestene i skolen.
Forresten – Jeg vet at Sandnes kommune flere ganger forsøkte å komme i dialog med Datatilsynet uten å lykkes. Kanskje Datatilsynet skulle vært flinkere til å snakke med miljøene som kjenner disse løsningene bedre enn dem? Så kunne de unngått å se dumme ut når de lager veiledere for kompetansemiljøene som faktisk kan disse systemene.
Også en ting til… for noen år siden skrev jeg et innlegg her på bloggen med et skrekkeksempel på hvordan du som tilsyn eller direktorat ikke skal kommunisere med de du har ansvar for – «Eg e så sinte«. Du kan oversette Udir med Datatilsynet i hele innlegget, fordi juristen fra Udir var utlånt fra Datatilsynet for anledningen.
Legg igjen en kommentar