Jeg tar meg den frihet å banne i GDPR-kirken

I forlengelsen av ideen om en støygrense skal jeg innom et par varianter som klart ikke ligger innenfor GDPR, men som kanskje ikke burde vært så farlig – og hvor det kanskje finnes en vei rundt de største hindrene.

Hva skjer når elever skal bruke tjenester som Biodigial Human eller Duolingo eller BookCreator (de supplerte meg nettopp med GDPR-kontrakten sin!) eller Kahoot eller Euclidea eller Kostholdsplanleggeren? Listen er ikke utfyllende ;-)

Noen av tjenestene over  du logge deg på for å kunne bruke, men andre er nesten meningsløse å bruke (over tid) uten at du har en konto. Når elever skal bruke Duolingo eller Biodigital må de logge seg på med en bruker. Begge er gode ressurser hver på sitt område. Biodigital lagrer navn og epost, og sikker noe om hvordan du bruker tjenesten. Biodigital trenger i utgangspunktet ikke denne informasjonen for å gi deg basistjenesten, fordi det du stort sett bruker tjenesten til er å vise / lete etter anatomi, men de vil ha den likevel. Duolingo lagrer navn og epost og progresjon i språklæringen, og sikker noe om hvordan du bruker tjenesten (sjekk ut selv ;-). Det gir mening at Duolingo trenger å lagre en eller annen form for identifikasjon, slik at nettstedet kan holde orden på hvor du var i løypen for å lære kinesisk neste gang du logger på. Dessuten sender Duolingo deg påminnelser i epost om at at du bør øve jevnt og trutt (helt til de gir opp :-).

For de fleste slike tjenester er det ikke enkelt (les umulig) å få tak i en databehandleravtale og eventuelt et godkjent overføringsgrunnlag til land/organisasjon utenfor EU/EØS. Les blogginnlegget «Samtykke og samtykke og frivillighet» nå, om du ikke har gjort det før. Du står nå i en situasjon hvor du enten må la elevene bruke tjenestene frivillig eller klare å få bruken innenfor opplæringsloven § 2-3 og si at elevene skal bruke det. Om du velger det siste tar du på deg ansvaret for personinformasjon som måtte flyte til tjenesten. Siden det ikke er mulig å få tak i en databehandleravtale må du igjen tenke litt over om du heller vil gjøre det frivillig eller om du vil prøve å få ting til så godt du kan.

Hva betyr det å få ting til så godt du kan? Jo, du må dokumentere så mye som du kan av behandlingen hos tjenesten (som er databehandler) og bruke denne dokumentasjonen til å vise at du i det minste har tenkt på hvilke og hvordan personopplysninger brukes. Sjekk ut «Terms of use«, «Privacy Policy» og liknende ressurser som alle netttjenester har. Det står mye der som kan være til hjelp med å finne ut hvordan personopplysninger blir brukt. Hvis en tjeneste ikke har disse ressursene lett tilgjengelig – da skal du tenke nøye igjennom ting! Det hjelper også godt på om du gjør deg opp en skriftlig vurdering om behandlingen av personopplysningene står i rimelig forhold til nytten og bruken av tjenesten. Og ja, jeg har laget et skjema som hjelper deg med alt dette, men det slipper jeg ikke før på sesjon 3H mandag 7. mai 2018 på NKUL 2018…

Nå lover jeg på ingen måte at dette får deg innenfor det Datatilsynet synes er godt nok. Jeg er rimelig sikker på at de av prinsipp ikke liker ting hvor du ikke har en kontraktfestet databehandleravtale. Samtidig har du absolutt ingen sjanse om du ikke har gjort det. Dette kan være forskjellen mellom en bot eller et avvik (som du vel og merke kanskje ikke klarer å lukke).

Så langt lett banning – her kommer noen mer grove gloser…

I prinsippet kan du bruke søkemotoren Google uten en databehandleravtale, men bruker du Euclidea må du ha en databehandleravtale med dem (de lagrer epost, navn og progresjon). Samtidig lagres det mindre reelle og viktige personopplysninger i Euclidea enn det som lagres når du søker etter noe på Google eller YouTube. Hvorfor må jeg ha databehandleravtale på det som er så godt som uviktig, men ingenting på det som kan inneholde mer juicy personinformasjon? Navn og epost er knapt nok personinformasjon i denne sammenhengen og eposten til eleven vil dessuten være ubrukelig når eleven ikke er elev lengre (fordi da slettes den – ikke sant?!). Kan jeg si at tjenester som bare lagrer uviktige personopplysninger kan gå under «støygrensen» og jeg trenger ikke å gjøre mer (altså ikke noe mer enn jeg gjør når elever søker på Google – som er ingenting)? Den er mer frekk, men kanskje det burde være noen slike tanker i omløp også?

Oppsummeringen av de tre blogginnleggene om NKUL2018 blir omtrent som følger – Ta deg den friheten å vurdere om en tjeneste på verdensveven er under «støygrensen», selv om den samler inn epost, navn og kanskje noen andre uviktige/naturlige data. Vurder om nytteverdien står i rimelig forhold til formålet og da om du gjør den obligatorisk for elevene dine. Gjør gjerne vurderingen skriftlig, slik at du (og andre) vet hva du har tenkt. Det er veldig mye bedre enn å bare ikke si noe til noen (og da heller ikke tenke gjennom ting), som jeg tror er status på mye av det digitale arbeidet som foregår i klasserommet i dag.

«Jeg tar meg den frihet. Der ligger hemmeligheten med frihetens vesen. Man tar seg den. Ingen gir oss frihet, vi må ta den selv.» – Jens Bjørneboe

Epilog – Alt det jeg har skrevet om nettsider i disse tre bloggpostene gjelder selvfølgelig også for apper til iPad og Android. Det er som regel mye verre der, fordi du alltid er identifisert i appen med kontoen på nettbrettet/mobiltelefonen.

Støygrensen (tenker videre til NKUL18)

Hva skjer når du går inn på www.dagbladet.no? Jo, du logges opp og i mente av ulike systemer. Det er 15 forskjellige «trackere» i form av reklame, nettstedanalyse, sosiale medier osv. Alle samler inn IP-adresser og legger igjen cookier/informasjonskapsler for å vite hva du holder på med på nettstedet. Noen trackere følger også med fra forrige nettsted…

Så godt som alle nettsteder gjør dette i større eller mindre grad. Det er regelen mer enn unntaket – Udir har 7 trackere, SNL har 3, NRK har 5 og Salaby har 2 osv… Google og Facebook har ingen (fordi de lytter heller til loggen på egne tjenere).

Det er en del av hvordan webben fungerer og for de aller fleste er dette blitt en del av hverdagen som de ikke tenker særlig på. Husk at nå snakker vi ikke en gang om hva du legger igjen på Facebook eller om du logger på Facebook. Vi snakker rett og slett bare om informasjon som lages og samles inn når du surfer på nettet. Du trenger ikke å skrive noe. Det holder at du klikker på lenker (eller beveger muspekeren rundt på nettsiden).

Ingenting nytt eller spennende her… Likevel – jeg lurer litt på hvordan dette blir i praksis når GDPR slår inn 25. mai. Det er dukket opp en del ekstra runder med godkjenninger fra ulike nettsteder / epostlister i det siste, men enda ikke knyttet opp mot akkurat dette.

Men la oss vri skru volumet opp til 11. Nå er det kanskje ikke så spennende å vite IP-adressen til skolen, men elevene bruker den digitale dingsen hjemme – og nettsider og trackere lagrer cookier som følger brukeren/maskinen fra skolen og hjem. Datatilsynet (og GDPR – artikkel 4 punkt 1 og betraktning 49) mener at IP-adresser er en personopplysning. Likevel er det ingen som tenker at skolen må ha en databehandleravtale med Dagbladet, selv om disse lagrer en masse opplysninger om elevene (og har tredjeparter som også får disse opplysningene). Og nå må du ikke glemme at dette ikke er noe elevene gjør frivillig – lærer har sagt at alle skal sjekke ut nyhetene på dagbladet.no i arbeid hjemme. Har da lærer/skole et ansvar for at Dagbladet behandler disse personopplysningene fra elevene på en korrekt måte – altså at skolen må ha en databehandleravtale med Dagbladet? Tja, Dagbladet kommer til å ha et eget ansvar for at de følger GDPR for alle som bruker avisens nettsider. Om Dagbladet vil være ansvarlig for at alle trackere som følger deg på sidene deres er GDPR-godkjent er jeg ikke like sikker på, men jeg tror de må være det etter GDPR (definert som tredjepart).

Mange vil nok mene at det jeg koker om i avsnittet over er tullete, men tenk etter før du avviser dette helt. Eleven må surfe på dagbladet.no, fordi lærer har sagt det. Elevene gir da Dagbladet verdifull personinformasjon i form av adferdsmønstre og IP-adresser – og indirekte og direkte inntekter fra trackere og reklamemotorer. Skole er litt spesielt her – vi «tvinger» elever til å bruke ressurser på nettet som er ment å bli brukt frivillig. I denne settingen blir begrepet «behandlingsansvarlig» litt rufsete… (fra GDPR):

«behandlingsansvarlig» en fysisk eller juridisk person, en offentlig myndighet, en institusjon eller ethvert annet organ som alene eller sammen med andre bestemmer formålet med behandlingen av personopplysninger og hvilke midler som skal benyttes; når formålet med og midlene for behandlingen er fastsatt i unionsretten eller i medlemsstatenes nasjonale rett, kan den behandlingsansvarlige, eller de særlige kriteriene for utpeking av vedkommende, fastsettes i unionsretten eller i medlemsstatenes nasjonale rett

Heng med – jeg bestemmer at elevene skal lese nyheter på dagbladet.no for å bruke dette i et arbeid i et fag i skolen. Formålet fra min side er at elevene skal samle informasjon, ikke behandling av personopplysninger, og middelet er dagbladet.no. Men fra Dagbladet sin side blir det annerledes, fordi de har andre formål og midler enn meg som lærer. Blir da mitt krav til elevene til at jeg bestemmer et formål der behandling av personopplysninger er en del? Eller er ikke skolen behandlingsansvarlig siden jeg ikke mener det er et formål knyttet til behandling av personopplysninger til den aktiviteten jeg ber elevene gjøre? Uggent dette her. Utfordringen er at om du sier at dette ikke er et krav om behandling av personopplysninger fra lærers side, så kan du bruke dette «trikset» på mer eller mindre alle nettressurser. Det høres ikke helt rett ut det heller. Det blir litt som politikeres unnskyldninger der de er unnskylder seg for at noen ble lei seg for det de sa eller gjorde – ikke for det det sa eller gjorde.

Det jeg ønsker å bringe inn i diskusjonen er at når elever skal surfe på verdensveven vil de måtte legge fra seg noe personinformasjon uansett. De er tross alt ikke roboter som surfer. Vi bør tenke at det er en slags «støygrense» for hva som er normalt. Denne kan (og skal) selvsagt reguleres i lov, noe GDPR gjør, samtidig som vi ikke må miste hodet og gjøre all bruk av nettet mer eller mindre umulig å gjøre lovlig. Støygrensen må stå i forhold til det vi ønsker å oppnå i skolen, så jeg har tenkt å fortsette med å si at elevene skal arbeide på nettsider som bibelen.no og vg.no og snl.no osv. Den pedagogiske gevinsten er større en ulempen ved den informasjonen elevene legger igjen, mener jeg.

Til deg som skal til NKUL – blir du med på en liten dugnad?

Blir du med på en dugnad på NKUL om skytjenester og sikring av personopplysninger som kan bli riktig spennende om mange blir med? Først vil jeg si at dette gjør jeg ikke for å lage dårlig stemning eller henge ut noen. Jeg gjør det fordi jeg faktisk lurer og fordi skytjenester og personopplysninger unektelig er i vinden for tiden. Selvfølgelig kunne jeg gjort det helt selv også, men det er mye enklere (og kjekkere) om flere blir med.

Gangen i det er – blant utstillerne på NKUL velger du et én tilbyder av en eller annen form for skytjeneste. I en hyggelig og høflig interessert tone klemmer du inn disse spørsmålene:

  • Hvor blir brukerdata lagret?
  • Hvordan sikrer dere brukerdata vi lagrer hos dere?
  • Sletter dere alle brukerdata når vi eventuelt sier opp avtalen hos dere?
  • Hvordan kan jeg vite (altså sjekke) at dere gjør det du nettopp har fortalt meg?

Det siste spørsmålet er det vanskelige spørsmålet – hvordan vet jeg at du som leverandør faktisk gjør det du lover i databehandleravtalen / kontrakten? Jeg, som behandlingsansvarlig, kan ikke bruke deg som databehandler uten at jeg faktisk kan sjekke dette. Hvordan vet jeg om du bryter kontrakten eller ikke, om jeg ikke kan kontrollere det på en eller annen måte? Og hvordan gjør vi det? Får jeg komme på besøk selv for å sjekke sjekke rutinedokumenter, risikoanalyser, avviksrapporter og serverrom? Eller har dere en uavhengig tredjepart som sjekker dette og får jeg lese rapporten deres? Eller om dere gjør dette selv – får jeg lese disse rapportene?

Bare for å ta et eksempel – tilbyder sier at alt blir lagret på deres tjenere. Hvis de med dette mener virtuelle tjenere hos Amazon AWS (eller Microsoft Azure) er dette noe helt annet enn tjenere i kjelleren i kontorbygget deres. Og selv om de sier at det er på lokale tjenere i kjelleren – hvordan kan jeg kontrollere at de ikke bruker Amazon AWS likevel?

Hvis du så etter beste evne fyller inn svarene du fikk i dette skjemaet (gjerne sjekk skjema på forhånd) – lover jeg at jeg skal blogge om svarene som har tikket inn. Selvfølgelig har du lov til å snakke med flere og sende inn flere skjema…

Er du med? :-)

PS! Jeg synes jo også at de som står på utstillingene for ulike tjenester bør kunne svare på deler av dette – igjen fordi skytjenester og personopplysninger er et stadig aktuelt spørsmål.

Et «liten» forglemmelse…

I helgen ryddet jeg litt i gamle lenker i nettleseren. Gjemt i en mappe med utgåtte lenker fant jeg en lenke til https://fronter.com/randaberggs. I Randaberg har vi for lenge siden (i en galakse langt, langt borte) brukt Fronter. Harestad skole var innom et par år uten å gjøre noe seriøst utav det, mens Grødem skole bruke det systematisk fra 2003 til 2012. Harestad skole sa det opp flere år før vi begynte å bruke Google Apps for Education i 2011. Grødem sa det opp i 2012 da ingen lærere brukte lengre, fordi de hadde også tatt i brukt GAFE i 2011.

Så jeg var litt overrasket over at Randaberg kommune fremdeles hadde en egen «påloggingsportal» i Fronter. Jeg har en lei tendens til å huske brukernavn og passord, så jeg klarte å gjette meg frem til admin-brukernavnet (og passordet) jeg en gang hadde – og til min store overraskelse virket det enda…

Ikke bare virket påloggingen, men alt var enda der. En raskt kikk innom statistikkmodulet listet opp alle aktiviteter og innleveringer fra høsten 2003 og frem til ingen brukte det lengre i juni 2012. Her er alle elever og ansatte enda intakt. Alle kommentarer er der. Alle innleveringer kan enda lastes ned. Karakterer. Anmerkninger. Fravær. Ingenting er slettet. Bare for gøy laget jeg noen nye brukere og logget på med dem. Det virket også. Har sikret meg en god del skjermdumper og nedlastinger, bare for dokumentasjonens del.

Fronter, det vel unødvendig å si at dette ikke er godt nok. Det er ikke et «tilbud» at alle har tilgang til systemet flere år etter at vi har sagt opp avtalen. Det er et brudd på avtalen. Det er et skrekkeksempel på hvordan du ikke skal gjøre ting. Det hjelper lite å skryte av at alt lagres i Norge når du likevel ikke respekterer avtaler og ikke stenger ned tjenesten eller sletter data.

Kanskje jeg skal ta litt selvkritikk fordi jeg ikke har sjekket at Fronter i det minste stengte ned tilgangen til systemet en tid etter Grødem skole sa det opp. Likevel hadde jeg ikke regnet med at Fronter skulle sløve det til på denne måten. Det er snart 5 år siden Grødem sa opp sin avtale og enda lengre siden Harestad gjorde det. Daffe rutiner hos Fronter – og hvis dette er nivået tør jeg ikke tenke på hvordan resten følges opp. Uansett, til dere som har sagt opp avtaler hos Fronter – sjekk om dere virkelig er fjernet.

Så kjære itslearning (som nå eier Fronter), kan dere passe på å få slettet alt knyttet til Randaberg kommune i Fronter? Dette er tidligere admin for kommunen som ber om dette. Bare tuller – jeg ber ikke om support fra itslearning via bloggen. Jeg ringte Fronter-support i dag og fikk snakke med en hyggelig svenske. Han hørtes litt overrasket ut, klapret en stund på tastaturet, bekreftet at ingenting var stengt ned, mumlet noe om at «Det må ha skjedd en liten glipp her…» og sa han skulle passe på at kontoen skulle bli avsluttet etter alle kunstens regler. Og for alle tilfellers skyld fikk han eposten min om det skulle dukke opp noe :-)

PS! Litt pussig at en tilfeldig person kan ringe inn til fronter og få dem til å gjøre dette, men han så vel at ingen har tatt i fronter-området siden 2012 og regnet med at det var ok ;-)

Postskript – Noen dager etter dette ble jeg tipset om at det var mulig å få opp pålogging til itslearning for Goa skole – en avtale som også var sagt opp, denne gangen for et par år siden. Jeg fikk tak i brukernavn og passord til admin og, helt riktig, jeg klarte å logge på itslearning for Goa skole. To år etter at Goa skole hadde sagt opp itslearning var alt på plass enda. Brukere, karakterer, prøver, dokumenter, meldinger – alt. Tok ett skjermbilde bare for å vise det for meg selv.  Jeg skal innrømme at jeg smilte litt for meg selv og tenkte at i morgen fikk ta noen flere skjermbiler, ringe itslearning igjen og så skrive et nytt blogginnlegg. Da jeg dagen etter skulle inn og ta noen bilder var Goa-kontoen faktisk stengt. Hvorfor vet jeg ikke. Kanskje de rett og slett hadde startet en liten opprydning etter saken om Fronter. I beste fall håper jeg det. Det ville vært den ordentlige tingen å gjøre. Eller kanskje de oppdaget aktivitet på en itslearning-installasjon som ikke hadde vært brukt på lenge og så at den egentlig skulle vært stengt. Eller så var de litt nervøse for at jeg kom til å oppdage det og kom meg såvidt i forkjøpt. Uansett – dette vet bare itslearning og jeg kommer ikke til å spørre dem.

Livet er en pussig ting

nkulJeg skulle så gjerne vært på NKUL, men det ble det ikke noe av. Jeg skulle til og med ha en av parallellsesjonene i dag og snakket om «Den digitale skolen på kollisjonskurs med personopplysningsloven». Og jeg hadde tenkt at den store utfordringen ville være at dette ikke er noe som fenger så mange som det burde. Det er litt som å snakke om at elever må komme tidsnok til de elevene som er kommet tidsnok. Også skulle jeg truffet, og snakket med, alle de kjempeflotte folkene jeg bare treffer på Twitter og epost og en videoprat i ny og ne. Også skulle jeg vært med på Trondheims lansering av Google Apps for Education og Chromebook som plattform for trondheimskolen. Også skulle jeg sett og hørt på alt det flotte NKUL finner frem av andre spennende sesjoner hvert år.

Men den gang ei. Dette ble effektivt stoppet av en saftig sykehustabbe. Min bedre halvdel skulle inn og gjøre et enkelt dagkirurgisk inngrep på SUS, men endte opp med hull på livmor og tynntarm med dertil alvorlige bukhinnebetennelse. Dette ledet til flere nye operasjoner med påfølgende nye komplikasjoner og nye operasjoner og en antibiotikakur som aldri tar slutt (en sånn intravenøs en du må få 3 dager daglig på sykehuset til alle døgnet rare tider). I praksis har vi bodd på sykehus siden slutten av mars og hun er ikke utskrevet enda – men alt går bedre, så målet er å bli skrevet ut til uken med en to ukers ab-kur i tablettform med flere undersøkelser og kontroller underveis. Så nei – kan ikke reise fra familie da, selv ikke til NKUL ;-).

Nok om det. Du får gjort litt forskjellig når du kjeder deg på et sykehus også. Det er mye venting der. Så jeg har fått skrevet et par av bloggens mest populære innlegg – og jeg får tid til å skrive om det jeg skulle ha snakket om på NKUL. Så under finner du hele presentasjonen min og i kommentarfeltet/foredragsnotatet til hvert lysbilde finner du det meste av det jeg hadde tenkt å si høyt.

Denne presentasjonen likner en del på den jeg holdt på nettbrett-konferansen for Senter for IKT, men det er et par nye og viktige ting. Jeg har snakket litt til med Datatilsynet og tenkte jeg skulle slippe et par minibomber her i bloggen nå – noe er med i presentasjonen, andre ting ikke.

Jeg har prøvd å få Datatilsynet til å svare på om det er greit å be foreldre opprette en AppleID for barne frivillig – om skolen deler ut iPad i en 1-til-1-løsning i skolen, og om skolen kan opprette generiske/anonyme AppleIDer for foreldre/elever som ikke vil gjøre det frivillig. Svaret jeg har fått er noe diffust. Frivillighet er greit, men det skal være en reell frivillighet – uten at Datatilsynet sier noe om hva «reell» betyr, annet enn at det er vanskelig å få til i skolen. Vansken har de tidligere begrunnet i at om skolen sier at alle skal, så er det ikke en reell frivillighet, men skal hjemles i lov (f.eks. opplæringsloven § 13 eller § 2-3). Om skolen hjemler det, så er det ikke frivillig – og skolen må ta ansvar for at dette gjøres innenfor det lovverket skolen må forholde seg til (i dette tilfelle personopplysningsloven). Hvis jeg prøver å forstå det betyr det at vi ender opp med en situasjon der bruken av f.eks. iPad må være frivillig for at det skal være frivillig om du vil bruke din egen AppleID. Hvis du  bruke iPad i skolen, må også skolen ta ansvar for AppleIDene som blir brukt i undervisningen – og frivilligheten ryker. Om Apple godtar generiske/anonyme AppleIDer vil Datatilsynet naturlig nok ikke mene noe om, men de som har lest brukervilkårene ser at Apple gjør ikke det på papiret (både navn og fødselsdato skal være ekte i en AppleID) – selv om de ser ut til å vende det døve øre til at det skjer i stor utstrekning.

Den andre tingen jeg lirket ut av dem var at de forventer sterk autentisering på alle tjenester der lærer får tilgang til informasjon om/fra mange elever. De har tidligere presisert at dette gjelder læringsplattformer, f.eks. itslearning, Fronter og Google Apps for Education, men nå presiserte de også at det også gjelder tjenester som Showbie, Duolingo, KhanAcademy, Evernote – altså der lærer har tilgang til personopplysninger om mange elever.