Sikkerhet er en tungvindt ting

For noen år siden bestemte Datatilsynet at ansatte i skolen måtte ha sterk autentisering mot en god del av systemene sine:

Bruk sterk autentisering ved behov
De skolene og barnehagene vi har vært på kontroll hos, og som bruker informasjonssystem som inneholder opplysninger om mange barn, har vi pålagt at må etablere sterk autentisering for de ansatte ved innlogging dersom løsningen er tilgjengelig fra eksterne nett.

Med sterk autentisering mener vi for eksempel bruk av kodebrikke eller sikkerhetskode tilsendt på SMS. Dette kan også realiseres i en fjernarbeidsløsning med sterk autentisering, og påfølgende tilgang til for eksempel læringsplattform, skoleadministrative system eller annet pedagogisk verktøy på nett. Dette hindrer at noen som får tak i brukernavn og passord klarer å skaffe seg tilgang til systemet.

Begrunnelsen var, rimelig nok, at den enkelte ansatte hadde tilgang til så mye elevinformasjon at enkel autentisering med brukernavn og passord ikke var sikkert nok. Det sier seg selv når du tenker etter – hva får en elev tilgang til om denne lærer seg brukernavn og passord til en lærer? Spesielt i våre dager når brukernavn og passord stort sett er likt over alle plattformer (tenker på deg nå, FEIDE). Læringsplattformer (i form av både itslearning, Office365 og GSuite), skoleadministrative system, andre større tjenester som f.eks. Engage (tidligere Vokal) er enkelt tilgjengelig via FEIDE. Hvis enkel autentisering er eneste hinder kan elever få tilgang til svært mye informasjon de ikke skal ha tilgang til – og de kan endre ting de ikke skal kunne endre.

Løsningen er selvfølgelig å legge på sterk autentisering (2FA) i form av ekstra kode som må legges inn. Den vanligste løsningen er kode via SMS, men det finnes også kode-apper på mobil, mobil som autentiseringsnøkkel eller, det som nå kommer, kodenøkkel via USB. Det er enkelt å skru på 2FA i FEIDE for ansatte, som da sender en SMS til registrert mobiltelefonnummer. Denne er ikke akkurat billig for arbeidsgiver, siden denne må betale for hver SMS som sendes. Flere velger også ID-porten som løsning og da kan du logge på med f.eks. MinID (som er gratis for arbeidsgiver).

Jeg tipper at dette er et vondt kapittel for mange kommuner – og det er ikke uten utfordringer i Randabergskolen heller. De fleste kommuner jeg har vært i kontakt med har ikke aktivert noen form for sterk autentisering for ansatte overhode.

I Randabergskolen har vi tvunget 2FA for ansatte i GSuite for Education (elevene kan velge det selv). Vi bruker Googles egen 2FA-løsning. Brukerne kan da velge mellom reservekoder på papir, talemelding eller SMS til mobil, autentiserings-appen til Google, direkte forespørsel fra Google til mobiltelefonen eller, nå nylig, en sikkerhetsnøkkel via USB. De fleste bruker SMS til mobilen. Vi har satt systemet opp slik at ansatte må inn med 2FA hver 7. dag per enheter du logger deg på. Altså er en enhet godkjent med 2FA i 7 dager før du må inn med 2FA på nytt. I mellomtiden kan du logge deg på med bare brukernavn/passord.

Vi har også også 2FA med eget brukernavn og passord i Visma sin skyløsning for IOPer – Visma FLYT Sampro. Der får alle som skal logge seg på en SMS, eller en epost, med en kode etter de har lagt inn brukernavn og passord.

…og det var det. Ingen andre systemer bruker 2FA for ansatte, selv om det er noen som i alle høyeste grad burde ha det (og skal ha det). Det skoleadministrative systemet Visma FLYT Skole, Conexus Engage, Identum sin enkle skypålogging (for tilgang til eFEIDE) og PAS/PGS er de systemene som burde ha det.

Nå nylig bestemte vi at fra august 2018 skal det være 2FA på disse tjenestene i Randabergskolen. Vi har informert rektorene og Utdanningsforbundet om at det skjer, så det ikke skal komme som noen overraskelse på de ansatte. Det kan godt hende at noen synes det blir tungvindt, men skal ting være sikkert så blir det slikt.

Disse tjeneste kan ikke være så åpne som de er nå. At ingen elever har logget på Visma FLYT Skole med lærerbruker er bare et spørsmål om tid (og flaks). Du verden så mye elevene kunne sett og gjort som ansatt i Visma FLYT Skole. De kan se igjennom alle anmerkninger for alle elever, de kan endre karakterer (også standpunkt) og de kan se hva som ligger under elevdokumenter i arkivet. Ikke glemt at etter GDPR trer i kraft skal slike eventuelle brudd meldes direkte til Datatilsynet innen 72 timer, så dette er ikke noe skolen kan «ordne opp i» selv.

Å skru opp sikkerheten i form av 2FA løser en god del utfordringer, men det lager også noen nye. For å bruke FEIDE eller MinID til 2FA  ansatte bruke mobiltelefon. Og de må bruke den en god del oftere enn de gjør med 2FA i GSuite for tiden. Ikke det, ansatte i Randabergskolen er allerede godt vant med å bruke mobiltelefonen sin til 2FA pga at vi gjør dette i GSuite – så jeg tror det går rimelig greit for vår del.

Vi har også planer om å bruke GSuite for Edu til behandling av sensitiv informasjon. Det kan vi ikke gjøre før vi skrur opp sikkerheten noen hakk her også, så vi tenker å sette 2FA til 24 timer i stedet for 7 dager. I den forbindelse tester vi også ut sikkerhetsnøkler via USB. Dette er små USB-pinner som pares mot Google-kontoen din og når du blir bedt om 2FA setter du inn nøkkelen og den overfører en sikkerhetskode til maskinen som slipper deg inn. Dette skal løse behovet for å ha med mobiltelefonen…

Kan er det ikke så overraskende at jeg ikke er fornøyd med nøkkelen. Den er tungvindt å sette opp (for en ordinær bruker). Jeg synes også den er upraktisk å bruke. For det første må du ha en USB-A-port og det er ingen selvfølge lenger på bærbare maskiner med USB-C. Nøkkelen virker ikke via USB-huber, som kan være direkte stress når du da må lete etter USB-porten på desktop-maskinen din. Og – jeg synes ikke alltid den virker. Jeg må for ofte ta den ut og inn, eller trykke på knappen på den (alt etter hvilken type du har).

For å toppe det hele velger Google sikkerhetsnøkkelen som standard 2FA etter at du har registrert den og jeg må klikke på «Har du problemer?» for å få opp andre 2FA-alternativer. Det var ikke helt intuitivt. Jeg hadde ikke problemer – jeg ville bare velge en annen 2FA-metode. Nøkkelen er i praksis lett å glemme igjen i maskinen, eller å rote bort. I praksis synes jeg SMS, kodeapp eller mobilautentisering er utrolig mye enklere. Jeg har alltid mobilen i nærheten og jeg glemmer den sjelden igjen der jeg har vært. Dessuten virker ikke FEIDE eller andre tjenester med denne sikkerhetsnøkkelen enda, så ansatte må uansett ha med seg mobilen når se skal logge inn i via FEIDE 2FA.

Hvis læreren glemmer igjen sikkerhetsnøkkelen i klasserommet er det lett for eleven å lage sin egen(!) sikkerhetsnøkkel for lærerbrukeren. Og læreren kommer i praksis aldri til å oppdage at det er registrert en ekstra sikkerhetsnøkkel! Vet at dette er kanskje litt søkt, men du vil før eller seinere ha en slik elev i systemet.

Så den viktige regelen er enda – Ikke la andre vite hva passordet ditt er!

 

«Blir lite tid til spørsmål i dag, tror jeg. Kan Odin svare på spørsmåla på bloggen sin?»

Slides Q&A - AudienceJa, Odin kan svare på spørsmålene til sesjonen på bloggen sin :-).

Dette var et av spørsmålene etter presentasjonen Trondheim og Randaberg hadde på NKUL. Vi hadde åpnet for spørsmål ved hjelp av den nye spørsmål&svar-funksjonen i Google Presentasjon, men vi fikk ikke tid til å svare på alle spørsmålene som kom inn.

Bare så det er sagt – jeg tar utgangspunkt i Randabergskolen, siden det er det jeg kjenner best til. Tut og kjør!

 

Hvordan løser dere eksamensavviklingen? Tilgang til internett? Kontroll av kommunikasjon?
Dette har jeg skrevet om i et tidligere blogginnlegg, så jeg lenker bare dit – «Eksamen og GAFE (og Chromebook)»

Hva med Dysleksiverktøy?
Det finnes noen verktøy på norsk til Chromebook, men så langt synes de fleste som har prøvd dem at de ikke er gode nok. Elever med spesielle behov, f.eks. dyslektikere eller blinde, får Windows-maskiner eller det de måtte trenge. GAFE virker godt på Windows også :-) Det ryktes at LingIT jobber å lage en utvidelse til Chrome, og om det stemmer vil det virke på Chromebook også.

Hvordan er personvern ivaretatt? Hva skjer med elev info/ konto når de er ferdige på grunnskolen?
Personvernet er ivaretatt gjennom databehandleravtalen vi har med Google – og gjennom kommunens RoS-analyser (og rutinene rundt disse). Elevinfo og -konto blir slettet når de er ferdige på grunnskolen. Da slettes alt denne eleven har lagt igjen i GAFE-systemet, og blir borte for alltid (og ja, det står om dette i databehandleravtalen). Elevene får anledning til å hente ut det de har lagt inn i forkant av slettingen.

Bruker dere et LMS i tillegg til GAFE? Jeg tenker på hvordan dere ivaretar systematisering / lagring av vurdering – fins det muligheter for det i GAFE, eller er man avhengig av et LMS?
Det er ingenting i veien for at dere gjør dette i GAFE, men det finnes også LMS-løsninger som integrere GAFE-tjenester. Vi i Randaberg har ingen LMS mellom det skoleadministrative systemet (Visma FLYT Skole) og GAFE. Vi klarer oss uten. Trondheimskolen har kjøpt IST Læring som LMS, men de har enda ikke gått til innkjøp av nytt skoleadministrativt system. Personlig lurer jeg litt på hva de vil med IST Læring om de f.eks. velger Visma FLYT Skole som SAS. Da har de i så tilfelle to systemer som overlapper hverandre og med alle de utfordringene det medfører.

Hva mangler dere i Google miljøet? Verktøy som dere kunne ønske fantes, men som er ikke der?
Det jeg personlig savner er et godt stop-motion-verktøy. Det finnes to ikke-gode apper til Chromebook og du kan jukse litt i WeVideo, men det hadde vært kjekt om det fantes noe virkelig bra som bare gjorde stop-motion. PS! I etterkant av NKUL er nyheten om at alle Android-apper kommer til å virke med Chromebook, og da er det i praksis ingenting vi savner.

Hvordan gikk dere frem for å få Google-konto til alle elevene?
Vi gikk inn på denne lenken, registrerte oss for å få et GAFE-domene og startet :-) Du kan registrere kontoer direkte eller du kan legge opp en synk mellom AD/brukerbase i kommunen opp til GAFE.

Har dere erfaringer med at elevene bruker Google+ eller har dere sperret dette for elevene?
Vi i Randaberg (og mange andre, tror jeg) har sperret dette for elever. Hvis du skal åpne opp for det må elevene være 13+ år. Dette er en absolutt aldersgrense satt av Google.

Har dere erfart at dere «mister» mindre og mindre ettersom flere og flere tjenester fungerer direkte i nettleseren?
Ja, det er stor forskjell mellom det som var tilgjengelig da vi begynte med GAFE i 2011 og i dag. Det er ikke mange tjenester som ikke er tilgjengelig online – og om det skulle være noe spesielt, så har vi også tjenester som rollApp og Ulteo.

Hva med FEIDE?
FEIDE og GAFE kan snakke sammen og gi SSO via FEIDE. Det skal være laget løsninger både av Senter for IKT/FEIDE og Identum. Vi bruker det ikke. Det lager litt mer krøll enn det vi ønsker. Men – vi har systemer for at brukernavn og passord er slikt mellom FEIDE og GAFE.

Hvordan bruker dere chromebook opp mot smartboard? Bruker dere Smartamp?
Vi bruker ikke SmartBoard i Randaberg, så vi er ikke så opptatt av dette. Men det jeg vet er at Smart jobber med det – og at det er delvis funksjonalitet mellom SmartBoard og Chromebook. Og nei, vi bruker ikke SmartAMP. Vi fikk prøve løsningen, men syntes den virket litt nitten-pil-og-bue og det var bedre løsninger tilgjengelig – f.eks. Google Tegning og Realtimeboard for Education (som også er gratis for utdanning).

Hvorfor tror dere at Google tilbyr alt dette så billig (omtrent gratis?), samtidig som selskapet har milliarder av dollar i overskudd? Hva er det de får tilbake som gjør at dette er lønnsomt for dem?
Det er ikke hemmelig. Hvis du spør dem får du først et svar om at Google er et litt annerledes selskap og dette er en del av deres bidrag til å gjøre verden bedre :-) Hvis du da stirrer litt på dem, så kommer setningen om at de selvfølgelig ønsker at elever skal bli trygge GAFE-brukere, fordi de da vil velge GAFW eller GA når de blir voksne – og disse tjeneste tjener de penger på. Apple og Microsoft gjør akkurat det samme med sine gratisprodukter.

PS! GAFE er gratis. Det eneste vi betaler til Google er én engangsavgift (på €23) per Chromebook for å kunne administrere dem via GAFE. Det andre vi betaler er prisen for Chromebooken – og det er til den som har laget maskinen (ikke Google).

Hva med oss som lever av å drifte og drive support, hva skal vi gjøre?
Tja, drive support på GAFE? :-) Dette er en av veiene utviklingen går innen IKT. Store skytjenester er mer effektive å drifte enn lokalt installerte løsninger. Da blir det mindre behov for drift, og support på drift, i lokalmiljøene.

Hva anbefaler dere innen GAFE til de yngste elevene som ikke bruker tastatur? I dag har de stor glede av Ipad med visuelle sammenkoblinger av bilder og begreper.
Meg bekjent (må kanskje spørre på skolene) tror jeg ikke bruken av Chromebook er så stor på 1. trinn, men elevene bruker dem aktivt til skriving (på tastatur) på 3. trinn. Vi kjøper nå inn noen Chromebooker med touch for å teste ut ulike løsninger, som kanskje også passer godt for 1. trinn. Men – vi har heller ingen motforestillinger mot bruk av iPad der det er fornuftig. Samtidig prioriterer vi å drifte i hovedsak én løsning, så vi ønsker ikke å ha to store IKT-systemer på skolen – og da er det Chromebook vi prøver å standardisere på.

Korleis får de registrert fråver og vurderingar?
Vi gjør det i det skoleadministrative systemet vår – Visma FLYT Skole. Der registrerer vi også orden- og adferdsanmerkninger, halvårvurderinger og karakterer. Systemet har også en digital meldebok med støtte for to-veis SMS. Også er det en skytjeneste – og vi er veldig godt fornøyd med det.

Er PP dere viser tilgjengelig etterpå? Hvor?
Du finner den her – «NKUL 2016«.

Om ei kommune/skule vil gå for 1:1 Chromebook – kva er dei største utfordringane ein vil møte på når ein går frå Windows?
Prøver å ta denne kort – Egentlig få i forhold til bruk. Overgangen handler lite om Chromebook, men mer om overgangen til GAFE (fra Office365). I Randabergskolen var GAFE godt innarbeidet og da var overgangen til Chromebook helt uproblematisk, faktisk var det noe de aller fleste satte pris på. I en overgang til GAFE vil det være spørsmål fra lærere om heldagsprøve og eksamen. Flyttingen fra filtjener til skylagring bør gjøres på en planlagt og god måte (se nestneste spørsmål). Det vil også alltid være noen lærere som har noen snedige måter å bruke Office på som ikke lar seg gjøre i GAFE. Etter noen uker med aktiv bruke av GAFE er det få negative stemmer (vil jeg våge å påstå :-).

Føler dere at GAFE støtter ferdigheter som elever trenger senere i arbeidslivet? Læring med teknologi, ikke om teknologi…
I aller høyeste grad – og i større grad enn bruk av iPad og Windows/Office365, fordi GAFE/Chromebook fokuserer og gjør arbeidet med IKT i skole enklere å ta i bruk.

Kan Randaberg si noe om den gode måten for overgang fra alt på filer til skyløsningen?
Ja, på planlagt vis og med god beskjed i forkant til ansatte stenger dere ned filtjeneren for skriving, men beholder at alle kan lese. Samtidig som dette skjer lager dere (ledelse/IKT-ansvarlig) en OK struktur i Google Disk og legger selv over de viktigste dokumentene og malene, slik at de ser ordentlige ut. Så skal alle ansatte lagre alle nye dokumenter i strukturen dere har laget i Google Disk. Lærerne kan hente gamle dokumenter de trenger fra filtjeneren. Etter ett år stenger dere ned filtjeneren helt. Alt dette bør dere har gjort før ansatte får Chromebooker (hvis de skal over til dette), slik at de har tilgang til både filtjeneren og Google Disk på samme maskin i perioden dette foregår.

Hva koster investeringen i infrastruktur? Trådløse aksesspunkt, kapasitet osv?
Vi har kjøpt Cisco Meraki som WiFi-løsning og er veldig godt fornøyd med det. Hvor mange APer du trenger vil variere med lokale forhold, men et vanlig Meraki AP skal klare 50-100 maskiner under å stresse for mye. Husk at hvert AP sprenger Internett-kapasiteten til skolen (i alle fall i noen år til), så om en sender har 10 eller 50 chromebooker koblet på så betyr ikke det så mye. På Harestad skole må vi ha et AP i hvert klasserom pga tykke betongvegger. I 2014 kjøpte vi 40 stk Meraki APer til ungdomstrinnene og da var prisen rundt kr 5 000,- per punkt (Meraki MR34) og kr 1 000,- for en 3-års lisens for skykontrolleren per punkt. MR34 var «over kill» i forhold til hva vi trengte og vi har siden kjøpt billigere APer fra Meraki. I dag har vi rundt 80 Meraki-APer tilsammen på de 3 skolene.

Hadde dere utfordringer med foreldre som ikke hadde nett-tilgang hjemme? og hva gjorde dere da?
Nei, faktisk ikke. I den første Windows-piloten opplevde vi én elev som ikke hadde WiFi hjemme, men de hadde kablet nettverk. Da fikk eleven en USB/Ethernet-overgang og saken var løst.

Hva vet dere om økonomisk side, Randaberg – prisforskjeller på valgmulighetene dere hadde?
Det får bli kortutgaven. Minimumsutgavene var at iPad+tastatur+MDM ville være rett over dobbel pris av den Chromebook-løsningen vi vurderte. I tillegg manglet vi kompetanse til MDM-løsningen. Windows-løsningen krevde programvare/lisenser som doblet utgiftene vi hadde til løsningen og igjen landet oss langt over dobbel pris av Chromebook-løsningen. Og prisen for Chromebook? Nå i 2015 ble prisen per maskin kr 1862 + kr 220 for en admin-lisens per maskin (og vi kjøpte 225 maskiner) – og det var det. Ah.. vi kjøpte omslag til dem også (kr 65). Dette er de eneste økonomiske utgiftene vi har til GAFE og Chromebook. Vi har heller ingen utgifter til konsulenter eller noe slikt – skolene løser resten gjennom sine IKT-ansvarlige.

Kommentarer til denne – «Google Acknowledges Data Mining Student Users Outside Apps for Education«?
Ja, denne er ikke noe problem. Det er helt sant som artikkelen sier – hvis du bruker en elevkonto utenfor de tjenestene som ligger innenfor GAFE-avtalen vil Google sine vanlige avtaler gjelde. Derfor har vi lagt inn i systemet at elevene ikke får lov til å bruke GAFE-kontoen sin i disse tjenestene. Prøver elevene f.eks. å åpne Blogger får de beskjed om at administrator har sperret denne tjenesten for denne brukeren. De kan selvfølgelig logge seg på Blogger med en privat Google-konto, om de har det. Det kan vi ikke hindre.

Men – ikke glem at dette er helt likt for Office365 for Education. Der er det også slik at om elever bruker O365Edu-kontoen sin utenfor O365Edu-avtalen vil Microsoft sine vanlige avtaler gjelde. Bruker elevene f.eks. Bing Maps mens de er innlogget vil alt de gjør bli logget, aggregert og knyttet til denne brukeren – og bli brukt av Microsoft til det de selv ønsker. Jeg regner med at admin i O365Edu kan sperre tilgang til disse tjeneste, på lik linje med GAFE.

Når instruksen ikke passer med virkeligheten

Jeg har tenkt litt etter besøket fra Datatilsynet. Egentlig skisserte Datatilsynet en håpløst situasjon i forhold til databehandleravtaler og internkontrolldokumenter, som kommunen må ha i orden for enhver skytjeneste/digital læringsressurs hvor en legger igjen personidentifiserbar informasjon.

Prøver meg på en liten liste over netttjenester en lett ber elever bruke i skolen, og som faller inn under personopplysningslovens krav:

  • Fronter, Google Apps for Education og itslearning + alle tjenester du kan koble, eller er koblet, opp til dem (her er listene til itslearningGoogle og Fronter (nederst på siden)).
  • Alle sosiale nettverk – Facebook, Google+, Twitter og faktisk også Wikipeida.
  • Alle FEIDE-tjenester (hvis eleven må logge seg på via FEIDE)! Bare for å ta en eksempel – på minstemme.no står det at du ikke trenger en egen avtale med leverandør, men det handler om å få tilgang til tjenesten. Du, som kommune,  ha en databehandleravtale og internkontrolldokumenter om du sier at elever skal bruke det.
  • Alle apper på iPad/Android/Win8 som lagrer og deler informasjon i skyen (bortsett fra innlysende skytjenester). Tenk litt over hvor mange apper på en iPad som bruke iCloud eller sin egen lagrings-/delingstjeneste på nett (f.eks. Doceri, Prezi, SlideShare osv).
  • Og som en oppfølging til punktet over – alle nettressurser som krever autentisering, f.eks. KhanAcademy.

Husk at grensen for når du skal ha en databehandleravtale og må lage internkontrolldokumenter med risikovurdering ikke er at skolen/kommunen offisielt bruker det – det er at en lærer ber elevene om å gjøre skolearbeid ved hjelp av en av disse tjenestene!

For å si det på en annen måte: Hvilke tjenester må du inngå en databehandleravtale med og lage interkontrolldokumenter til? Jo, alle digitale tjenester du ber elever bruke i skolen og som lagrer brukergenerert eller personrelatert informasjon et annet sted enn på skolen/kommunen.

Lovens (nesten) umulige krav
Først skal hver eneste kommune prøve å skaffe en databehandleravtale med tjenesteleverandør – og det er ikke selvsagt at tjenesteleverandør overhode er interessert i det. Det er ikke sikkert du får nrkskole.no (NRK) eller matematikk.org (UiO) eller minstemme.no (Senter for IKT) til å skjønne at du må det. Og så skal hver kommune/skole lage sine egne internkontrolldokumenter for hver tjeneste. Det sier seg selv at kvaliteten kommer til å variere fra kommune til kommune og skole til skole – uansett hvor mange kontroller som gjøres eller veiledere som lages. Det er så mye sky for tiden at det i praksis er umulig å ha klar sikt over alt.

Det er vårt ansvar som kommune/skole (dataeier) å ha gode nok kunnskaper om tjenesteyters (databehandlers) rutiner og systemer for å sikre våre data. Derfor skal vi ha en databehandleravtale med dem der dette formaliseres. I praksis betyr det at vi skal ha mulighet til å kontrollere hvordan databehandler lever opp til sine rutiner (og da må du jo vite om dem!). I tillegg skal dataeier gjøre en risikovurdering ut i fra hvilke opplysninger som lagres hos databehandler.

Og for å ta dette som et praktisk eksempel – vi bruker Visma FLYT Skole som skoleadministrativt system. Det er en skytjeneste. Vi har inngått en databehandleravtale med Visma, men vi har ingen oversikt over deres rutiner omkring sikring og tilgang til våre data (som f.eks. Google har for Google Apps). Siden vi ikke har den oversikten kan vi ikke vite noe om risiko knyttet til informasjonen vi lagrer hos Visma – vi må bare stole på at de har alt i orden. Det er ikke godt nok overfor personopplysningsloven. Den sier at vi skal ha denne oversikten og at vi skal gjøre en risikovurdering – og vi kan ikke gjøre det uten denne informasjonen. Nå vil jeg tilføye at vi skal få denne informasjonen fra Visma. De har den ikke klar enda, men skal lage den – fordi jeg har spurt etter den.

Så var det at vi skal ha anledning til å kontrollere at databehandler gjør det de sier i sitt rutineskriv/internkontrolldokument. Google har ordnet det med at en tredjepart kontrollerer og gjør resultatet av kontrollen tilgjengelig for dataeier. Dette aner jeg ikke om Visma gjør via tredjepart, eller om de kommer til å tillate meg (som kommunerepresentant) å kontrollere det selv. Men for kunne si at jeg som dataeier har god nok kontroll over dataene min, må en av disse to mulighetene være oppfylt.

Poenget blir at dette nesten er umulig å oppfylle for dataeier. En ting er å skaffe databehandleravtale – det har de store norske tjenestetilbydere rutiner på (også noen av de utenlandske). Men når en krever innsyn i rutiner for sikring og innsyn hos databehandler blir ting mye vanskeligere. Jeg tviler sterkt på at det bare er Visma og Conexus som per dags dato ikke kan levere fra seg noe som likner på det Google kan levere. Da blir det omtrent helt vilkårlig hvilken tjeneste som blir «forbudt». Alle tjenester som kommer i Datatilsynets søkelys vil falle igjennom – hos kommunen. Ingen kommune kan leve opp til kravet. Det ble Google Apps i Narvik, men Google har orden på tingene og kan dokumentere det (og gi den dokumentasjonen til kommunen). Hva med alle de andre skytjenestene som skoler rundt omkring i landet forventer at elever skal bruke for å utføre skolearbeid? Bare plukk ut en og sjekk om kommunen kan leve opp til kravet i personopplysningsloven.

Problemet er at vi ikke bare kan, eller bør, ønske personopplysningsloven vekk. Jeg liker den! Det er viktig at informasjon ikke flyter uten styring, og det er bra at vi har et Datatilsyn som passer på. Vi skal vokte oss vel for den regjering som vil sette Datatilsynet under politisk styring eller ønsker å fjerne det!

Et forslag til forbedring
Så hva gjør vi da? Det er en ting at det å følge personopplysningsloven i en digital tidsalder genererer hauger av dokumenter og rutiner. Det er verre at loven er mer eller mindre umulig å leve opp til. En lov ingen klarer å følge i praksis er en dårlig lov. Du kan ikke forby alle skytjenester i skolen. Det funker bare ikke. Den tid er allerede forbi.

Det beste jeg klarer å tenke ut er at ansvaret for å sikre at databehandlers behandling av data er god nok må vekk fra kommunen/skolen. Nå er det slik at hver kommune må lage sin egen avtale og sin egen internkontroll for f.eks. itslearning – selv om den i praksis kommer til å være identisk. Det må vekk fra hver enkelt kommune og over på en aktør.

Her er det flere mulige alternativer. Enten kan tjenesteleverandør få en «godkjenning» fra Udir/Datatilsynet gjennom en sertifisering som tjenesteleverandør kan vise til at de oppfyller (gjennom tredjepart). Eller Udir kan på vegne av utdanningssektoren lage internkontrolldokumenter og databehandleravtaler med tjenesteleverandørene. Det er en ulempe med dette alternativet, nemlig at da er det Udir som velger ut hvilke tjenester de vil godkjenne. Det er bedre om tjenesteleverandør kan få tredjepart til å bekrefte at de lever opp til standarder satt av Udir for tjenester levert til undervisningssektoren.

Da kan enhver i undervisningssektoren (som er en stor sektor) benytte tjenesten vel vitende om at de er innenfor lovens krav. Loven må nok endres litt for å få dette til, men det er jo blant annet det vi har Udir til :-)

Og om ingen sentrale personer tar fatt i dette får vi trø til med en kjent og velfungerende modell – vi deler det vi har sammen! I forrige innlegg på bloggen lovet jeg at jeg skulle legge ut internkontrolldokumentene for Google Apps for Education når jeg har fått revidert dem. Jeg lover også at jeg også skal utforme dem slik at andre skoler/kommuner lett kan gjøre dem til sine dokumenter. Kanskje vi kunne samle alle slike dokumentmaler ett felles sted? Da slipper kommuner som vil ta tjenester i bruk å finne opp kruttet på nytt når en jobber seg hjelpesløst gjennom utydelige veiledere.

Mens vi venter på Datatilsynets rapport

ctrl-buttonDa har Datatilsynet gjennomført sin stedlige kontroll på Harestad skole – og ting forløp omtrent som forventet. Det var ingen hemmelighet at de fleste av dokumentene vi sendte til Datatilsynet ble til etter at de hadde meldt kontrollen – noe de kunne bekrefte at ikke var uvanlig :-)

I korte trekk må ha vi flere ting på plass. Vi må være mer profesjonelle med internkontrolldokumentene våre og gjøre mer detaljerte risikovurderinger, sammen med bedre beskrivelser av hvilke type opplysninger som lagres i hver tjeneste (hvilke intenderte opplysninger som skal lagres). Jobben blir også å pensle ut rutiner mer skriftlig, som også inkluderer veiledninger for brukere av systemet om hva systemet er ment for og ikke ment for. Så til slutt et system for å sikre at vi formidler, følger og jevnlig justerer disse rutinene. Ja, det blir litt sånn rutiner for å sikre at vi har rutiner for de rutinene vi har.

Jeg fikk anledning til å spørre dem om et par ting jeg har lurt på lenge. Er det f.eks. nok at itslearning går god for Ephorus (plagiatkontrollen i itslearning) eller må kommunen ha en egen databehandleravtale med Ephorus for å kunne bruke den? Juristen fra Datatilsynet mente at dette var en separat tjeneste levert av en ekstern aktør utenfor itslearning, så ja – kommunen må inngå en databehandleravtale med Ephorus for å oppfylle lovens krav om databehandling. Det holder ikke at itslearning går god for dem. Tygg litt på den, alle plagiatkontrollelskende itslearning-brukere der ute :-)

Forresten – du må også ha en databehandleravtale med alle du har knyttet FEIDE-autentisering mot og du må ha internkontroll-dokumenter for dem. Så det er bare å sjekke om du har gjort det mot NDLA, KorArti, Matematikk.org, Multi, NRK Skole osv…

Et morsomt poeng i kontrollen er at Google Apps har lett tilgjengelig dokumentasjon om deres internkontroll, hvordan de sikrer data både teknisk og fysisk, hvem som har tilgang til informasjonen som legges inn og hva de gjør med informasjonen. De har også gjort tilgjengelig tredjeparts vurdering om i hvilken grad de lever opp til det de sier at de gjør. Dette er per dags dato ikke mulig å oppdrive for Visma FLYT Skole og Conexus PULS/VOKAL. Ikke det – jeg har snakket med både Visma og Conexus, og de har sagt at de skal lage dette og sende det til meg. Kan noen som bruker itslearning be dem om å supplere tilsvarende informasjon (som de bør kunne oppdrive for deg som dataeier)?

For de som er nervøse for hvordan det gikk med Google Apps for Education har jeg ikke annet å melde enn at den ikke skiller seg negativt ut fra andre digitale tjenester på nett (også norske). Utfordringen fra Datatilsynet er at mange skoler forholder seg til skytjenester som «hyllevare», hvor det bare er å kjøpe tjenesten og så bruke den. Datatilsynet er opptatt av at du må gjøre en jobb i forkant før du tar i bruk tjenesten. Du skal tenke igjennom (og skrive ned) hvilken informasjon som lagres, hvordan den forholder seg til eksisterende lovverk, hvilken risiko som knytter seg til lagringen av denne informasjonen og hvilke rutiner du har for å hindre uønskede hendelser/risiko. Du må også gjøre en vurdering om leverandør har god nok sikring og gode nok rutiner for å sikre de dataene du gir dem tilgang til som dataeier (det er det du skal sikre gjennom databehandleravtalen). Trikset er at dette er helt uavhengig om det er itslearning, Fronter, Facebook, Dropbox, Google Apps for Education, iCloud, Visma FLYT Skole, iTunes, KorArti, NDLA osv. Så lenge du ber elever om å bruke en skytjeneste hvor de legger igjen (teoretisk) identifiserbar personinformasjon skal du ha dette i boks. Lykke til! (Ikke glem alle de der appene på nettbrett som lagrer noe informasjon ett eller annet sted på der ute på Internett!)

Og så lover jeg at jeg skal legge ut internkontroll-dokumentet vårt for Google Apps for Education her på bloggen når vi har revidert det :-)

Hva i all verden er poenget med FEIDE?

Dette er et innlegg inspirert skribleriene til Hr. Sinnes på dalstroka-innafor om en lærers hverdag. Denne lærerhverdagen utløste en kommentar fra Senter for IKT og et svar fra Sinnes.

Først av alt – jeg vet hva FEIDE er og hva de håper å oppnå, hvis noen skulle mistenkte meg for ikke å ha fulgt med i timen. Samtidig er jeg en smule spørrende til mengden ressurser som legges ned i dette i forhold til gevinsten.

På FEIDE sine hjemmesider finner du en veiledningfilm for FEIDE. Den lirer av seg en del påstander om FEIDE som jeg unektelig finner vel optimistisk…

«Felles elektronisk identitet»
Mange tror at i FEIDE skal de få ett brukernavn og passord – en elektronisk identitet – som følger dem gjennom hele skoleløpet. Men det er jo ikke slik det er. Mange har problemer med å forstå at FEIDE ikke er noe mer enn en tjeneste som autentiserer at du er den brukeren du utgir deg for, og at FEIDE ikke oppbevarer andre data enn akkurat hvem du er. Skifter du jobb eller studiested i kommune/fylkeskommune/universitet får du en ny FEIDE-konto med nytt brukernavn og passord – og den gamle slettes. Det heller ingen problem å ha flere FEIDE-kontoer – en for lærerjobben i fylkeskommunen, en for deltidsjobben i den kommunale kulturskolen og en som student på nettstudiet på universitetet.

«Du trenger bare huske et brukernavn og et passord.» / «…kan brukes på alle pålogginger på skolen…»
Ja, om alle IT-tjenester i kommunen integreres mot skoleadmin/FEIDE-løsnings-systemet. Det dessverre ikke slik verden er i praksis. Jeg har registrert at kommuner stort sett velger en løsning der FEIDE brukes mot enkelte eksterne web-tjenester (f.eks. LMS-systemet), mens innad i kommunen har alle hvert sitt kommunale brukernavn og passord.

«Bedre personvern og informasjonssikkerhet.» / «Alltid oppdatert og korrekt informasjon om brukeren.»
Igjen ja, om kommunen/fylkeskommunen/universitetet gjør jobben sin. Det er ikke alle som vasker data i skoleadministrative systemer mot folkeregisteret. Og det er ikke alltid at folkeregisteret har rett de heller (stort sett har de det :-).

Dessuten er de passordene jeg har sett på forskjellige FEIDE-kontoer det jeg kaller ubrukelige passord. Jeg må alltid finne frem eposten med passordet når jeg skal inn på systemene der jeg har FEIDE-tilgang. Selv om jeg mener jeg er flink til å huske rare/tilfeldige passord, så er et passord bestående av 8 tilfeldige tegn, som jeg bare bruker i ny og ne, ikke noe jeg husker. Om de ikke brukes daglig kommer de til å bli skrevet ned på lapper, og det er ikke god informasjonssikkerhet.

På Harestad og Grødem skole har vi nå et system med passord på minst 12 tegn. De er utrolig lette å huske, men veldig vanskelige å gjette. Både store og små husker disse passordene og de glemmer dem sjelden over ferien. Jeg håper det er lov å lage egne rutiner for hvordan FEIDE-passord genereres…

«Enklere og billigere å bruke digitale tjenester.»
Enklere for sluttbruker er jeg med på (om alt virker slik det er lovet), men billigere for hvem? Kanskje for leverandører av nettjenester mot utdanningssektoren. De kan koble seg opp mot FEIDE og autentisere brukerne mot en felles base – og kanskje det er noe å spare for dem der. Men FEIDE-reklamen stopper ikke der…

«Masse penger å spare for administrasjonen.»
Å nei du! Det er et hav med kommuner som her har brukt mye møtetid og etterhvert en del penger på en løsning de føler seg presset til å gå inn i. Kommunene sparer ingenting. De får bare utgifter med å koble systemene sine opp mot FEIDE. Det er en rekke firma som tjener gode penger på dette (men det er ikke deres feil ;-).

FEIDE er komplisert og det er ikke for hvem som helst å lage et system som kobler det skoleadministrative systemet opp lokal autentisering og FEIDE. Forvaltning av digital identitet er spisskompetanse og det er langt i fra alle kommuner som har slik kompetanse sittende i IT-gjengen. Du må nok til større konsulentfirma eller spesialiserte firma for å finne noen som vet hva norEdu* 1.5 og SAML 2.0 er for noe – samtidig som en kan integrere dette mot det aktuelle skolesystemet og den lokale autentiseringsbasen.

Ingen i grunnskolesektoren jeg har snakket med liker FEIDE. Ingen. Alle opplever det som et ekstra system de ikke helt ser poenget med og som er tvunget på dem. De leter fortvilet etter en billig og enkel måte å innføre det på, fordi de ikke vil bruke av begrensede ressurser på noe de ikke helt ser poenget med.

I grunnskolen er FEIDE i dag synonymt med pålogging i skolens LMS. Og det var det. Ja, jeg vet at FEIDE en gang skal bli så mye mer enn det – og at det i dag er tjenester som er koblet til FEIDE – med per dags dato er det ingen som .

Det jeg liker dårligst med FEIDE-reklamen er at den lover gull og grønne skoger for alle – og så slutter den med en «trussel» om at «…snart vil flere tjenester kun være tilgjengelig for dem med en FEIDE-identitet…», så alle kommuner må jo over på det.

Hvordan gjør vi det i praksis
Randaberg kommune har enda ikke FEIDE, men får det når vi nå i høst går over til Visma FLYT Skole. Da er det eFEIDE gir oss koblingen mellom Visma-systemet og FEIDE. eFEIDE er fra vårt ståsted en helt grei og rimelig løsning som passer oss bra. Vi bare en helt standard kobling mot FEIDE uten noen kobling videre inn i skolesystemene våre. FEIDE blir i praksis et eget brukernavn og passord elever og lærere må huske om de skal logge seg på en eller annen FEIDE-tjeneste. I kommunen bruker vi ingen slike tjenester per dags dato.

eFEIDE tilbyr en kobling mot kommunens AD slik at elever og lærere lokalt kunne brukt de samme brukernavnene og passordene som mot FEIDE. Utfordringen for Randaberg er at vi ikke bruker AD mot skolene. Vi kjører linux og bruker ikke AD. Dessuten, om vi hadde hatt AD, hadde lærerne (ansatte) vært i samme AD som resten av de ansatte og da hadde en kobling fra eFEIDE inn i kommunens AD vært mer komplisert. Derfor har, meg bekjent, de fleste kommer (og en del av de større) valgt en FEIDE-løsning der en ikke bruker samme brukernavn og passord lokalt som mot FEIDE.

For vår del måtte vi koblet opp Novell eDirectory eller noe slikt (Cerebrum var ikke lett å sette seg inn i :-) – og da snakker vi om mye penger for få elever og lærere. Om jeg ikke husker helt feil er det det Rogaland fylkeskommune har valgt, men de har nesten 20 000 elever og lærere i en base – og en egen IT-avdeling for skolene.

Så – vi betaler for eFEIDE utelukkende for å oppfylle kravet om FEIDE i grunnskolen.

Jeg håper vi får brukt det til noe fornuftig en gang i fremtiden…