Et «liten» forglemmelse…

I helgen ryddet jeg litt i gamle lenker i nettleseren. Gjemt i en mappe med utgåtte lenker fant jeg en lenke til https://fronter.com/randaberggs. I Randaberg har vi for lenge siden (i en galakse langt, langt borte) brukt Fronter. Harestad skole var innom et par år uten å gjøre noe seriøst utav det, mens Grødem skole bruke det systematisk fra 2003 til 2012. Harestad skole sa det opp flere år før vi begynte å bruke Google Apps for Education i 2011. Grødem sa det opp i 2012 da ingen lærere brukte lengre, fordi de hadde også tatt i brukt GAFE i 2011.

Så jeg var litt overrasket over at Randaberg kommune fremdeles hadde en egen «påloggingsportal» i Fronter. Jeg har en lei tendens til å huske brukernavn og passord, så jeg klarte å gjette meg frem til admin-brukernavnet (og passordet) jeg en gang hadde – og til min store overraskelse virket det enda…

Ikke bare virket påloggingen, men alt var enda der. En raskt kikk innom statistikkmodulet listet opp alle aktiviteter og innleveringer fra høsten 2003 og frem til ingen brukte det lengre i juni 2012. Her er alle elever og ansatte enda intakt. Alle kommentarer er der. Alle innleveringer kan enda lastes ned. Karakterer. Anmerkninger. Fravær. Ingenting er slettet. Bare for gøy laget jeg noen nye brukere og logget på med dem. Det virket også. Har sikret meg en god del skjermdumper og nedlastinger, bare for dokumentasjonens del.

Fronter, det vel unødvendig å si at dette ikke er godt nok. Det er ikke et «tilbud» at alle har tilgang til systemet flere år etter at vi har sagt opp avtalen. Det er et brudd på avtalen. Det er et skrekkeksempel på hvordan du ikke skal gjøre ting. Det hjelper lite å skryte av at alt lagres i Norge når du likevel ikke respekterer avtaler og ikke stenger ned tjenesten eller sletter data.

Kanskje jeg skal ta litt selvkritikk fordi jeg ikke har sjekket at Fronter i det minste stengte ned tilgangen til systemet en tid etter Grødem skole sa det opp. Likevel hadde jeg ikke regnet med at Fronter skulle sløve det til på denne måten. Det er snart 5 år siden Grødem sa opp sin avtale og enda lengre siden Harestad gjorde det. Daffe rutiner hos Fronter – og hvis dette er nivået tør jeg ikke tenke på hvordan resten følges opp. Uansett, til dere som har sagt opp avtaler hos Fronter – sjekk om dere virkelig er fjernet.

Så kjære itslearning (som nå eier Fronter), kan dere passe på å få slettet alt knyttet til Randaberg kommune i Fronter? Dette er tidligere admin for kommunen som ber om dette. Bare tuller – jeg ber ikke om support fra itslearning via bloggen. Jeg ringte Fronter-support i dag og fikk snakke med en hyggelig svenske. Han hørtes litt overrasket ut, klapret en stund på tastaturet, bekreftet at ingenting var stengt ned, mumlet noe om at «Det må ha skjedd en liten glipp her…» og sa han skulle passe på at kontoen skulle bli avsluttet etter alle kunstens regler. Og for alle tilfellers skyld fikk han eposten min om det skulle dukke opp noe :-)

PS! Litt pussig at en tilfeldig person kan ringe inn til fronter og få dem til å gjøre dette, men han så vel at ingen har tatt i fronter-området siden 2012 og regnet med at det var ok ;-)

Postskript – Noen dager etter dette ble jeg tipset om at det var mulig å få opp pålogging til itslearning for Goa skole – en avtale som også var sagt opp, denne gangen for et par år siden. Jeg fikk tak i brukernavn og passord til admin og, helt riktig, jeg klarte å logge på itslearning for Goa skole. To år etter at Goa skole hadde sagt opp itslearning var alt på plass enda. Brukere, karakterer, prøver, dokumenter, meldinger – alt. Tok ett skjermbilde bare for å vise det for meg selv.  Jeg skal innrømme at jeg smilte litt for meg selv og tenkte at i morgen fikk ta noen flere skjermbiler, ringe itslearning igjen og så skrive et nytt blogginnlegg. Da jeg dagen etter skulle inn og ta noen bilder var Goa-kontoen faktisk stengt. Hvorfor vet jeg ikke. Kanskje de rett og slett hadde startet en liten opprydning etter saken om Fronter. I beste fall håper jeg det. Det ville vært den ordentlige tingen å gjøre. Eller kanskje de oppdaget aktivitet på en itslearning-installasjon som ikke hadde vært brukt på lenge og så at den egentlig skulle vært stengt. Eller så var de litt nervøse for at jeg kom til å oppdage det og kom meg såvidt i forkjøpt. Uansett – dette vet bare itslearning og jeg kommer ikke til å spørre dem.

Har noen spurt om dette?

Recycling_symbolNoen ganger når jeg vandrer på den store verdensveven kommer jeg over noe som setter hodet i «Javel?!»-giret – altså at jeg begynner å lure på om ting er helt slik de skal være. Denne gangen var det setningen fra Fronter sin nettside om plagiatverktøyet Ephorus

Each time the system is used (anywhere and by any school or university), the database of documents and pupil papers for plagiarism detection grows.

Spørsmålet som dukket opp i hodet var «Er dette lov sånn helt uten videre?».

Og for de ikke helt bevandrede i læringsplattformenes verden kan jeg raskt si at Ephorus er et det verktøyet i itslearning og Fronter som sjekker innleveringer for plagiat. Ephorus er, for ikke så lenge siden, kjøpt opp av Turnitin, som er en stor aktør innen plagiatsjekk i USA.

Det som står i sitatet betyr at alt som leveres til kontroll i Ephorus blir lagret hos dem og brukt til kontroll av nye dokumenter som lastes opp – og som igjen lagres og så videre…

Og det er nå spørsmålene dukker opp som perler på en snor.

  • Er brukerne / elevene klar over at alt som blir levert i itslearning/Fronter, og testes mot Ephorus, blir lagret hos Ephorus som en del av deres plagiat-database og brukt av dem? Er det lov uten positivt samtykke fra eleven? Kan skolen/kommunen si at de har kontroll over hvordan disse tekstene / personopplysningene vil bli brukt?
  • Jeg kan heller ikke finne noe om at det som lastes opp til Ephorus noen gang blir slettet. Det betyr at når en elev slutter på skolen, og filer slettes fra itslearning / Fronter (for det regner jeg med det gjør), vil fremdeles elevens tekster ligge i Ephorus sin database. Er det greit?
  • En elev skriver og leverer inn en tekst i LMS-systemet som inneholder noe som ikke kan, eller skal, ligge lagret i et LMS. Skolen har ordentlige rutiner og når lærer oppdager teksten blir den slettet fra systemet. Men – teksten er allerede sjekket opp mot Ephorus og ligger derfor også i deres database. Kan den noen gang slettes hos Ephorus? Er det rutiner for dette?
  • Hvis (når ;-) kommunen / skolen sier opp avtalen med itslearning/Fronter slettes alle data som ligger hos dem, men det slettes ikke hos Ephorus. Er det greit?
  • Har noen en databehandleravtale med itslearning/Fronter eller Ephorus der dette er beskrevet?
  • Ephorus er nå en del av Turnitin – et amerikansk selskap. Jeg regner med at de nå har en felles database, og at den ligger i USA. Er nødvendige avtaler på plass (EUs standardkontrakt eller Privacy Shield) med itslearning/Fronter?
  • På Ephorus sin nettsiden finner jeg Terms & Conditions. Jeg finner ingenting om de spørsmålene jeg har notert meg. Det eneste jeg finner (slik jeg forstår punkt 9.2 og 9.3) er at Ephorus/Turnitin fraskriver seg alt ansvar og legger det på kunden og brukeren. Er det greit?

Så, kjære Verdensvev, har du svaret på disse spørsmål som nå plager meg i mitt indre? :-)

PS! Udir har, meg bekjent, en plagiatkontroll i forbindelse med innlevering av eksamensoppgaver. Bruker de også Ephorus?

«Gode nyheter til alle lærere…»

Trollet_som_grunner_på_hvor_gammelt_det_erTwitter kan brukes til så mangt. I en lang twitter-tråd fra 31. juli til 6. august 2016 tok Ingvald Straume for seg hvorfor han tror (og håper) det er over og ut med Itslearning (og Fronter). Straume har også samlet hele tråden i et stort PDF-dokument som (kanskje) er enklere å lese.

Poengene hans er mange og gode, men samtidig er kritikken lengre, mer harselerende og brutal enn jeg ville valgt. Ikke det, og samtidig kanskje derfor, kritikken står på en måte i stil til deler av det den kritiserer. Kritikken hadde kanskje hatt en annen virkning om den var presentert i en mildere stil enn det han viser til at Itslearning gjør, som f.eks. hans tilsvar til Itslearnings tilsvar i Utdanningsnytt. Han om det – og jeg skal ikke stikke under en stol at jeg selv formulerer meg med baktanken om at ting sitter bedre når de er satt på spissen.

Jeg har tidligere i bloggen, i perioden 2011-12, kritisert Fronter og Its learning (og til en viss grad LMSer generelt) for å ikke henge med i timen og ikke ha gode løsninger på det skolen trenger, vel vitende om at jeg ikke ville nå frem – nettopp av de grunnene Straume lister opp. Det er ofte et misforhold mellom den som bestiller programvare til skolen og dem som bruker dem. Gjenklangen fra misfornøyde brukere når ikke opp. Samtidig er ofte disse misfornøyde brukerne de som virkelig kan drive ting videre på skolene og ikke den grå og litt tause massen som bare bruker det de må bruke. Det fører ikke til god digital utvikling i skolen.

En ting Straume ikke skriver særlig om er at de siste året har gratistilbudene til skolene fra Google, Microsoft og Apple tatt helt av gjennom at alle har sluppet ulike varianter av «Classroom». Gratis systemer som tar over det LMSene teknisk gjorde for skolene kombinert med IKT-løsninger som er så fleksible, teknisk overlegne og dermed overgår alt LMSene noensinne har klart å få til. Da kommer unektelig spørsmålet snikende – hva kan Itslearning (og andre LMSer) tilby skolene, som skolene er villige til å betale for? Samtidig med dette skjer det også ting med de skoleadministrative systemene til skolene. De blir også bedre, billigere og har flyttet opp i skyen. Der det tidligere var en mer brukervennlig kobling mellom f.eks. Itslearning og Sats Skole, slik at Itslearning ble i praksis en del av skolens SAS, er nå denne kobling unødvendig. Så igjen – hva kan Itslearning tilby, som skolene vil betale for?

Jeg tror også at flere og flere kommuner oppdager at Itslearning, og dets like, ikke løser de behovene skolene har (ut over SAS). Og hvis noen skulle finne på å spørre meg, så mener jeg at slik IKT-verden ser ut for skolene i dag er slike systemer unødvendig og faktisk i veien for god (digital) skoleutvikling. Skoler bør ha ett hovedsystem og noen nødvendige sidesystem, som ikke overlapper hverandre. I Randaberg er det GAFE, med alt det GAFE er, som er hovedsystemet og så er Visma FLYT Skole sidesystemet – fra lærernes og elevenes perspektiv. Da ville et LMS, i mellom dette, bare kommet i veien og laget rot.

Og så! Innlegget til Straume ble først gjengitt i sin helhet i Camilla Hagevolds glitrende blogg «Skolevegen» – og se hva som skjedde så i «Hva it’s Learning ville når de ringte«! Tenker at Itslearning nå må trø varsomt for ikke å la det gå troll i Straumes ord – personkonflikt eller ei.

Når instruksen ikke passer med virkeligheten

Jeg har tenkt litt etter besøket fra Datatilsynet. Egentlig skisserte Datatilsynet en håpløst situasjon i forhold til databehandleravtaler og internkontrolldokumenter, som kommunen må ha i orden for enhver skytjeneste/digital læringsressurs hvor en legger igjen personidentifiserbar informasjon.

Prøver meg på en liten liste over netttjenester en lett ber elever bruke i skolen, og som faller inn under personopplysningslovens krav:

  • Fronter, Google Apps for Education og itslearning + alle tjenester du kan koble, eller er koblet, opp til dem (her er listene til itslearningGoogle og Fronter (nederst på siden)).
  • Alle sosiale nettverk – Facebook, Google+, Twitter og faktisk også Wikipeida.
  • Alle FEIDE-tjenester (hvis eleven må logge seg på via FEIDE)! Bare for å ta en eksempel – på minstemme.no står det at du ikke trenger en egen avtale med leverandør, men det handler om å få tilgang til tjenesten. Du, som kommune,  ha en databehandleravtale og internkontrolldokumenter om du sier at elever skal bruke det.
  • Alle apper på iPad/Android/Win8 som lagrer og deler informasjon i skyen (bortsett fra innlysende skytjenester). Tenk litt over hvor mange apper på en iPad som bruke iCloud eller sin egen lagrings-/delingstjeneste på nett (f.eks. Doceri, Prezi, SlideShare osv).
  • Og som en oppfølging til punktet over – alle nettressurser som krever autentisering, f.eks. KhanAcademy.

Husk at grensen for når du skal ha en databehandleravtale og må lage internkontrolldokumenter med risikovurdering ikke er at skolen/kommunen offisielt bruker det – det er at en lærer ber elevene om å gjøre skolearbeid ved hjelp av en av disse tjenestene!

For å si det på en annen måte: Hvilke tjenester må du inngå en databehandleravtale med og lage interkontrolldokumenter til? Jo, alle digitale tjenester du ber elever bruke i skolen og som lagrer brukergenerert eller personrelatert informasjon et annet sted enn på skolen/kommunen.

Lovens (nesten) umulige krav
Først skal hver eneste kommune prøve å skaffe en databehandleravtale med tjenesteleverandør – og det er ikke selvsagt at tjenesteleverandør overhode er interessert i det. Det er ikke sikkert du får nrkskole.no (NRK) eller matematikk.org (UiO) eller minstemme.no (Senter for IKT) til å skjønne at du må det. Og så skal hver kommune/skole lage sine egne internkontrolldokumenter for hver tjeneste. Det sier seg selv at kvaliteten kommer til å variere fra kommune til kommune og skole til skole – uansett hvor mange kontroller som gjøres eller veiledere som lages. Det er så mye sky for tiden at det i praksis er umulig å ha klar sikt over alt.

Det er vårt ansvar som kommune/skole (dataeier) å ha gode nok kunnskaper om tjenesteyters (databehandlers) rutiner og systemer for å sikre våre data. Derfor skal vi ha en databehandleravtale med dem der dette formaliseres. I praksis betyr det at vi skal ha mulighet til å kontrollere hvordan databehandler lever opp til sine rutiner (og da må du jo vite om dem!). I tillegg skal dataeier gjøre en risikovurdering ut i fra hvilke opplysninger som lagres hos databehandler.

Og for å ta dette som et praktisk eksempel – vi bruker Visma FLYT Skole som skoleadministrativt system. Det er en skytjeneste. Vi har inngått en databehandleravtale med Visma, men vi har ingen oversikt over deres rutiner omkring sikring og tilgang til våre data (som f.eks. Google har for Google Apps). Siden vi ikke har den oversikten kan vi ikke vite noe om risiko knyttet til informasjonen vi lagrer hos Visma – vi må bare stole på at de har alt i orden. Det er ikke godt nok overfor personopplysningsloven. Den sier at vi skal ha denne oversikten og at vi skal gjøre en risikovurdering – og vi kan ikke gjøre det uten denne informasjonen. Nå vil jeg tilføye at vi skal få denne informasjonen fra Visma. De har den ikke klar enda, men skal lage den – fordi jeg har spurt etter den.

Så var det at vi skal ha anledning til å kontrollere at databehandler gjør det de sier i sitt rutineskriv/internkontrolldokument. Google har ordnet det med at en tredjepart kontrollerer og gjør resultatet av kontrollen tilgjengelig for dataeier. Dette aner jeg ikke om Visma gjør via tredjepart, eller om de kommer til å tillate meg (som kommunerepresentant) å kontrollere det selv. Men for kunne si at jeg som dataeier har god nok kontroll over dataene min, må en av disse to mulighetene være oppfylt.

Poenget blir at dette nesten er umulig å oppfylle for dataeier. En ting er å skaffe databehandleravtale – det har de store norske tjenestetilbydere rutiner på (også noen av de utenlandske). Men når en krever innsyn i rutiner for sikring og innsyn hos databehandler blir ting mye vanskeligere. Jeg tviler sterkt på at det bare er Visma og Conexus som per dags dato ikke kan levere fra seg noe som likner på det Google kan levere. Da blir det omtrent helt vilkårlig hvilken tjeneste som blir «forbudt». Alle tjenester som kommer i Datatilsynets søkelys vil falle igjennom – hos kommunen. Ingen kommune kan leve opp til kravet. Det ble Google Apps i Narvik, men Google har orden på tingene og kan dokumentere det (og gi den dokumentasjonen til kommunen). Hva med alle de andre skytjenestene som skoler rundt omkring i landet forventer at elever skal bruke for å utføre skolearbeid? Bare plukk ut en og sjekk om kommunen kan leve opp til kravet i personopplysningsloven.

Problemet er at vi ikke bare kan, eller bør, ønske personopplysningsloven vekk. Jeg liker den! Det er viktig at informasjon ikke flyter uten styring, og det er bra at vi har et Datatilsyn som passer på. Vi skal vokte oss vel for den regjering som vil sette Datatilsynet under politisk styring eller ønsker å fjerne det!

Et forslag til forbedring
Så hva gjør vi da? Det er en ting at det å følge personopplysningsloven i en digital tidsalder genererer hauger av dokumenter og rutiner. Det er verre at loven er mer eller mindre umulig å leve opp til. En lov ingen klarer å følge i praksis er en dårlig lov. Du kan ikke forby alle skytjenester i skolen. Det funker bare ikke. Den tid er allerede forbi.

Det beste jeg klarer å tenke ut er at ansvaret for å sikre at databehandlers behandling av data er god nok må vekk fra kommunen/skolen. Nå er det slik at hver kommune må lage sin egen avtale og sin egen internkontroll for f.eks. itslearning – selv om den i praksis kommer til å være identisk. Det må vekk fra hver enkelt kommune og over på en aktør.

Her er det flere mulige alternativer. Enten kan tjenesteleverandør få en «godkjenning» fra Udir/Datatilsynet gjennom en sertifisering som tjenesteleverandør kan vise til at de oppfyller (gjennom tredjepart). Eller Udir kan på vegne av utdanningssektoren lage internkontrolldokumenter og databehandleravtaler med tjenesteleverandørene. Det er en ulempe med dette alternativet, nemlig at da er det Udir som velger ut hvilke tjenester de vil godkjenne. Det er bedre om tjenesteleverandør kan få tredjepart til å bekrefte at de lever opp til standarder satt av Udir for tjenester levert til undervisningssektoren.

Da kan enhver i undervisningssektoren (som er en stor sektor) benytte tjenesten vel vitende om at de er innenfor lovens krav. Loven må nok endres litt for å få dette til, men det er jo blant annet det vi har Udir til :-)

Og om ingen sentrale personer tar fatt i dette får vi trø til med en kjent og velfungerende modell – vi deler det vi har sammen! I forrige innlegg på bloggen lovet jeg at jeg skulle legge ut internkontrolldokumentene for Google Apps for Education når jeg har fått revidert dem. Jeg lover også at jeg også skal utforme dem slik at andre skoler/kommuner lett kan gjøre dem til sine dokumenter. Kanskje vi kunne samle alle slike dokumentmaler ett felles sted? Da slipper kommuner som vil ta tjenester i bruk å finne opp kruttet på nytt når en jobber seg hjelpesløst gjennom utydelige veiledere.

Et hverdagsglimt…

Fra en kommune et sted i landet fikk jeg her forleden et kjent glimt av hvordan det er å være IKT-mann i skole. Skolefolk med IKT-kompetanse og gode ideer hadde jobbet frem gode IT-løsninger for skolen, og ble i møte med rektorene som ønsker en LÆRINGSPLATTFORM (ja, med store bokstaver) avskrevet med at det de drev med var «pjatt». Og i stedet for noe de kunne hatt et godt eierforhold til, og som kunne gitt bedre og mer strømlinjeformede løsninger, ender de opp med Fronter. Ikke det at det er noe direkte galt med Fronter (bortsett fra den drepende kritikken om universell utforming), men det finner bedre og mer spenstige løsninger… og da snakker jeg ikke om itslearning ;-).

I møtet med rektorers «De andre har det», som betyr «Vi må også ha det!», er det lite en kan stille opp med. Hva «det» er kan variere en del, men dette er noe som ofte skjer når en snakker om læringsplatformer. Hvorfor «må» vi ha Fronter (eller itslearning)? Jo, fordi «de har det». Om «de» i denne sammenhengen er en annen skole, en annen kommune eller noen andre ett sted i Norge er uviktig. En variant av dette argumentet er at «vi må velge det, fordi alle andre bruker det». En dårlig løsning blir ikke bedre om alle andre bruker den. Og ja, mange kan enda opp med «feil» system, fordi de som velger ofte ikke er de som skal bruke.

Et fri programvare-triks jeg er glad i er rett og slett å installere et annet LMS (f.eks. Moodle) på en tjener i kommunen/skolen og begynne å bruke det. Det er vel nesten det en kan kalle «diruptive» / forstyrrende metode, og du kan bli ansett som litt uhøflig fordi du ikke følger «vanlige» måter å gjøre ting på. Men det er nesten den eneste måten det er mulig å løfte frem fri programvare-prosjekter på. Kommersielle løsninger har ofte aktive selgere som springer villig rundt på skolen for å skryte av hvor sykt godt produkt de har – og alle utfordringene det løser (som ofte ingen har savnet). Fri programvare-prosjekt har ingen slike selgere, rett og slett fordi du stort sett ikke trenger å betale for å ta i bruk fri programvare-løsninger. Selvfølgelig finnes det fri programvare-prosjekt som har selgere og som du må betale for å bruke (f.eks. RedHat og moodle.com er fri programvare du må betale for), men de er på langt nær så interessert i å «selge seg» til markedet som andre rene kommersielle aktører med lukkede løsninger. Men dette er jo også en av fordelene med fri programvare – du kan ta dem i bruk uten å måtte betale noen for det!

Jeg må føye til et nytt punkt i Odins lille katekisme – #6: «Det er alltid noen som er misfornøyd med gjeldende løsning – uansett!». Velger du itsleaning er det noe som er galt og det samme gjelder Fronter, Moodle, Google Apps, Moava, PedIT osv. Ingen løsning løser alt slik alle vil det. Allikevel er noen løsninger er mer fremoverlent i det å skyve bruk av IKT i den retningen ting utvikler seg, mens andre sitter fast i gamle former og løsninger. Og for å si det litt stygt – om en rektor, som ikke har peiling på data, liker en løsning fordi rektoren synes den virker snedig og bra, er det kanskje på sin plass å stille et par spørsmål om hva og hvorfor. Som jeg har skrevet om tidligere er jeg langt i fra sikker på om et LMS er rett vei å gå i utgangspunktet for skolene. Det finnes bedre løsninger der ute på nettet, men det krever litt mer planlegging og tankekraft enn å si at «vi må ha det, fordi de har det». Det skumle skoleledere må gjøre er å stole på erfarne IKT-folk i skolemiljøene og trekke dem med i prosessene når de skal lage en IT-plan for årene som kommer. Ikke fall for selgeres tilsynelatende enkle løsninger – og så får IKT-folkene i skole våge å vise frem det de faktisk tror er de gode løsningene for skolen, enten noen vil se dem eller ikke…

Og til slutt… Artikkelen i engelsk Wikipedia om «Learning Management Systems» er slett ikke verst om at et LMS har lite med læring å gjøre…

Certain learning tasks are well suited for an LMS (centralized functions like learner administration and content management). Learning itself is different – it is not a process to be managed. Learning is by nature multi-faceted and chaotic. Organizations that now lock into enterprise-level systems will be able to do an excellent job of delivering courses. They won’t, however, be positioning themselves well for informal learning, performance support, or knowledge management. The concept is simple: one tool can’t do it all without losing functionality. The more feature-rich an individual tool becomes, the more it loses its usefulness to the average user. Connected specialization, modularization, and decentralization are learning foundations capable of adjusting to varied information climate changes.