Samtykke og samtykke og frivillighet

Ehh… feil samtykke… fnis…

Hvem skal samle inn samtykke når elever skal bruke digitale tjenester som behandler personopplysninger? Spørsmålet høres kanskje banalt ut, men siden jeg nå begynner innlegget med dette spørsmålet så er det vel kanskje ikke det ;-)

I skoleverden er samtykke et ord som dukker opp med jevne mellomrom og som nå i forbindelse med personvernforordningen (GDPR) er høyaktuelt. I GDPR knytter det seg til spørsmålet om lovlighet, altså med hvilken rett du har lov å behandle personopplysninger.

I artikkel 6 i GDPR finner du de ulike kriteriene for lovlig behandling av personopplysninger. Overfor elever er det i praksis punkt 1a) om samtykke og punkt 1c) om lovpålagt oppgave som er de to mulige grunnene for lovlig behandling. Hvis du skal behandle personopplysninger i skolen må du altså enten begrunne det i lovpålagt oppgave, f.eks. Opplæringsloven § 2-3 eller § 13-ett-eller-annet, eller så må det være ved samtykke fra eleven / foresatte. Bruk av de fleste digitale læringsressurser og verktøy kan du definere som lovpålagt oppgave med henvisning til § 2-3. Da trenger du ikke samtykke for å si at elevene kan, eller skal, bruke dem. Om du må bruke samtykke kan selvfølgelig eleven si nei – og da har du ikke lov å bruke personopplysningene til det formål du ønsket.

Poenget er at valg av punkt 1a) eller 1c) i artikkel 6 i GDPR bare sier noe om lovligheten i behandlingen av personopplysningene – at du har lov til å behandle dem. Det er to ulike begrunnelser for å ha lov til å gjøre det samme. Når du har lov er det revnende likegyldig hvilket punkt du brukte. Om du definerer det i lovpålagt oppgave eller har samlet inn samtykke har du et ansvar for at behandlingen av personopplysningene foregår på en korrekt måte. Dette ansvaret følger retten til å behandle opplysningene. Hvis du setter ut behandlingen av personopplysningene til en databehandler, er det det et krav i GDPR at du må ha en avtale med denne slik at du kan sikre at behandlingen foregår på rett måte.

Hvis du vil unngå å ha ansvar for behandlingen må du gjøre noe annet. Da må det du ber eleven om må gjøre være frivillig og et eventuelt samtykke til bruk av personopplysninger må gjøres mellom den enkelte elev og den eksterne tjenesten. Altså er skolen helt ute av loopen! Men frivillighet i skole er ikke enkelt. Frivilligheten skal være reell. Eleven skal ikke på noen måte føle seg presset og det skal ikke på noen måte gå ut over eleven om de ikke ønsker å være med. Elever må kunne si «nei» uten at det blir et problem på noen måte – hverken praktisk, emosjonelt eller sosialt. Jeg håper at de fleste lesere av bloggen ser at dette kan være en utfordring i skolen.

Tommelfinger-regelen blir da – Om du bruker artikkel 6 1a) eller 1c) fra GDPR er revnende likegyldig, bortsett fra at elevene kan si nei til et eventuelt samtykke. Skolen har fremdeles ansvar for hvordan personopplysningene blir brukt. Hvis du pålegger elever å lage en konto hos en tredjepart / databehandler må du begrunne det med artikkel 6 punkt 1c) og du er ansvarlig for hvordan databehandler bruker personopplysningene. Om samtykke samles inn av skolen, sitter skolen med ansvaret for bruk. Om samtykke samles inn av tredjepart/tjenesten, sitter tredjepart med ansvaret – men da må bruken for eleven sin del være frivillig.

Hvis du tror at det å samle inn samtykke til skolen løser behovet for en databehandleravtale – så tar du altså feil. Du kan ikke bruke samtykke for å slippe å ha en databehandleravtale. Da må du over på frivillighet.

Så… praktisk anvendelse i klasserommet – hvis du vil at elevene skal bruke https://bookcreator.com (eller denne eller denne eller denne osv…) må du først bestemme deg for om det skal være frivillig eller ikke. Er det ikke frivillig kan du bruke GDPR artikkel 6 punkt 1c) med henvisning til § 2-3 i Opplæringsloven, som begrunnelse for å behandle personopplysninger. Du må også ha en databehandleravtale med Bookcreator og gjort dine vurderinger etter GDPR for å leve opp til det ansvaret du har for behandlingen av personopplysningene.

Hvis det er frivillig må elevene lage konto hos Bookcreator frivillig og samtykke til Bookcreators betingelser – overfor Bookcreator. Disse elevene kan bruke tjenesten i faget ditt. De andre kan ikke. Så det så…

PS! Dette er en del av en tenkt tankerekke til NKUL seinere i år :-) Alle kommentarer mottas med hjertelig takk!’

Nye opplysninger 22. april 2018 – Bookcreator har nettopp gjort alle nødvendige endringer for å være innenfor GDPR! Nå kan du enkelt få tak i de opplysningene du trenger for å bruke Bookcreator innenfor § 2-3.

Hvem bryr seg? Egentlig ingen…

Hvem bryr seg egentlig om personvernreglene (utenom Datatilsynet)? Ingen.

Personvernutfordringen min til deltakere på NKUL var ikke akkurat en suksess. Ingen la noe inn på skjemaet, bortsett fra en leverandør som skrev om seg selv og lurte på om de var «innenfor» :-). Selv snakket jeg med et par leverandører. Den ene ble tilfeldigvis itslearning, ikke fordi jeg aktivt oppsøkte dem, men fordi jeg gikk forbi og salgs- og markedssjef Trond Skeie sa «Hei!». I følge ham hadde de faktisk hatt et møte rett før NKUL om poengene i utfordringen min. De hadde ikke noe godt svar på hvordan de skulle vise meg at de gjorde det som stod i kontrakten – men de var på saken (som de så ofte er). Og at de ikke hadde slettet Fronter og itslearning-kontoene til Randaberg kommune var en glipp. Sikkert :-)

Det forrige innlegget på bloggen min om reelle utfordringer ift personvernrelgene laget ingen utslag i bloggloggen min i det hele, ut over bakgrunnstøyen. Altså er det i praksis ingen som har lest den. Dette har jeg sett før – ting jeg synes er viktig (og som jeg synes jeg jobbet litt med) synes andre ikke er viktig i det hele, mens helt banale ting kan ta helt av :-)

Selv har jeg konkludert med at vi egentlig ikke bryr oss så veldig om personvernutfordringer. Et visst engasjement finner du når noen vil kritisere tjenester de likevel ikke liker/bruker, men blikket på egen praksis kan ofte være nokså sløvt – hvis du ikke tar deg selv i nakken og våger å ta et utenfra-perspektiv på egen praksis. Du fremstår lett som en gledesdreper hvis du virkelig vil holde god standard på bruk av personopplysninger i skolen. Likevel mener jeg det er nødvendig og av og til si «nei, dette må vi se på først» før en trør i gang nye tjenester. Utfordringen er kanskje mest å få overordnede til å godta at dette tar tid – og at ingen har brukt så mye tid på dette før.

Vi har et eksempel på dette i Randaberg kommune for tiden. Sentrale personer i kommunen har oppdaget det nye personverndirektivet som trer i kraft mai 2018 og det ble skrapt sammen et møte med sentrale personer fra de ulike områdene i kommunen. Det ble raskt tydelig at få hadde tenkt og det gjenstår et godt stykke arbeid for at kommunen skal være innenfor de nye reglene innen mai 2018. Ikke det at kommunen har dårlig praksis. Jeg tror det meste er rimelig ok, men det er det som er problemet – jeg tror. Det er ikke gjennomført risikovurderinger og gjennomganger av disse for hverken lokale eller eksterne tjenester – bortsett fra i skolen. Selv om vi i skolen også har ting som kan være bedre ligger vi et hestehode foran.

Men om jeg legger ned en masse arbeid i å skaffe nødvendig bakgrunnstoff, lager internkontrollskjema og utforme databehandleravtaler med alle løse skytjenester – kommer det til å bety noe i praksis? Kutter vi ut AskiRaski, Brettboka, Klassetrivsel.no, M+ osv. hvis de ikke vil/klarer å levere oss nødvendig bakgrunnstoff slik at vi kan lage et internkontrollskjema og en databehandleravtale som er god nok? Jeg tviler både på at noen med makt og myndighet kommer til å gjøre det – eller at de ulike tjenestene kommer til å endre praksis. De store aktørene tar grep, fordi de må. Visma, IST, Microsoft, Google, kanskje til og med Apple kommer til å legge ting tilrette – mest fordi de konkurrerer mot hverandre og en tjeneste som ikke er tilpasset de nye personvernreglene kommer til å ha en reell ulempe i konkurranse med de andre.

Men hvorfor bryr vi oss ikke? Hvorfor synes vi ikke det er viktig å følge akkurat disse lovene? Mitt tipp er at det er fordi det kan være komplisert å forstå omfanget av digital informasjon på ville veier og at endringer kan være omfattende (og da en god del arbeid både teknisk og i organisasjonen) – og vi må kanskje også gjøre en del IKT-tjenester mer tungvindt å bruke. Enkelt og praktisk er ofte ikke særlig sikkert. Resultatet er en form for apati – ingen vet helt hvor de skal begynne. Endringene er for uoversiktlige og omfattende.

Ta f.eks. opptaket til videregående skole som jeg skrev om i forrige blogginnlegg. Hva om VIGO ikke vil gjøre noe – at de ikke gidder å lage noen avtale med oss i kommunen. Hva skal vi gjøre da? Nekte å overføre data til dem? Hvem går det ut over? Jo, elevene. Og hvem får skylden? Garantert vi på skolekontoret i grunnskolen. Hvem er motivert for å endre praksis? Eller for å si det mer pedagogisk – hvem eier problemet?

Og en ting til – det er slitsomt å tenke på at hver kommune sitter for seg selv med disse utfordringene. Vi i Randabergskolen har antakeligvis like mange ulike skytjenester (og interne tjenester) som Stavangerskolen, Gjesdalskolen, Trondheimskolen og [tenk-på-en-liten-kommune]skolen. Store kommuner har kanskje bedre ressurser til å lage disse planene (og presse tjenesteleverandør) enn små kommuner, men vi skal alle og enhver lage hver våre egne avtaler og internkontrollskjemaer. Hvordan kan vi lette og kvalitetssikre dette arbeidet for kommunene – altså hvordan kan vi samarbeide om dette? Kan vi ikke lage oss en «infobank»/en wiki med internkontrollskjemaer, RoS-analyser og bakgrunnstoff fra tjenesteleverandør og gjøre dette på en dugnad slik at vi alle slipper å finne opp kruttet hver på vår tue av varierende størrelse?

Og til ettertanke for alle som jobber i Randaberg kommune – sjekk ut lenken https://hrm.randaberg.kommune.no. Ikke så spennende, ser det ut til. Det er her vi søker om ferier, finner lønnsslipper, leverer egenmelding, fyller ut reiseregninger osv. Men hva om en annen hadde brukernavn og passord til en ansatt i Randaberg kommune? Jeg har levert en avviksmelding på denne tjenesten og den lyder:

Beskrivelse
Det er mulig å logge på https://hrm.randaberg.kommune.no fra et åpent Internett (altså fra hvor som helst i verden). Pålogging er enkelt brukernavn og passord. Det er da mulig å få tilgang til sensitive personopplysninger, mest knyttet til helse (egenmeldinger / fravær), men også andre personlige opplysninger om f.eks. ektefelle og barn, søknad om jobb, ferier, reiseutgifter osv. Det er også mulig å få tak i lønnsslipper med alt det dette inneholder av personlige opplysninger.
Konsekvenser av hendelsen
Andre kan rimelig enkelt få tilgang til ansattes helseopplysninger og andre svært private opplysninger.
Forbedringsforslag
Innføre sterk autentisering på nettjenesten eller legge tjenesten bare tilgjengelig via intranettet i kommunen (altså at du må være på en jobbmaskin for å få tilgang eller logget på via Citrix – som har sterk autentisering).

Blir spennende å se hva som skjer. Det er tungvint, men mer korrekt…

I gråsonen av (de nye) personvernreglene

De nye personvernreglene kommer i mai 2018 og alle kikker nervøst igjennom systemene hvor de lagrer personopplysninger – og med god grunn. Vi gjør dette i Randaberg kommune også – og så langt kan skolen klappe seg selv på skulderen. Vi er langt fra i mål i skolen heller, men vi vet hva vi ikke har på plass. Og nei, det er ikke GSuite for Education som ikke er på plass. Det er alle de «løse» FEIDE-tjenestene vi sliter med. I denne jobben har jeg oppdaget et par tjenester som lagrer mengder av personopplysninger hvor jeg ble veldig usikker på hvilken ansvar vi i kommunen egentlig har.

Tjenestene jeg tenker på et Udir sitt PAS- og PGS-system og fylkeskommunens VIGO-system (opptak til videregående skole). Det som er utfordringen er at dette er systemer hvor henholdsvis Udir og fylkeskommunene er behandlingsansvarlig for personopplysningene de behandler. Udir og fylkeskommunen er ikke databehandler på vegne av kommunen. Den enkelte kommune har ikke noe behandlingsansvar. Dette er de helt tydelige på selv, så det er ikke noe utfordrende akkurat der.

Men… (den måtte komme) til tross for dette er det kommunen/skolen som overfører all informasjon inn i disse systemene slik at Udir og fylkeskommunene har noe å jobbe med. I PAS/PGS legger vi inn elevnavn, gruppetilhørighet og personnummer for Udir. Så er det også vi i skolen som får elevene til å fylle systemet med data gjennom nasjonale prøver, elevundersøkelsen og eksamen. Jeg tok kontakt med Udir og fikk gode svar. De har internkontrollskjema for alle tjenestene og deler dem gjerne. I disse skjemaene kommer det frem at Udir regner overleveringen/innsamlingen av data som et lovpålagt krav for å oppfylle pålagte plikter i opplæringsloven. Kommunen har en rolle som Udirs forlengede arm og gjør en pålagt (ikke-frivillig) oppgave for Udir. Elevene (og kommunen) står derfor ikke fritt til å stå over de ulike prøvene til Udir. Dette er lovpålagte undersøkelser og prøver – og det er et viktig poeng til neste avsnitt.

I VIGO er ting annerledes. Der supplerer kommunen fylkeskommunen med elevnavn, personnummer, karakter 1. termin og standpunkt- og eksamenskarakterer for elever på 10. trinn. Det gjør vi 3 ganger i løpet av skoleåret og det er så standardisert at det er integrert i de skoleadministrative systemene…

VIGO/Fylkeskommunene bruker de ulike rapportene til å forberede opptakssystemene (VIGO1), gjøre en grovsortering (VIGO2), tror jeg, og så en endelig fordeling (VIGO3). Det er en veldig viktig forskjell mellom PAS/PGS og VIGO – det er frivillig om du vil søke på videregående skole og vi overfører denne informasjonen uten å spørre eleven om det er greit. Eleven har ikke søkt på videregående skole og likevel laster vi mengder av data over til VIGO (VIGO1 og VIGO2) – bare fordi det er den mest praktiske måten å gjøre det på (for fylkeskommunen).

Jeg kan komme med noen spørsmål som kan vise det problematiske i at all informasjon om alle elever blir overført til VIGO automatisk. Det finnes elever som bare søker på private videregående skoler og utenlandske videregående skoler og er dermed aldri en del av VIGO-systemet. Hvorfor skal VIGO ha informasjon om disse elevene? Eleven har ikke søkt. VIGO trenger ikke informasjonen. Kommunen overfører den likevel Samme hva VIGO bruker det til – de trenger den ikke. Dette er et brudd på en del allerede eksisterende regler og det er vi i kommunen som utfører det!

Og hva med karakterene fra 1. termin på 10. trinn. Dette er mengder med elevinformasjon VIGO ikke trenger for å ta elever opp til videregående skole og den blir overført før elevene en gang har søkt. Og når du ser alle karakterer for en elev samlet under ett kan du enkelt danne deg et rimelig korrekt bilde av hvem denne eleven er (i grove trekk). Hva bruker VIGO denne karakteren til? Er det er et pre-opptak? En måte å forberede videregåendeskolene på hvordan fordelingen kommer til å se ut? Er det for å teste VIGO-systemet før de ordentlige dataene kommer? Blir disse karakterene slettet? Henger dette med elever i etterkant – også elever som slutter på videregående skole eller som aldri søker?

Kan jeg som kommune nekte å overføre alle disse VIGO-rapportene til fylkeskommunen? Vi har ingen avtale om at vi må. Siden vi ikke har en avtale er dessuten kommunen ansvarlig om fylkeskommunen bruker dette til feil ting. Det er ikke kommunens ansvar å fortelle fylkeskommunen om navnet på elevene som kanskje kommer til å søke på videregående skole. Det må de samle inn selv fra andre offentlige kilder (f.eks. folkeregisteret). Eller…?

Jeg hadde i forkant tatt en prat med Datatilsynet og de påpekte at en slik overføring av personopplysninger måtte være hjemlet i lovverk eller formulert i en avtale mellom kommunen og fylkeskommunen. Dette er ikke hjemlet i lov og det finnes ingen slik avtale – så her stod vi på bar bakke. Neste punkt var å sende denne utfordringen til VIGO-eier fylkeskommunen, som hos meg er Rogaland. De tok ballen, sendte den rundt fra kontor til kontor til den til slutt landet på kontoret til en jeg kjente. Han tok en telefon for å finne ut hva jeg egentlig tenkte på og vi ble raskt enige om at behovet er legitimt. Han hadde heller ikke villet overføre denne mengden med informasjon til noen uten en avtale – og han skal spille ballen videre hos dem.

I samtalen kom det frem at det er noen utfordringer knyttet til overføring av informasjon og avtaler. Kort fortalt vil alle fylkeskommuner kunne bruke informasjonen Randaberg kommune laster opp, fordi elever kan søke på skoler i andre fylker. Og når alle kommuner og fylkeskommune er selvstendige juridiske enheter må altså alle (19) fylkeskommuner ha avtale med alle (426) kommuner… og der passerte vi rett over i noe nokså uhåndterlig (8094 avtaler!). Kanskje dette kan gjøres enklere med at organisasjonen VIGO har avtale med den enkelte kommune? Det får noen andres jurister tenke på.

Det er selvfølgelig mulig å lage systemer for dette i grunnskolen. Vi spør alle elever/foresatte om de godtar en overføring av aktuell informasjon til VIGO, eventuelt i forkant av søkeprosessen, og om de ikke frivillig gjør dette må elev/foresatt selv sende inn godkjent kopi av vitnemål til fylket de søker skoleplass i. Så må vi i kommunen ha rutiner for å ikke få med disse elevene i VIGO-eksporten – noe vi sikker kan ordne sammen med Visma i det skoleadministrative systemet. Tungvindt, men korrekt.

Til deg som skal til NKUL – blir du med på en liten dugnad?

Blir du med på en dugnad på NKUL om skytjenester og sikring av personopplysninger som kan bli riktig spennende om mange blir med? Først vil jeg si at dette gjør jeg ikke for å lage dårlig stemning eller henge ut noen. Jeg gjør det fordi jeg faktisk lurer og fordi skytjenester og personopplysninger unektelig er i vinden for tiden. Selvfølgelig kunne jeg gjort det helt selv også, men det er mye enklere (og kjekkere) om flere blir med.

Gangen i det er – blant utstillerne på NKUL velger du et én tilbyder av en eller annen form for skytjeneste. I en hyggelig og høflig interessert tone klemmer du inn disse spørsmålene:

  • Hvor blir brukerdata lagret?
  • Hvordan sikrer dere brukerdata vi lagrer hos dere?
  • Sletter dere alle brukerdata når vi eventuelt sier opp avtalen hos dere?
  • Hvordan kan jeg vite (altså sjekke) at dere gjør det du nettopp har fortalt meg?

Det siste spørsmålet er det vanskelige spørsmålet – hvordan vet jeg at du som leverandør faktisk gjør det du lover i databehandleravtalen / kontrakten? Jeg, som behandlingsansvarlig, kan ikke bruke deg som databehandler uten at jeg faktisk kan sjekke dette. Hvordan vet jeg om du bryter kontrakten eller ikke, om jeg ikke kan kontrollere det på en eller annen måte? Og hvordan gjør vi det? Får jeg komme på besøk selv for å sjekke sjekke rutinedokumenter, risikoanalyser, avviksrapporter og serverrom? Eller har dere en uavhengig tredjepart som sjekker dette og får jeg lese rapporten deres? Eller om dere gjør dette selv – får jeg lese disse rapportene?

Bare for å ta et eksempel – tilbyder sier at alt blir lagret på deres tjenere. Hvis de med dette mener virtuelle tjenere hos Amazon AWS (eller Microsoft Azure) er dette noe helt annet enn tjenere i kjelleren i kontorbygget deres. Og selv om de sier at det er på lokale tjenere i kjelleren – hvordan kan jeg kontrollere at de ikke bruker Amazon AWS likevel?

Hvis du så etter beste evne fyller inn svarene du fikk i dette skjemaet (gjerne sjekk skjema på forhånd) – lover jeg at jeg skal blogge om svarene som har tikket inn. Selvfølgelig har du lov til å snakke med flere og sende inn flere skjema…

Er du med? :-)

PS! Jeg synes jo også at de som står på utstillingene for ulike tjenester bør kunne svare på deler av dette – igjen fordi skytjenester og personopplysninger er et stadig aktuelt spørsmål.

13-års aldersgrense og samtykke fra foreldre

Dette er en liten oppfølger til blogginnlegget mitt om «Google sine krav og Norges lover«. Spørsmålet om Google kom til å kreve foreldres godkjenning selv om norsk lov ikke krever det, ble hengende i løse luften. I etterkant av innlegget ble det en liten dialog med Googles europeiske lovavdeling og dette ble det kortet svaret:

The crucial statement here is that schools can obtain parental consent in accordance with the laws of their jurisdiction. If your local law relieves you from obtaining parent/guardian consent, we don’t have intention to enforce the obligation to obtain consent per our standard ToS.

(De skal også gjøre endringer i ToSen hvor dette også kommer frem.)

Og for å være helt presis – ja, det finnes et sted i Personopplysningsloven som spesifikt sier at vi ikke trenger foreldres (eller elevens) positive samtykke. Det er § 8 med underpunkt b som trer i kraft i skolen.

§ 8. Vilkår for å behandle personopplysninger
Personopplysninger (jf. § 2 nr. 1) kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for
b) at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse,

Den behandlingsansvarlige er da skoleeier (kommunen) og den rettslige forpliktelsen som skal oppfylles er Opplæringslova § 13 – å drive grunnskole. For å begrunne bruk av Google sine tjenester kan du f.eks. vise til Opplæringslova § 2-3 som pålegger skolen å undervise i fag (etter mål i læreplanen), hvor da skolen må definere inn GSuite for Education som en del av dette tilbudet.

Og når kommunen er behandlingsansvarlig trenger skolen ikke samtykke, men det påligger da kommunen å sikre at personopplysningene behandles i tråd med personopplysningsloven. Og personopplysningsloven sier at når behandlingsansvarlig ikke er databehandler må behandlingsansvarlig sikre at databehandler følger personopplysningsloven (og en databehandleravtale kan være en god måte å sikre dette på). Og vil du vite mer akkurat dette kan du sjekke ut presentasjonen med kommentarer i blogginnlegget «Livet er en pussig ting» fra 2015.

Poenget er – en skole trenger ikke samtykke for å lagre personopplysninger i en skytjeneste, så lenge skytjenesten er brukt som en del av opplæringen. Samtidig fratar dette ikke skolen ansvar for å følge Personopplysningsloven – tvert om faktisk.

Faktisk løser dette hele EFFs kritikk mot Google (og andre skytjenester), som rett og slett ikke treffer helt her i Norge på grunn av dette. Del 1 handler om utfordringer rundt foreldres informerte samtykke. Kritikken handler mye om at foreldre må gi samtykke og det er ikke alltid at dette samtykke inneholder alle detaljer. Dette er en utfordring i USA der foreldre  gi samtykke til slike tjenester før en skole kan bruke dem. Hvis du da ikke husker å spørre om at det som kan være aktuelt, er det ikke vanskelig å finne noe å kritisere i etterkant.

Del 2 i rapporten om handler amerikansk lov og den er nokså ulik norsk lov. I Norge har vi Personopplysningsloven og Datatilsynet som passer på at både offentlige institusjoner og private bedrifter følger loven. Del 3 konkluderer de egentlig med at det hadde vært fint om de i USA hadde hatt en lov som liknet en del på den norske Personopplysningsloven.

Så da er det jo bra at vi har den ;-)

Google sine krav og Norges lover

2016-09-12-08_07_03-administrasjonskonsollNå tenker jeg du ble interessert ;-)

Den siste uken har flere kommuner kommentert at et tydelig varsel (se bildet til høyre) dukker opp når de vil skru på tjenester i Google Apps for Education som ligger utenfor GAFE-avtalen, f.eks. Maps, Blogger og YouTube. Dette er i seg selv ikke noe nytt og helt greit. Blogger, i dette tilfelle, har andre vilkår enn GAFE, så det skulle bare mangle at vi må tenke nøye igjennom ting og lage oss en egen risiko- og sårbarhetsanalyse om vi vil gjøre pålogging til Blogger tilgjengelig for elevene.

Utfordringen kommer når Google krever positivt samtykke fra foresatte for elever under 18 år.

Det er ikke det praktiske som er problemet. Det er lett å lage et skjema og sendte det ut til alle foreldre. Og siden foreldre kommer i alle varianter vil vi alltid vil få noen som svarer “Nei” og noen som aldri svarer (som da ikke gir oss et positivt samtykke).

Du sitter da med to mer eller mindre uoverkommelige hindringer. Den tekniske hindringen er at alle elever ligger mer eller mindre i samme OU i GAFE, fordi det synkroniseres opp AD / SAS. Da er det teknisk vanskelig å skru på en tjeneste for en gruppe med elever og ikke skru den på for andre elever i klassen eller på trinnet. Den pedagogiske hindringen er at om hele klassen utenom én elev har svart positivt kan læreren ikke lage et opplegg der f.eks. hele klassen bruker Google Maps til å lage turløyper i lokalmiljøet og der den ene eleven sitter og gjør noe annet. Et samtykke til slike ting i skolen må, etter Datatilsynets syn, være informert og reelt frivillig. Det betyr at det ikke skal oppleves som et press eller at det skal gå ut over eleven på noe vis om en svarer negativt.

Men det er hvis vi skal gjøre det på Google-måten. Inn spaserer så Norges lover og gir oss muligheten til å bestemme en masse ting i norsk skole uten å spørre foreldrene om tillatelse. Skolen har fått et mandat fra Stortinget, altså folket, til å drive skole. Det er både en skoleplikt og -rett i Norge. Kommunen er pålagt å drive grunnskolen og kan ut fra dette pålegget si at det er ting skolen må gjøre for å oppfylle dette kravet. Her er det Personopplysningsloven kommer inn, fordi vi trenger å samle inn personopplysninger for å drive skolen. Vi trenger en masse personalia for både elev og foreldre, vi trenger å samle inn elevarbeider, skrive tilbakemeldinger, lagre fravær osv. Personopplysningsloven krever at vi begrunner behovet for å samle inn og lagre disse personopplysningene og det er vanligvis § 13-1 og § 2-3 i Opplæringsloven vi viser til da. Dette må vi gjøre uansett om denne informasjonen er nedtegnet på papir eller lagret i en datamaskin!

Om vi så velger å ta i bruk skytjeneste X er det ingenting som bli annerledes. Vi trenger ikke å spørre foreldrene, så lenge vi som skole mener vi trenger å bruke tjeneste X for å utføre mandatet vi har fra Stortinget og at vi har orden på at de personopplysningene vi legger i X blir behandlet på rett måte. Og det er her Personopplysningsloven kommer med en del krav. Vi må kunne lage et dokument som sier noe om…

  • Hva samler vi inn av personopplysninger til tjenesten? (§ 14 og § 28 i Personopplysningsloven)
  • Hvorfor samler vi det inn? (at vi har bruk for informasjonen – § 8)
  • Hva skal vi bruke det til? (at vi ikke bruker dem til noe annet enn det vi samler dem inn for – § 11)
  • Hvordan sikrer vi opplysningene vi lagrer? (§ 13)
  • Hvordan sikrer vi (rett) rett til innsyn? (§ 18)
  • Hvem deler vi hvilken informasjon med? (§ 19 og § 20)
  • Hvordan informerer vi om hvordan vi samler inn og bruker informasjonen? (§ 19 og § 20)
  • Hvordan retter og sletter vi informasjon? (§ 27 og § 28)

(Her må du også bytte ut «vi» med «tjeneste X».)

Bare så det er sagt – dette må vi gjøre uansett om vi har satt ut behandlingen av dataene til en ekstern databehandler eller ikke! Så må vi også ha på plass en risiko- og sårbarhetsanalyse knyttet til tjeneste X (ut fra svarene vi får på spørsmålene over) og til slutt en konklusjon om tjeneste X er innenfor rimelige krav ut i fra hva den skal løse. Og hvis den er innenfor kan vi bruke den i skolen uten å spørre foreldrene om lov. Vi skal informere, men trenger ikke spørre om lov.

Det er dette vi gjør med tjenester som Visma FLYT Skole, Salaby, VOKAL, itslearning… bare tenk på hvilken som helst norsk skytjeneste. Så når Google skriver

Just like other cloud-based educational tools, Google Apps for Education requires that schools obtain parental consent for any Additional Services they allow students under the age of 18 to use.

…så stemmer ikke dette for Norge.

Kortutgaven er – I Norge trenger vi ikke foreldres velsignelse, om bruken av det skybaserte utdanningsverktøyet er definer som en del av opplæringen i skolen. Da får skolen ansvaret for å vise at den informasjonen vi samler inn i skytjenester en nødvendig og at behandlingen av den følger intensjon og lov. Om noe da skulle gå riv ruskende galt fordi vi bruker tjenesten er det uansett skolen/kommunen som i utgangspunktet har ansvaret (ikke eleven eller foreldrene).

great_seal_of_the_united_states_obverse-svgMen Google sin avtale krever noe annet (se punkt 2.5 og 10.1). Med utgangspunkt i den amerikanske COPPA-loven krever Google individuelt samtykke fra foreldre (som kan dokumenteres). Så hvordan forholder vi oss til dette? Kan Google godta at vi i Norge ikke er underlagt COPPA-loven, men har andre lover som sikrer elevenes (og alle andres) personopplysninger? Kan Google godta at vi gjennom mandatet vi er gitt fra Storting / folket / loven kan opptre på vegne av foreldrene når vi bruker Google sine skytjenester, slik vi gjør i alle andre sammenhenger? Vi er selvfølgelig pliktig å ha alle papirer på stell og vi blir kikket i kortene når vi får tilsyn både av Fylkesmannen og Datatilsynet på disse sakene.

Og bare for å toppe det hele – egentlig skal vi ha samtykke fra foreldre for elever under 13 år, hvis de skal bruke GAFE, men det er det ingen som gjør (unntatt Humanistskolen ;-). Så vi er allerede ute og kjører i forhold til Googles egne krav.

Vi kan jo bare gi blanke i dette, ha alle papirer i orden som kommune og overse kravet fra Google. Google kommer sikkert ikke til å sjekke det eller bry seg særlig om det. Men det er ikke slik vi kan gjøre det om vi vil være ordentlige og profesjonelle – og det vil vi. Dette er den lille humpen i som kan velte det store lasset, og vi vil heller ikke bli tatt med buksene nede. Det er for viktig til det.

Bare så det er sagt – vi bryter ikke norsk lov. Vi bryter ikke amerikansk lov. Vi bryter kanskje Googles betingelser for bruk av tjensten, siden de krever at vi skal følge betingelsene i COPPA-loven.

Siden jeg nå er leder for GEG Norway tok jeg kontakt med Google Norge for å se om dette var noe de kunne gjøre noe med. De tok ballen umiddelbart og jobber nå med finne en løsning – både i Google Norge og Googles lovavdelinger i Europa og USA. Blir spennende å se om de finner en løsning. Uansett er det kjekt at en liten stemme i et lite land blir lyttet til…

Oppdatering 18. september 2016 – Her er FAQ fra Google om COPPA og GAFE og her er FAQ fra Microsoft om COPPA og O365Edu (søk etter COPPA på siden). Som du ser har Google og Microsoft svært ulike utgangspunkt på spørsmålet om samtykke fra foreldre er nødvendig. Og meg bekjent burde vel Google kunne gjøre det samme som Microsoft?

Har noen spurt om dette?

Recycling_symbolNoen ganger når jeg vandrer på den store verdensveven kommer jeg over noe som setter hodet i «Javel?!»-giret – altså at jeg begynner å lure på om ting er helt slik de skal være. Denne gangen var det setningen fra Fronter sin nettside om plagiatverktøyet Ephorus

Each time the system is used (anywhere and by any school or university), the database of documents and pupil papers for plagiarism detection grows.

Spørsmålet som dukket opp i hodet var «Er dette lov sånn helt uten videre?».

Og for de ikke helt bevandrede i læringsplattformenes verden kan jeg raskt si at Ephorus er et det verktøyet i itslearning og Fronter som sjekker innleveringer for plagiat. Ephorus er, for ikke så lenge siden, kjøpt opp av Turnitin, som er en stor aktør innen plagiatsjekk i USA.

Det som står i sitatet betyr at alt som leveres til kontroll i Ephorus blir lagret hos dem og brukt til kontroll av nye dokumenter som lastes opp – og som igjen lagres og så videre…

Og det er nå spørsmålene dukker opp som perler på en snor.

  • Er brukerne / elevene klar over at alt som blir levert i itslearning/Fronter, og testes mot Ephorus, blir lagret hos Ephorus som en del av deres plagiat-database og brukt av dem? Er det lov uten positivt samtykke fra eleven? Kan skolen/kommunen si at de har kontroll over hvordan disse tekstene / personopplysningene vil bli brukt?
  • Jeg kan heller ikke finne noe om at det som lastes opp til Ephorus noen gang blir slettet. Det betyr at når en elev slutter på skolen, og filer slettes fra itslearning / Fronter (for det regner jeg med det gjør), vil fremdeles elevens tekster ligge i Ephorus sin database. Er det greit?
  • En elev skriver og leverer inn en tekst i LMS-systemet som inneholder noe som ikke kan, eller skal, ligge lagret i et LMS. Skolen har ordentlige rutiner og når lærer oppdager teksten blir den slettet fra systemet. Men – teksten er allerede sjekket opp mot Ephorus og ligger derfor også i deres database. Kan den noen gang slettes hos Ephorus? Er det rutiner for dette?
  • Hvis (når ;-) kommunen / skolen sier opp avtalen med itslearning/Fronter slettes alle data som ligger hos dem, men det slettes ikke hos Ephorus. Er det greit?
  • Har noen en databehandleravtale med itslearning/Fronter eller Ephorus der dette er beskrevet?
  • Ephorus er nå en del av Turnitin – et amerikansk selskap. Jeg regner med at de nå har en felles database, og at den ligger i USA. Er nødvendige avtaler på plass (EUs standardkontrakt eller Privacy Shield) med itslearning/Fronter?
  • På Ephorus sin nettsiden finner jeg Terms & Conditions. Jeg finner ingenting om de spørsmålene jeg har notert meg. Det eneste jeg finner (slik jeg forstår punkt 9.2 og 9.3) er at Ephorus/Turnitin fraskriver seg alt ansvar og legger det på kunden og brukeren. Er det greit?

Så, kjære Verdensvev, har du svaret på disse spørsmål som nå plager meg i mitt indre? :-)

PS! Udir har, meg bekjent, en plagiatkontroll i forbindelse med innlevering av eksamensoppgaver. Bruker de også Ephorus?

«Blir lite tid til spørsmål i dag, tror jeg. Kan Odin svare på spørsmåla på bloggen sin?»

Slides Q&A - AudienceJa, Odin kan svare på spørsmålene til sesjonen på bloggen sin :-).

Dette var et av spørsmålene etter presentasjonen Trondheim og Randaberg hadde på NKUL. Vi hadde åpnet for spørsmål ved hjelp av den nye spørsmål&svar-funksjonen i Google Presentasjon, men vi fikk ikke tid til å svare på alle spørsmålene som kom inn.

Bare så det er sagt – jeg tar utgangspunkt i Randabergskolen, siden det er det jeg kjenner best til. Tut og kjør!

 

Hvordan løser dere eksamensavviklingen? Tilgang til internett? Kontroll av kommunikasjon?
Dette har jeg skrevet om i et tidligere blogginnlegg, så jeg lenker bare dit – «Eksamen og GAFE (og Chromebook)«

Hva med Dysleksiverktøy?
Det finnes noen verktøy på norsk til Chromebook, men så langt synes de fleste som har prøvd dem at de ikke er gode nok. Elever med spesielle behov, f.eks. dyslektikere eller blinde, får Windows-maskiner eller det de måtte trenge. GAFE virker godt på Windows også :-) Det ryktes at LingIT jobber å lage en utvidelse til Chrome, og om det stemmer vil det virke på Chromebook også.

Hvordan er personvern ivaretatt? Hva skjer med elev info/ konto når de er ferdige på grunnskolen?
Personvernet er ivaretatt gjennom databehandleravtalen vi har med Google – og gjennom kommunens RoS-analyser (og rutinene rundt disse). Elevinfo og -konto blir slettet når de er ferdige på grunnskolen. Da slettes alt denne eleven har lagt igjen i GAFE-systemet, og blir borte for alltid (og ja, det står om dette i databehandleravtalen). Elevene får anledning til å hente ut det de har lagt inn i forkant av slettingen.

Bruker dere et LMS i tillegg til GAFE? Jeg tenker på hvordan dere ivaretar systematisering / lagring av vurdering – fins det muligheter for det i GAFE, eller er man avhengig av et LMS?
Det er ingenting i veien for at dere gjør dette i GAFE, men det finnes også LMS-løsninger som integrere GAFE-tjenester. Vi i Randaberg har ingen LMS mellom det skoleadministrative systemet (Visma FLYT Skole) og GAFE. Vi klarer oss uten. Trondheimskolen har kjøpt IST Læring som LMS, men de har enda ikke gått til innkjøp av nytt skoleadministrativt system. Personlig lurer jeg litt på hva de vil med IST Læring om de f.eks. velger Visma FLYT Skole som SAS. Da har de i så tilfelle to systemer som overlapper hverandre og med alle de utfordringene det medfører.

Hva mangler dere i Google miljøet? Verktøy som dere kunne ønske fantes, men som er ikke der?
Det jeg personlig savner er et godt stop-motion-verktøy. Det finnes to ikke-gode apper til Chromebook og du kan jukse litt i WeVideo, men det hadde vært kjekt om det fantes noe virkelig bra som bare gjorde stop-motion. PS! I etterkant av NKUL er nyheten om at alle Android-apper kommer til å virke med Chromebook, og da er det i praksis ingenting vi savner.

Hvordan gikk dere frem for å få Google-konto til alle elevene?
Vi gikk inn på denne lenken, registrerte oss for å få et GAFE-domene og startet :-) Du kan registrere kontoer direkte eller du kan legge opp en synk mellom AD/brukerbase i kommunen opp til GAFE.

Har dere erfaringer med at elevene bruker Google+ eller har dere sperret dette for elevene?
Vi i Randaberg (og mange andre, tror jeg) har sperret dette for elever. Hvis du skal åpne opp for det må elevene være 13+ år. Dette er en absolutt aldersgrense satt av Google.

Har dere erfart at dere «mister» mindre og mindre ettersom flere og flere tjenester fungerer direkte i nettleseren?
Ja, det er stor forskjell mellom det som var tilgjengelig da vi begynte med GAFE i 2011 og i dag. Det er ikke mange tjenester som ikke er tilgjengelig online – og om det skulle være noe spesielt, så har vi også tjenester som rollApp og Ulteo.

Hva med FEIDE?
FEIDE og GAFE kan snakke sammen og gi SSO via FEIDE. Det skal være laget løsninger både av Senter for IKT/FEIDE og Identum. Vi bruker det ikke. Det lager litt mer krøll enn det vi ønsker. Men – vi har systemer for at brukernavn og passord er slikt mellom FEIDE og GAFE.

Hvordan bruker dere chromebook opp mot smartboard? Bruker dere Smartamp?
Vi bruker ikke SmartBoard i Randaberg, så vi er ikke så opptatt av dette. Men det jeg vet er at Smart jobber med det – og at det er delvis funksjonalitet mellom SmartBoard og Chromebook. Og nei, vi bruker ikke SmartAMP. Vi fikk prøve løsningen, men syntes den virket litt nitten-pil-og-bue og det var bedre løsninger tilgjengelig – f.eks. Google Tegning og Realtimeboard for Education (som også er gratis for utdanning).

Hvorfor tror dere at Google tilbyr alt dette så billig (omtrent gratis?), samtidig som selskapet har milliarder av dollar i overskudd? Hva er det de får tilbake som gjør at dette er lønnsomt for dem?
Det er ikke hemmelig. Hvis du spør dem får du først et svar om at Google er et litt annerledes selskap og dette er en del av deres bidrag til å gjøre verden bedre :-) Hvis du da stirrer litt på dem, så kommer setningen om at de selvfølgelig ønsker at elever skal bli trygge GAFE-brukere, fordi de da vil velge GAFW eller GA når de blir voksne – og disse tjeneste tjener de penger på. Apple og Microsoft gjør akkurat det samme med sine gratisprodukter.

PS! GAFE er gratis. Det eneste vi betaler til Google er én engangsavgift (på €23) per Chromebook for å kunne administrere dem via GAFE. Det andre vi betaler er prisen for Chromebooken – og det er til den som har laget maskinen (ikke Google).

Hva med oss som lever av å drifte og drive support, hva skal vi gjøre?
Tja, drive support på GAFE? :-) Dette er en av veiene utviklingen går innen IKT. Store skytjenester er mer effektive å drifte enn lokalt installerte løsninger. Da blir det mindre behov for drift, og support på drift, i lokalmiljøene.

Hva anbefaler dere innen GAFE til de yngste elevene som ikke bruker tastatur? I dag har de stor glede av Ipad med visuelle sammenkoblinger av bilder og begreper.
Meg bekjent (må kanskje spørre på skolene) tror jeg ikke bruken av Chromebook er så stor på 1. trinn, men elevene bruker dem aktivt til skriving (på tastatur) på 3. trinn. Vi kjøper nå inn noen Chromebooker med touch for å teste ut ulike løsninger, som kanskje også passer godt for 1. trinn. Men – vi har heller ingen motforestillinger mot bruk av iPad der det er fornuftig. Samtidig prioriterer vi å drifte i hovedsak én løsning, så vi ønsker ikke å ha to store IKT-systemer på skolen – og da er det Chromebook vi prøver å standardisere på.

Korleis får de registrert fråver og vurderingar?
Vi gjør det i det skoleadministrative systemet vår – Visma FLYT Skole. Der registrerer vi også orden- og adferdsanmerkninger, halvårvurderinger og karakterer. Systemet har også en digital meldebok med støtte for to-veis SMS. Også er det en skytjeneste – og vi er veldig godt fornøyd med det.

Er PP dere viser tilgjengelig etterpå? Hvor?
Du finner den her – «NKUL 2016«.

Om ei kommune/skule vil gå for 1:1 Chromebook – kva er dei største utfordringane ein vil møte på når ein går frå Windows?
Prøver å ta denne kort – Egentlig få i forhold til bruk. Overgangen handler lite om Chromebook, men mer om overgangen til GAFE (fra Office365). I Randabergskolen var GAFE godt innarbeidet og da var overgangen til Chromebook helt uproblematisk, faktisk var det noe de aller fleste satte pris på. I en overgang til GAFE vil det være spørsmål fra lærere om heldagsprøve og eksamen. Flyttingen fra filtjener til skylagring bør gjøres på en planlagt og god måte (se nestneste spørsmål). Det vil også alltid være noen lærere som har noen snedige måter å bruke Office på som ikke lar seg gjøre i GAFE. Etter noen uker med aktiv bruke av GAFE er det få negative stemmer (vil jeg våge å påstå :-).

Føler dere at GAFE støtter ferdigheter som elever trenger senere i arbeidslivet? Læring med teknologi, ikke om teknologi…
I aller høyeste grad – og i større grad enn bruk av iPad og Windows/Office365, fordi GAFE/Chromebook fokuserer og gjør arbeidet med IKT i skole enklere å ta i bruk.

Kan Randaberg si noe om den gode måten for overgang fra alt på filer til skyløsningen?
Ja, på planlagt vis og med god beskjed i forkant til ansatte stenger dere ned filtjeneren for skriving, men beholder at alle kan lese. Samtidig som dette skjer lager dere (ledelse/IKT-ansvarlig) en OK struktur i Google Disk og legger selv over de viktigste dokumentene og malene, slik at de ser ordentlige ut. Så skal alle ansatte lagre alle nye dokumenter i strukturen dere har laget i Google Disk. Lærerne kan hente gamle dokumenter de trenger fra filtjeneren. Etter ett år stenger dere ned filtjeneren helt. Alt dette bør dere har gjort før ansatte får Chromebooker (hvis de skal over til dette), slik at de har tilgang til både filtjeneren og Google Disk på samme maskin i perioden dette foregår.

Hva koster investeringen i infrastruktur? Trådløse aksesspunkt, kapasitet osv?
Vi har kjøpt Cisco Meraki som WiFi-løsning og er veldig godt fornøyd med det. Hvor mange APer du trenger vil variere med lokale forhold, men et vanlig Meraki AP skal klare 50-100 maskiner under å stresse for mye. Husk at hvert AP sprenger Internett-kapasiteten til skolen (i alle fall i noen år til), så om en sender har 10 eller 50 chromebooker koblet på så betyr ikke det så mye. På Harestad skole må vi ha et AP i hvert klasserom pga tykke betongvegger. I 2014 kjøpte vi 40 stk Meraki APer til ungdomstrinnene og da var prisen rundt kr 5 000,- per punkt (Meraki MR34) og kr 1 000,- for en 3-års lisens for skykontrolleren per punkt. MR34 var «over kill» i forhold til hva vi trengte og vi har siden kjøpt billigere APer fra Meraki. I dag har vi rundt 80 Meraki-APer tilsammen på de 3 skolene.

Hadde dere utfordringer med foreldre som ikke hadde nett-tilgang hjemme? og hva gjorde dere da?
Nei, faktisk ikke. I den første Windows-piloten opplevde vi én elev som ikke hadde WiFi hjemme, men de hadde kablet nettverk. Da fikk eleven en USB/Ethernet-overgang og saken var løst.

Hva vet dere om økonomisk side, Randaberg – prisforskjeller på valgmulighetene dere hadde?
Det får bli kortutgaven. Minimumsutgavene var at iPad+tastatur+MDM ville være rett over dobbel pris av den Chromebook-løsningen vi vurderte. I tillegg manglet vi kompetanse til MDM-løsningen. Windows-løsningen krevde programvare/lisenser som doblet utgiftene vi hadde til løsningen og igjen landet oss langt over dobbel pris av Chromebook-løsningen. Og prisen for Chromebook? Nå i 2015 ble prisen per maskin kr 1862 + kr 220 for en admin-lisens per maskin (og vi kjøpte 225 maskiner) – og det var det. Ah.. vi kjøpte omslag til dem også (kr 65). Dette er de eneste økonomiske utgiftene vi har til GAFE og Chromebook. Vi har heller ingen utgifter til konsulenter eller noe slikt – skolene løser resten gjennom sine IKT-ansvarlige.

Kommentarer til denne – «Google Acknowledges Data Mining Student Users Outside Apps for Education«?
Ja, denne er ikke noe problem. Det er helt sant som artikkelen sier – hvis du bruker en elevkonto utenfor de tjenestene som ligger innenfor GAFE-avtalen vil Google sine vanlige avtaler gjelde. Derfor har vi lagt inn i systemet at elevene ikke får lov til å bruke GAFE-kontoen sin i disse tjenestene. Prøver elevene f.eks. å åpne Blogger får de beskjed om at administrator har sperret denne tjenesten for denne brukeren. De kan selvfølgelig logge seg på Blogger med en privat Google-konto, om de har det. Det kan vi ikke hindre.

Men – ikke glem at dette er helt likt for Office365 for Education. Der er det også slik at om elever bruker O365Edu-kontoen sin utenfor O365Edu-avtalen vil Microsoft sine vanlige avtaler gjelde. Bruker elevene f.eks. Bing Maps mens de er innlogget vil alt de gjør bli logget, aggregert og knyttet til denne brukeren – og bli brukt av Microsoft til det de selv ønsker. Jeg regner med at admin i O365Edu kan sperre tilgang til disse tjeneste, på lik linje med GAFE.

Livet er en pussig ting

nkulJeg skulle så gjerne vært på NKUL, men det ble det ikke noe av. Jeg skulle til og med ha en av parallellsesjonene i dag og snakket om «Den digitale skolen på kollisjonskurs med personopplysningsloven». Og jeg hadde tenkt at den store utfordringen ville være at dette ikke er noe som fenger så mange som det burde. Det er litt som å snakke om at elever må komme tidsnok til de elevene som er kommet tidsnok. Også skulle jeg truffet, og snakket med, alle de kjempeflotte folkene jeg bare treffer på Twitter og epost og en videoprat i ny og ne. Også skulle jeg vært med på Trondheims lansering av Google Apps for Education og Chromebook som plattform for trondheimskolen. Også skulle jeg sett og hørt på alt det flotte NKUL finner frem av andre spennende sesjoner hvert år.

Men den gang ei. Dette ble effektivt stoppet av en saftig sykehustabbe. Min bedre halvdel skulle inn og gjøre et enkelt dagkirurgisk inngrep på SUS, men endte opp med hull på livmor og tynntarm med dertil alvorlige bukhinnebetennelse. Dette ledet til flere nye operasjoner med påfølgende nye komplikasjoner og nye operasjoner og en antibiotikakur som aldri tar slutt (en sånn intravenøs en du må få 3 dager daglig på sykehuset til alle døgnet rare tider). I praksis har vi bodd på sykehus siden slutten av mars og hun er ikke utskrevet enda – men alt går bedre, så målet er å bli skrevet ut til uken med en to ukers ab-kur i tablettform med flere undersøkelser og kontroller underveis. Så nei – kan ikke reise fra familie da, selv ikke til NKUL ;-).

Nok om det. Du får gjort litt forskjellig når du kjeder deg på et sykehus også. Det er mye venting der. Så jeg har fått skrevet et par av bloggens mest populære innlegg – og jeg får tid til å skrive om det jeg skulle ha snakket om på NKUL. Så under finner du hele presentasjonen min og i kommentarfeltet/foredragsnotatet til hvert lysbilde finner du det meste av det jeg hadde tenkt å si høyt.

Denne presentasjonen likner en del på den jeg holdt på nettbrett-konferansen for Senter for IKT, men det er et par nye og viktige ting. Jeg har snakket litt til med Datatilsynet og tenkte jeg skulle slippe et par minibomber her i bloggen nå – noe er med i presentasjonen, andre ting ikke.

Jeg har prøvd å få Datatilsynet til å svare på om det er greit å be foreldre opprette en AppleID for barne frivillig – om skolen deler ut iPad i en 1-til-1-løsning i skolen, og om skolen kan opprette generiske/anonyme AppleIDer for foreldre/elever som ikke vil gjøre det frivillig. Svaret jeg har fått er noe diffust. Frivillighet er greit, men det skal være en reell frivillighet – uten at Datatilsynet sier noe om hva «reell» betyr, annet enn at det er vanskelig å få til i skolen. Vansken har de tidligere begrunnet i at om skolen sier at alle skal, så er det ikke en reell frivillighet, men skal hjemles i lov (f.eks. opplæringsloven § 13 eller § 2-3). Om skolen hjemler det, så er det ikke frivillig – og skolen må ta ansvar for at dette gjøres innenfor det lovverket skolen må forholde seg til (i dette tilfelle personopplysningsloven). Hvis jeg prøver å forstå det betyr det at vi ender opp med en situasjon der bruken av f.eks. iPad må være frivillig for at det skal være frivillig om du vil bruke din egen AppleID. Hvis du  bruke iPad i skolen, må også skolen ta ansvar for AppleIDene som blir brukt i undervisningen – og frivilligheten ryker. Om Apple godtar generiske/anonyme AppleIDer vil Datatilsynet naturlig nok ikke mene noe om, men de som har lest brukervilkårene ser at Apple gjør ikke det på papiret (både navn og fødselsdato skal være ekte i en AppleID) – selv om de ser ut til å vende det døve øre til at det skjer i stor utstrekning.

Den andre tingen jeg lirket ut av dem var at de forventer sterk autentisering på alle tjenester der lærer får tilgang til informasjon om/fra mange elever. De har tidligere presisert at dette gjelder læringsplattformer, f.eks. itslearning, Fronter og Google Apps for Education, men nå presiserte de også at det også gjelder tjenester som Showbie, Duolingo, KhanAcademy, Evernote – altså der lærer har tilgang til personopplysninger om mange elever.

Håper ikke det er slik, men…

privacyJeg tenker og tenker og tenker på det Datatilsynet prøver å opprettholde av personopplysningsloven innenfor IKT og skole. Loven er på ville veier i forhold til slik verden ser ut i skolen… tror jeg. Men når jeg skulle finne et eksempel på noe urimelig ble jeg plutselig ikke så sikker lengre. Eksemplet under er nok ikke utypisk, men samtidig peker det kanskje også på at Datatilsynet er inne på noe…

Eksempelet er en norsk betal-app som finnes for iPad, Android og Win8 – og den er grådig populær i skolen.

I personvernreglene til firmaet/appen skriver de at de bare samler inn ikke-personlige data, altså informasjon som ikke direkte identifiserer deg. Men hva slags informasjon er dette da? Jo, det er følgende (men ifølge reglene ikke uttømmende!):

  1. Enhetsinnstillinger, inkludert, men ikke begrenset til, IP-adresse, MAC-adresse og UDID (unique device identifier).
  2. Enhetens operativsystem og fastvare.
  3. Mobiloperatør.
  4. Geografiske data, som postnummer og grov stedslokalisering.
  5. Fremdrift i spillet, poengsum og trofeer.
  6. Annen ikke-personlig informasjon som en med rimelighet kan kreve for å forbedre tjenesten og andre produkter firmaet drifter.

Jaha…

De bruker et tredjeparts firma for å samle og analysere bruk av tjenesten – og de kan gi andre tilgang til oppsamlede data for å analysere bruk av tjenesten og utvikle den og andre tjenester videre. Javel…

Og de skriver også at du, som bruker, vet og er enig i at analysefirmaet kan kombinere informasjonen de samler inn med annen informasjon de har samlet inn uavhengig fra andre tjenester og produkter knyttet til din aktivitet. Yikes!

De viser til at de er temmelig sikre på at analysetjenesten de bruker følger COPPA-standarden (som ikke er noen norsk standard). Utfordringen i en norsk kontekst er at COPPA overhode ikke nevner IP eller MAC eller UDID – og i praksis ikke anser dette som personopplysninger.

Det gjør derimot Datatilsynet! Datatilsynet har hatt en god runde omkring webanalyse-verktøy under forståelsen av at en IP-adresse er en personopplysning. Og vips – ble denne appen ulovlig å bruke i skolen, hvis du da ikke som skole/kommune skaffe deg en databehandleravtale med firmaet (og gjennom dem en ordentlig avtale med analysefirmaet de bruker).

For å toppe det hele – i personvernreglene skriver også firmaet at de forbeholder seg retten til å endre personvernreglene ved passende anledninger, så de anbefaler at du besøker den ofte! Hvis de gjør større endringer kan det hende at de poster en notis om dette på firmaets hjemmeside – og at din fortsatte bruk av tjenesten/appen viser at du har godtatt denne endringen.

Og hvilken app snakker vi egentlig om… følg denne lenken. (Og her er lenken til personvernreglene.)