Når instruksen ikke passer med virkeligheten

Jeg har tenkt litt etter besøket fra Datatilsynet. Egentlig skisserte Datatilsynet en håpløst situasjon i forhold til databehandleravtaler og internkontrolldokumenter, som kommunen må ha i orden for enhver skytjeneste/digital læringsressurs hvor en legger igjen personidentifiserbar informasjon.

Prøver meg på en liten liste over netttjenester en lett ber elever bruke i skolen, og som faller inn under personopplysningslovens krav:

  • Fronter, Google Apps for Education og itslearning + alle tjenester du kan koble, eller er koblet, opp til dem (her er listene til itslearningGoogle og Fronter (nederst på siden)).
  • Alle sosiale nettverk – Facebook, Google+, Twitter og faktisk også Wikipeida.
  • Alle FEIDE-tjenester (hvis eleven må logge seg på via FEIDE)! Bare for å ta en eksempel – på minstemme.no står det at du ikke trenger en egen avtale med leverandør, men det handler om å få tilgang til tjenesten. Du, som kommune,  ha en databehandleravtale og internkontrolldokumenter om du sier at elever skal bruke det.
  • Alle apper på iPad/Android/Win8 som lagrer og deler informasjon i skyen (bortsett fra innlysende skytjenester). Tenk litt over hvor mange apper på en iPad som bruke iCloud eller sin egen lagrings-/delingstjeneste på nett (f.eks. Doceri, Prezi, SlideShare osv).
  • Og som en oppfølging til punktet over – alle nettressurser som krever autentisering, f.eks. KhanAcademy.

Husk at grensen for når du skal ha en databehandleravtale og må lage internkontrolldokumenter med risikovurdering ikke er at skolen/kommunen offisielt bruker det – det er at en lærer ber elevene om å gjøre skolearbeid ved hjelp av en av disse tjenestene!

For å si det på en annen måte: Hvilke tjenester må du inngå en databehandleravtale med og lage interkontrolldokumenter til? Jo, alle digitale tjenester du ber elever bruke i skolen og som lagrer brukergenerert eller personrelatert informasjon et annet sted enn på skolen/kommunen.

Lovens (nesten) umulige krav
Først skal hver eneste kommune prøve å skaffe en databehandleravtale med tjenesteleverandør – og det er ikke selvsagt at tjenesteleverandør overhode er interessert i det. Det er ikke sikkert du får nrkskole.no (NRK) eller matematikk.org (UiO) eller minstemme.no (Senter for IKT) til å skjønne at du må det. Og så skal hver kommune/skole lage sine egne internkontrolldokumenter for hver tjeneste. Det sier seg selv at kvaliteten kommer til å variere fra kommune til kommune og skole til skole – uansett hvor mange kontroller som gjøres eller veiledere som lages. Det er så mye sky for tiden at det i praksis er umulig å ha klar sikt over alt.

Det er vårt ansvar som kommune/skole (dataeier) å ha gode nok kunnskaper om tjenesteyters (databehandlers) rutiner og systemer for å sikre våre data. Derfor skal vi ha en databehandleravtale med dem der dette formaliseres. I praksis betyr det at vi skal ha mulighet til å kontrollere hvordan databehandler lever opp til sine rutiner (og da må du jo vite om dem!). I tillegg skal dataeier gjøre en risikovurdering ut i fra hvilke opplysninger som lagres hos databehandler.

Og for å ta dette som et praktisk eksempel – vi bruker Visma FLYT Skole som skoleadministrativt system. Det er en skytjeneste. Vi har inngått en databehandleravtale med Visma, men vi har ingen oversikt over deres rutiner omkring sikring og tilgang til våre data (som f.eks. Google har for Google Apps). Siden vi ikke har den oversikten kan vi ikke vite noe om risiko knyttet til informasjonen vi lagrer hos Visma – vi må bare stole på at de har alt i orden. Det er ikke godt nok overfor personopplysningsloven. Den sier at vi skal ha denne oversikten og at vi skal gjøre en risikovurdering – og vi kan ikke gjøre det uten denne informasjonen. Nå vil jeg tilføye at vi skal få denne informasjonen fra Visma. De har den ikke klar enda, men skal lage den – fordi jeg har spurt etter den.

Så var det at vi skal ha anledning til å kontrollere at databehandler gjør det de sier i sitt rutineskriv/internkontrolldokument. Google har ordnet det med at en tredjepart kontrollerer og gjør resultatet av kontrollen tilgjengelig for dataeier. Dette aner jeg ikke om Visma gjør via tredjepart, eller om de kommer til å tillate meg (som kommunerepresentant) å kontrollere det selv. Men for kunne si at jeg som dataeier har god nok kontroll over dataene min, må en av disse to mulighetene være oppfylt.

Poenget blir at dette nesten er umulig å oppfylle for dataeier. En ting er å skaffe databehandleravtale – det har de store norske tjenestetilbydere rutiner på (også noen av de utenlandske). Men når en krever innsyn i rutiner for sikring og innsyn hos databehandler blir ting mye vanskeligere. Jeg tviler sterkt på at det bare er Visma og Conexus som per dags dato ikke kan levere fra seg noe som likner på det Google kan levere. Da blir det omtrent helt vilkårlig hvilken tjeneste som blir «forbudt». Alle tjenester som kommer i Datatilsynets søkelys vil falle igjennom – hos kommunen. Ingen kommune kan leve opp til kravet. Det ble Google Apps i Narvik, men Google har orden på tingene og kan dokumentere det (og gi den dokumentasjonen til kommunen). Hva med alle de andre skytjenestene som skoler rundt omkring i landet forventer at elever skal bruke for å utføre skolearbeid? Bare plukk ut en og sjekk om kommunen kan leve opp til kravet i personopplysningsloven.

Problemet er at vi ikke bare kan, eller bør, ønske personopplysningsloven vekk. Jeg liker den! Det er viktig at informasjon ikke flyter uten styring, og det er bra at vi har et Datatilsyn som passer på. Vi skal vokte oss vel for den regjering som vil sette Datatilsynet under politisk styring eller ønsker å fjerne det!

Et forslag til forbedring
Så hva gjør vi da? Det er en ting at det å følge personopplysningsloven i en digital tidsalder genererer hauger av dokumenter og rutiner. Det er verre at loven er mer eller mindre umulig å leve opp til. En lov ingen klarer å følge i praksis er en dårlig lov. Du kan ikke forby alle skytjenester i skolen. Det funker bare ikke. Den tid er allerede forbi.

Det beste jeg klarer å tenke ut er at ansvaret for å sikre at databehandlers behandling av data er god nok må vekk fra kommunen/skolen. Nå er det slik at hver kommune må lage sin egen avtale og sin egen internkontroll for f.eks. itslearning – selv om den i praksis kommer til å være identisk. Det må vekk fra hver enkelt kommune og over på en aktør.

Her er det flere mulige alternativer. Enten kan tjenesteleverandør få en «godkjenning» fra Udir/Datatilsynet gjennom en sertifisering som tjenesteleverandør kan vise til at de oppfyller (gjennom tredjepart). Eller Udir kan på vegne av utdanningssektoren lage internkontrolldokumenter og databehandleravtaler med tjenesteleverandørene. Det er en ulempe med dette alternativet, nemlig at da er det Udir som velger ut hvilke tjenester de vil godkjenne. Det er bedre om tjenesteleverandør kan få tredjepart til å bekrefte at de lever opp til standarder satt av Udir for tjenester levert til undervisningssektoren.

Da kan enhver i undervisningssektoren (som er en stor sektor) benytte tjenesten vel vitende om at de er innenfor lovens krav. Loven må nok endres litt for å få dette til, men det er jo blant annet det vi har Udir til :-)

Og om ingen sentrale personer tar fatt i dette får vi trø til med en kjent og velfungerende modell – vi deler det vi har sammen! I forrige innlegg på bloggen lovet jeg at jeg skulle legge ut internkontrolldokumentene for Google Apps for Education når jeg har fått revidert dem. Jeg lover også at jeg også skal utforme dem slik at andre skoler/kommuner lett kan gjøre dem til sine dokumenter. Kanskje vi kunne samle alle slike dokumentmaler ett felles sted? Da slipper kommuner som vil ta tjenester i bruk å finne opp kruttet på nytt når en jobber seg hjelpesløst gjennom utydelige veiledere.

Mange lurer på Google Apps for Education og databehandleravtalen

Etter runden om Google Apps for Education på NKUL har det ramlet inn eposter med spørsmål fra fjern og nær i skole-Norge. Og det er jo gøy! :-)

Det er tydeligvis en del skole og kommuner der ute som har lyst til å komme seg videre i verden med å satse på Google Apps for Education. Mange har lurt på problemstillingen rundt Google Apps for Education og databehandleravtale – og jeg har svart etter beste evne. Men… jeg har alltid hatt en gnagende  tvil om det jeg har svart har vært helt riktig. Ikke det at jeg har sagt feil ting – jeg har bare ikke vært heeelt bombesikker på alle detaljene. Jeg tok derfor en liten ekstra runde med et par av aktørene knyttet til saken i Narvik og fikk litt mer ro i sjelen.

Spørsmålet om databehandleravtale mellom Google og organisasjonen er nokså greit å svare på. Bedriften/kommunen/skolen må godta standardavtalen en inngår ved oppstart av Google Apps (for Education) i tillegg til to ekstra som er laget for EU. Google signerer ikke egne kontrakter, ei heller lager unike kontrakter, knyttet til Google Apps for Education (eller for Business, for den saks skyld). Det er det samme om du er en bedrift, kommune eller skole – eller om du bruker en Google Partner som f.eks. www.avaloncloud.com – det standardkontrakten(e) med Google som gjelder om du vil bruke Google Apps. Google-partneren Avalon Cloud, som hjalp Narvik kommune på vei, mener ikke med at det er noe problem å bruke Google Apps i Norge,  siden Datatilsynet har gitt grønt lys ift at det er OK å bruke Google Apps med de kontraktene som finnes i dag.

Det som du til gjengjeld ikke skal kimse av, og som jeg tror mange hopper bukk over, er at du skal gjennomføre en sikkerhets-/risikoanalyse før du går i gang med en skytjeneste. Det er det samme om det er itslearning, Google Apps, DropBox eller [sett inn navnet på skytjenesten din]. Du må dokumentere rutiner for data som går inn og ut av tjenesten og at informasjon som ikke kan eller skal være der ikke havner der. Hvilke rutiner har du for at ingen laster opp IOPer på Google Disk? Og hva gjør du for å avdekke om noen har gjort det – og hva gjør du da? Du må være sikker på at du vet hvordan du setter opp og bruker tjenesten, og hva den innebærer for organisasjonen. Disse tingene bør du også kunne vise frem om Datatilsynet spør, slik at du kan vise at du har tenkt igjennom datasikkerhet og -rutiner knyttet til systemet på en god måte.

Forresten… opp med hånden de som har laget en god sikkerhets- og risikoanalyse før de dro igang itslearning/fronter, iCloud eller [skytjeneste]? ;-)