I dag kom nyheten om at Datatilsynet har kommet med detendelige vedtaket rundt Narvik kommunes bruk av skytjenesten Google Apps. Jeg kan vel ikke si at jeg ble veldig overrasket over at svaret ble et rungende NEI, i og med at en lignende sak i Danmark endte med samme resultat for Odense kommune.
Er dette kroken på døra for skytjenester i skolen?
Garantert ikke.
Teknologisk utvikling og databehandleravtaler
For det første kan denne saken bli klagd inn til personvernnemda for en revurdering. Det er mulig det kommer til å bli gjort, men jeg tror ikke det er grunnlag for det her. Slik jeg leser svaret kan det være for langt mellom lovverket og tjenestebruken slik det foreligger. Jeg tror det kanskje er mer sannsynlig at Narvik prøver å lukke avvikene med å få på plass en bedre databehandleravtale med Google og sin integrasjonspartner. En avtale som faktisk tilfredsstiller norsk og europeisk personvernlovgivning. Om de får til det så er det veldig interessant i seg selv, og et eksempel til etterfølgelse hos andre kunder og skyleverandører.
Spennet mellom lovverket og standardavtalene hos mange skyleverandører er ofte betydelig. Vi har som vanlig en situasjon der teknologien utvikler seg raskt i forhold til lovverket, men vi har også en del leverandører som behandler personvern som en juridisk teknikalitet og ikke som en reell problemstilling deres kunder, enten det er personer eller organisasjoner, er opptatt av.
Eller som de burde være opptatt av. Det er dessverre også mange organisasjoner og personer som tenker at siden alle andre gjør dette, så kan jo vi også gjøre det. Uten en reell vurdering av sine ansatte og kunders rettigheter.
Som en sidenote kan jeg jo nevne at jeg har blitt fortalt at Googles hovedkonkurrent på dette i skolenorge, Microsoft, har skrevet avtaler med norske skoler tilpasset norske forhold. Jeg har ikke sett den selv og den er så vidt jeg vet heller ikke prøvd av Datatilsynet, men så vidt jeg forstår er den bedre tilpasset det norske lovverket. Den skal visst dog ha noen svakheter i forhold til kundens reelle muligheter til inspeksjon og lignende. Det kunne jo vært interessant å få denne avtalen mer frem i lyset og kjørt gjennom samme vurdering som Narvik nå har vært gjennom.
Bare ett brukstilfelle
En annen grunn til at dette ikke er kroken på døra er at dette bare er et enkelt brukstilfelle av skytjenester. Det finnes andre som kan være uproblematiske. En del bruk trenger jo faktisk ikke å behandle personidentifiserende informasjon i det hele tatt, og vil da i forhold til personvernlovgivningen være et ikke-tema. I en del skytjenester brukt i undervisning vil skolen kanskje heller ikke være behandlingsansvarlig, men elevene kan frivillig, og med samtykke, inngå avtale med tjenesteleverandøren direkte. Da blir det dog et spørsmål om hvor grensen mellom elever og læreres frivillige bruk av en tjeneste og organisert bruk som eleven/læreren reelt kan si nei til går. Og en god skole bør jo i tillegg bevisstgjøre elevene sine slik at de faktisk vurderer hva det er de sier ja til.
Jeg vil også tro at det er en del skytjenester med personinformasjon vil kunne havne ned på riktig side så lenge en gjør reelle risikovurderinger og får på plass gode nok avtaler, enten leverandøren har en god nok standardavtale eller skolen får på plass en egen avtale.
Min oppfatning er at det må minst tre-fire nye brukstilfeller kjørt gjennom Datatilsynet før vi har noen form for presedens som dekker bruken i skolen.
Potensiell bruk trumfer tiltenkt bruk
Når en ser på svaret til Narvik har Datatilsynet trukket frem noen elementer som jeg finner veldig interessante. Om dette er noe som vil gjelde på generelt grunnlag eller om det er helheten i forhold til denne saken vet jeg ikke, men vi kan lese følgende:
Selv om du klart sier hva tjenesten skal benyttes til, og lærer opp brukerne i hva som er tiltenkt bruk, er hva man potensielt kan bruke tjenesten til et veldig viktig moment. Det hjelper veldig lite hva du prøver å bruke tjenesten til om en på et eller annet vis ikke kan forsikre seg helt om at tjenesten faktisk ikke vil bli benyttet på en annen måte.
Kommunen kan ikke utelukke at det vil bli behandlet sensitive personopplysninger i løsningen, og må derfor ta høyde for at det i systemet vil bli behandlet både sensitive personopplysninger og personopplysninger generelt.
Det datatilsynet sier om Safe Harbour og USA Patriot Act er også verdt å merke seg. Selv om en leverandør er med i Safe Harbour så er det en konflikt mellom denne og USA Patriot Act. Etter min mening er dette et viktig moment potensielle kunder må vurdere konsekvensen av. Det er lett å si at amerikanske myndigheter aldri kan ha interesse av informasjon om våre elever og lærere, men kanskje en skal tenke seg om både tre og fire ganger før en avslår muligheten.
For å bøte på dette ble Safe Harbor ordningen etablert i år 2000. Ordningen innebærer at amerikanske selskaper vil kunne anses å tilby tilstrekkelig vern for personopplysninger som de mottar fra EU/EØS, ved at de frivillig implementerer et sett regler for behandling av opplysningene. Etter at Safe Harbor ble etablert har USA innført loven ”Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act”, forkortet USA Patriot Act, som en følge av terrorangrepet 11. september 2001. Loven er svært komplisert og omfattende. Denne loven gir amerikanske myndigheter mulighet til å overvåke terrormistenkte uten siktelse eller rettergang.6Tilsynet ønsker i denne sammenhengen å påpeke at USA Patriot Act må anses å være en utfordring med hensyn til ivaretakelse av personvernet, også innenfor Safe Harbor-ordningen.
Personvernlovgivningen utvikler seg
Allerede i morgen legges forslaget til revidert personvernlovgivning frem i EU. Selv om det vil ta minst tre år før den blir gjeldene er det håp om at den blir bedre tilpasset vår teknologiske hverdag enn den gjeldende lovgivningen som stammer fra 1995.
I mellomtiden må skolen sammen med tjenesteleverandørere, og gjerne myndighetsaktører og interesseorganisasjoner, komme frem til løsninger og avtaler som holder seg innenfor dagens regelverk.