Sent i januar skrev jeg om Datatilsynets vedtak om Narviks bruk av Google Apps og hvordan dette potensielt kunne bli kroken på døra for skytjenester i skolen. Som forventa ble det heldigvis ikke slik og døra står på gløtt igjen.
Kanskje den viktigste endringen, slik jeg ser det, er at Datatilsynet nå godtar sikkerhetsrevisjoner utført av tredjeparter og ikke bare av den behandlingsansvarlige. I praksis vil det jo være bortimot umulig, og lite hensiktsmessig, at alle skoleeierne i Norge skal fly rundt i verden og inspisere skyleverandørene sine. Med tredjepartsrevisjoner slipper vi det. Men skoleeierne må jo faktisk følge opp og vurdere revisjonene da.
I tillegg påstås det at gjennom saken så har Narvik fått Google til å få på plass en bedre databehandleravtale. Jeg har ikke sett detaljer rundt dette, men det er jo positivt om prosessen har fått leverandørene til å bevege litt på seg for sine europeiske kunder.
Fremdeles er det kanskje to ting som bekymrer meg i brevet til Narvik fra tilsynet. Det første er det nok lite kundene og leverandørene kan gjøre med selv; Patriot Act trumfer fremdeles alt. Om vi skal få til noen endring der må det nok opp på politisk nivå mellom f.eks. USA og EU++. Man kan si at sannsynligheten for at det vil påvirke en skoleeiers bruk ikke er så stor, men jeg liker det ikke. Spesielt den delen at data utleveres uten å informere kunden hverken før, under eller etter.
Det andre bekymringspunktet er slettingen av opplysninger. Sletting i Googles filsystemer ser ut til å fungere på samme måten som i de fleste andre filsystemer. Istedet for å faktisk slette dataene sletter man pekeren til dataene. Det vil være som å fjerne kartotekkortet til en bok i biblioteket. Boka er der fremdeles, men den er vanskeligere å finne. Du kan fremdeles finne den om du vet hvor du skal lete, eller du kan komme over den om du tråler bokhyllene etter interessante bøker. Til slutt blir boka kastet for å få plass til en ny bok, men frem til da er den faktisk fremdeles tilgjengelig. Kanskje burde sletterutiner være bedre slik at boka faktisk ble kastet med en gang. Det vil nok ikke være noe teknisk problem for Google å tilby dette, men det krever jo litt mer ressurser og tar mer CPU- og disktid. Sikker sletting er kanskje til og med en tjeneste en del kunder hadde vært villige til å betale ekstra for.
Så nå står døra altså endelig på gløtt for å ta i bruk skytjenester på en måte som er innenfor regelverket og i praksis mulig å følge opp fra skoleeiers side. Det vil fremdeles være en rimelig stor jobb å få tjenester på plass på en riktig og sikker måte, men det er i alle fall gjennomførbart. Datatilsynet har nå fire forutsetninger for å ta i bruk skytjenester:
- Det må gjennomføres grundige risiko- og sårbarhetsanalyser i forkant. Virksomheten må spørre seg selv om hva som kan gå galt, og hvilke følger det i så fall kan få.
- Selskapene må ha en tilfredsstillende databehandleravtale som er i tråd med norsk regelverk. Det er kommunen som har ansvar for at lovens krav følges.
- Bruken av nettskytjenester må jevnlig revideres. Det vil si at en tredjepart gjennomfører en sikkerhetsrevisjon på vegne av kommunen og sikrer at databehandleravtalen følges.
- Databehandleravtalen må være det som gjelder og leverandørens generelle personvernerklæring må ikke gå utover denne.
Om du som skoleeier/din skoleeier ikke har begynt å se på Google Apps for Edu eller Microsoft Office 365 for Education så er det kanskje på tide å starte arbeidet. Pass på å gjøre en god jobb i forarbeidet – resultatet av dine vurderinger rundt risiko er ikke nødvendivis de samme som skoleeieren ved siden av deg. Du skal ikke se bort i fra at det vil bli flere runder hos Datatilsynet for andre brukstilfeller enn akkurat det Narvik og Moss har her.
Og selvsagt: Pass på at du får Feide-innlogging på tjenestene, eller i det minste får knyttet de inn i IdM-systemet ditt, så det ikke blir “enda et brukernavn og passord.”