Släpp loss molntjänsterna i skolan – med koll på regelboken

dasfad

Molntjänsternas intåg i skolan har betytt  mycket positivt för det pedagogiska aretet i skolan – för lärarnas och elevernas arbetssituation. Utbudet av pedagogiska hjälpmedel har mångdubblats genom molnet och tillgängligheten har ökat. Få eller inga mjukvaru-installationer behöver göras och alla uppgraderingar sker automatiskt.

Enkelhet och smidighet har ersatt den tröghet och det krångel som datoran- vändning i klassrummet tidigare ofta innebar. Som en viktig biprodukt har skolornas beroende av it-avdelning och it-expertis nästan helt försvunnit. Nu är det egentligen bara synkningar av användarkonton och skötseln av de trådlösa nätverken som it-avdelningen behöver hjälpa till med – allt annat bör skolan och skolförvaltningen kunna klara själva.

AAEAAQAAAAAAAAZ3AAAAJDBiMjg4ZGJhLTM5MzEtNGE5Yy05YWMyLWM4MThjYjU2MzY4MQMolnets intåg har med andra ord i stor utsträckning varit en befrielse och en framgångssaga och för alla som arbetar i skolan.

Men nästa stora uppgift står nu för dörren. Hur ser vi till att alla avtal finns på plats så att vi kan möta personuppgiftslagens och Datain- spektionens krav, och inte minst de krav som snart kommer med den nya EU-förordningen, från 2018? Och hur säkerställer vi att hanteringen av personuppgifter i molnet går till på rätt sätt ute i verksamheterna?

Här finns det mycket att göra och initiativet måste komma från skol- förvaltningen i kommunen eller motsvarande hos den enskilda huvudmannen. Det är som nämnts inte it-avdelningen eller någon annan aktör som äger frågan kring rätt datahantering i skolan. Det är den egna nämnden – den nämnd eller styrelse som ansvarar för skolan – som ställs till svars om rätt avtal inte finns och om personuppgifter hanteras fel ute i verksamheterna.

AAEAAQAAAAAAAAZaAAAAJDA1ZWY0M2FiLTdlOTAtNDg0NC1hNGJkLWRiZTU4MWI3N2NhYgAtt skyndsamt se över detta blir ännu mer angeläget när vi står inför den nya EU-förordningen som är tänkt att träda i kraft 2018 och som kommer att innebär striktare tillämpningar och att inspektioner kombineras med ett batteri av kännbara viten för dem som fallerar i sitt ansvar.

Två saker att tänka på

Att säkerställa en riktig hantering av molntjänster i skolan innehåller egentligen två steg:

  1. Att tillse att ett avtal med rätt innehåll finns på plats med dem som hanterar personuppgifter (molntjänst-leverantörerna).
  2. Att tillse att en riskanalys görs som blir basen i arbetet med att tillse att molntjänsterna används på rätt sätt i den egna verksamheten.

När det gäller den första punkten, så är den i regel den lättaste att fixa. Att sluta avtal med de stora molnleverantören – såsom Google och Microsoft – var länge ett problem eftersom standardavtalens innehåll var undermåliga och Datainspektionen underkände dem. Avtalen saknade ofta tydlighet kring vilka ändamål personuppgifterna skulle användas till och det saknades tydliga uppgifter om när användarinformationen raderas vid avtalens upphörande. Nu är det dock annorlunda och i fallet Google Apps så kom genombrottet i mars i år (2015) då Datainspektionen granskade och godkände Simrishamns kommuns avtal med Google (ett avtal som vid den tidpunkten även fanns i några andra kommuner). Detta avtal är nu ett standardavtal som skolor och kommuner kan använda sig av. Motsvarande finns för Microsofts tjänst, Office 365.

Vad gäller punkt 2 – ett riktigt användande av personuppgifter på skolorna – så är det här de stora utmaningarna finns och det är här det kommer att bli ännu tuffare när vi närmar oss 2018 och den nya EU- förordningen.

Saker att ha koll på

Dessa är de riskområden som nämnd, förvaltning och huvudman bör ha ögonen på:

  • De flesta molntjänster, inklusive Google Apps och Office 365 får bara användas för hantering av icke-per- sonkänslig information (såsom defi- nierat av personuppgiftslagen, PUL). Därför används andra tjänster för den hanteringen – det vill säga för hante- ringen av åtgärdsprogram, personliga omdömen med mera – detta utan att det finns säker inloggning till dessa system (bank-id eller tvåstegsinlogg- ning). Så får det inte
  • Skolans lärare och elever slår på egna funktioner – appar eller tredje- partsprogram – som nyttjar använ- dardata från modersystemet, till exempel Google Apps eller Office 365, men dessa tjänster ligger utanför det PUL-säkrade avtalets ram. Så får det inte gå
  • Skillnaden mellan en strukturerad och ostrukturerad behandling av personuppgifter försvinner med den nya EU-lagstiftningen. Här måste skolan se upp. Som ostrukturerad användning räknas det fria skrivandet av text och användandet av ljud och bild på till exempel bloggar och i sociala medier. Användandet av personuppgifter i denna typ av produktion begränsas inte på samma sätt i den nuvarande lagstiftningen. Men här kommer alltså skolan att tvingas tänka om en hel del framöver och tillse att den ostrukturerade behandlingen också sker inom ramen för tjänster

som täcks av PUL-säkrade molntjänstavtal.

Detta kan man börja göra idag

  • Se till att ha riktiga och godkända biträdesavtal med samtliga moln- tjänstleverantörer som skolan använder sig av
  • Se till att säker inloggning verkligen finns för de system som hanterar personkänslig information, inte minst för den typ av program som hanterar frånvarohantering, skriftliga omdö-men, åtgärdsprogram som är så van-igt förekommande ute på skolorna
  • Se till att en process påbörjas för att fasa ut molnverktyg, appar och an- nat i skolan som hanterar personuppgifter men som det saknas kvalificerade avtal för.

AAEAAQAAAAAAAAYPAAAAJGFmMTVmYmUxLTcwZjYtNDk1Ny1hNzY3LTY5YzczNTg4YjQ1Mw

Påbörja identifieringen av var ostrukturerad hantering av personuppgifter sker idag, till exempel i sociala medier, på bloggar och i appar, och ta fram en plan för hur dessa kan fasas ut och istället flyttas så att de finns och används inom ramen för de tjänster där PUL-säkrade avtal finns