Släpp loss molntjänsterna
– med koll på regelboken
Molntjänsternas intåg i skolan har
betytt enormt mycket positivt för pedagogiken
och för lärarnas och elevernas
arbetssituation. Utbudet av pedagogiska
hjälpmedel har mångdubblats
och tillgängligheten ökat. Få eller inga
installationer behövs och alla uppgraderingar
sker automatiskt.
Enkelhet och smidighet har ersatt den
tröghet och det krångel som datoranvändning
i klassrummet tidigare ofta
innebar. Som en viktig biprodukt har
skolornas beroende av it-avdelning
och it-expertis nästan helt försvunnit.
Nu är det egentligen bara synkningar
av användarkonton och skötseln av
de trådlösa nätverken som it-avdelningen
behöver hjälpa till med - allt
annat bör skolan och skolförvaltningen
kunna klara själva. Detta är
bra för det säkerställer också att den
it-pedagogiska processen verkligen
ägs av skolans och skolförvaltningens
representanter och inte hamnar på
entreprenad hos någon annan.
Molnets intåg har med andra ord
i stor utsträckning varit en befrielse
och en framgångssaga och för alla
som arbetar i skolan.
Men nästa stora uppgift står nu
för dörren. Hur ser vi till att alla
avtal finns på plats så att vi kan möta
personuppgiftslagens och Datainspektionens
krav, och inte minst de
krav som snart kommer med den nya
EU-förordningen (från 2018)? Och
hur säkerställer vi att hanteringen av
personuppgifter i molnet går till på
rätt sätt ute i verksamheterna?
Här finns det mycket att göra och
initiativet måste komma från skolförvaltningen
eller motsvarande i
kommunen eller hos den enskilda
huvudmannen. Det är som nämnts
inte it-avdelningen eller någon annan
aktör som äger frågan kring rätt
datahantering i skolan. Det är den
egna nämnden – den nämnd eller
styrelse som ansvarar för skolan - som
bär ansvaret och som ställs till svars
om rätt avtal inte finns på plats och
om personuppgifter hanteras fel ute i
verksamheterna.
Att skyndsamt se över detta blir
ännu mer angeläget när vi står inför
den nya EU-förordningen som är
tänkt att träda i kraft 2018 och som
kommer att innebär striktare tillämpningar,
samt inspektioner kombinerade
med ett batteri av kännbara viten
för dem som fallerar i sitt ansvar.
Två saker att tänka på
Att säkerställa en riktig användning
molntjänster i skolan innehåller
egentligen två steg:
1. Att ett avtal, som innehåller rätt
saker, finns på plats med dem som
hanterar personuppgifter (molntjänstleverantörerna).
2. Att man med en riskanalys som
bas ser till att molntjänsterna används
på rätt sätt i den egna verksamheten –
det vill säga att alla användare håller
sig inom ramen för det tillåtna och vet
sina rättigheter och skyldigheter.
När det gäller den första punkten
så är den i regel den lättaste att
fixa. Att sluta avtal med de stora
molnleverantören – såsom Google
och Microsoft – var länge ett problem
eftersom avtalens innehåll var
undermåliga och Datainspektionen
underkände dem. Avtalen saknade
ofta tydlighet kring vilka ändamål
personuppgifterna skulle användas till
och det saknades tydliga uppgifter om
när användarinformationen raderas
vid avtalens upphörande. Nu är det
dock annorlunda och i fallet Google
Apps så kom genombrottet i mars i år
(2015) då Datainspektionen granskade
och godkände Simrishamns
kommuns avtal med Google (ett avtal
som vid den tidpunkten även fanns i
några andra kommuner). Detta avtal
är nu ett standardavtal som skolor och
kommuner kan använda sig av. Motsvarande
finns för Microsofts tjänst,
Office 365.
Vad gäller punkt 2 – ett riktigt
användande av personuppgifter på
skolorna – så är det här de stora utmaningarna
finns och det är här det
kommer att bli ännu tuffare när vi
närmar oss 2018 och den nya EU-förordningen.
Saker att ha koll på
Detta är riskområden som nämnd,
förvaltning och huvudman bör ha
ögonen på:
• De flesta molntjänster, inklusive
Google Apps och Office 365 får bara
användas för hantering av icke-personkänslig
information (såsom definierat
av personuppgiftslagen, PUL).
Därför används andra tjänster för den hanteringen – det vill säga för hanteringen av åtgärdsprogram, personliga omdömen med mera – detta utan att
det finns säker inloggning till dessa
system (bank-id eller tvåstegsinloggning).
Så får det inte vara.
• Skolans lärare och elever slår på
egna funktioner – appar eller tredjepartsprogram
– som nyttjar användardata
från modersystemet, till
exempel Google Apps eller Office 365,
men dessa tjänster ligger utanför det
PUL-säkrade avtalets ram. Så får det
inte gå till.
• Skillnaden mellan en strukturerad
och ostrukturerad behandling
av personuppgifter försvinner med
den nya EU-lagstiftningen. Här måste
skolan se upp. Som ostrukturerad
användning räknas det fria skrivandet
av text och användandet av ljud
och bild på till exempel bloggar och i
sociala medier. Användandet av personuppgifter
i denna typ av produktion
begränsas inte på samma sätt i
den nuvarande lagstiftningen. Men
här kommer alltså skolan att tvingas
tänka om en hel del framöver och
tillse att den ostrukturerade behandlingen
också sker inom ramen för
tjänster som täcks av PUL-säkrade
molntjänstavtal.
Detta kan man börja göra idag
• Se till att ha riktiga och godkända
biträdesavtal med samtliga molntjänstleverantörer
som skolan använder
sig av.
• Se till att säker inloggning verkligen
finns för de system som hanterar
personkänslig information, inte minst
för den typ av program som hanterar
frånvarohantering, skriftliga omdömen,
åtgärdsprogram som är så vanligt
förekommande ute på skolorna.
• Se till att en process påbörjas för
att fasa ut molnverktyg, appar och annat
i skolan som hanterar personuppgifter
men som det saknas kvalificerade
avtal för.
• Påbörja identifieringen av var
ostrukturerad hantering av personuppgifter
sker idag, till exempel i
sociala medier, på bloggar och i appar,
och ta fram en plan för hur dessa kan
fasas ut och istället flyttas så att de
finns och används inom ramen för de
tjänster där PUL-säkrade avtal finns.
Bo Kristoffersson är förvaltningschef för utbildning och kultur i Lomma kommun.
Tidigare utbildningschef i Simrishamns kommun,
konsult på Learnit24 samt rektor och
utvecklingsledare på Viktor Rydbergs skolor.
Molntjänster
Molntjänster är it-tjänster som tillhandahålls
över Internet. Det kan
till exempel handla om appar, tillämpningsprogram, serverprogram och lagring av data. Molntjänster är
svenska för det engelska namnet cloud
computing.
Det finns många olika typer av
molntjänster. Vanligen behöver
användaren inte särskilt kraftfulla
datorer eller annan programvara än
operativsystem, webbläsare och en
uppsättning program som körs via
webbläsaren. Om all datahantering
sker inom ramen för molntjänsten behöver
användaren alltså inte installera
andra tillämpningsprogram. Fördelar
med molntjänster är att användaren
inte själv behöver uppdatera, installera
eller ta säkerhetskopior av sina
data. Detta sköter leverantören av
molntjänsten åt användaren.
Molntjänster för skolan finns antingen
i form av paketerade tjänster,
till exempel Google Apps For Education
(GAFE) och Office 365, eller
i form av de många olika så kallade
“lärplattformar” som används på skolorna
för till exempel frånvarohantering
eller åtgärdsprogram. Eller så kan
en molntjänst vara en mer begränsad
och riktad tjänst eller app som en
skola eller lärare bestämmer sig för att
använda inom ett specifikt ämne.
Sveriges Kommuner och Landsting,
SKL, har en handledning för kommuner
med praktiska exempel kring
molntjänster och skola: bit.ly/sklmoln
Full tillgång till DIU genom årsprenumeration:
Länkar, tilläggsmaterial, gör-det-själv-delar och samtliga artiklar får du tillgång som prenumerant. Teckna årsprenumeration, åtta nummer per år fullproppade med pedagogisk inspiration. Även 5 och 10-licenser för arbetsplatsen till rabatterat pris. Prenumerera här.