It, medier & læring Nr. 1 · 45 årgang · marts 2021
GDPR – hvad gør vi nu?
It, medier & læring Udgives af: Danmarks it- og medievejlederforening
ISSN nummer: 2445 6403 Bladet udkommer 4 gange per kalenderår og tilsendes foreningens medlemmer samt abonnenter. Kontingent for 2021 er: 400,- kr. / 200,- kr. for studerende og pensionister. Bladabonnement: 400,- kr. inkl. moms. Henvendelse om medlemskab eller abonnement via it-vejleder.dk
Foreningens bestyrelse: Formand Thomas D. Thygesen
Styrelsesmedlem Søren Dahl
thomasdreisig@live.dk
sdahl@outlook.dk
Næstformand Hanne Voldborg Andersen
Styrelsesmedlem Anna Holmbæck
hanne@viavoldborg.dk
ahh@ishoj.com
Kasserer Henrik Jakobsen
Suppleant Rune D. Gråbæk
henrik.jakobsen@live.dk
Info@digitaleducator.dk
Styrelsesmedlem Rikke F. Kofoed Rikke@legmedit.dk
layout og opsætning ivimedia.dk ivimedia.dk
Ved du, at Danmarks it- og medievejlederforening har et medlemsforum på facebook https://www.facebook.com/groups/ditvejmedlem Vi håber det bliver det sted hvor du stiller spørgsmål, vidensdeler og drøfter - it i skolen - vi ses virtuelt!
2
Suppleant Birgitte Reindel birgittereindel@live.dk
Indhold: Leder: GDPR.............................................................................................................. 4 Version 2 blander sig - hvorfor................................................................................... 6 Fakta om DBA, RV, KA og Schrem I.......................................................................... 8 Perspektiver på GDPR - STIL.................................................................................... 11 Schrems II – nu lettes låget på Pandoras æske......................................................... 12 GDPR styrer it i skolen............................................................................................... 16 KL............................................................................................................................... 20 CFU om GDPR og Schrems II – Er vi i mål?.............................................................. 24 ”Nogen må ringe til en voksen...”............................................................................... 26 Tag kontrollen tilbage................................................................................................. 30 Hvad skal en lærer vide om GDPR............................................................................ 33 Generalforsamling...................................................................................................... 36
Er du lærer eller vejleder og arbejder med: Meld dig ind i idag!
• Differentieret og nutidig læring? • It-integration i skolen? • It; fagligt, innovativt og kreativt? • It-didaktisk skoleudvikling? • Organisatorisk, pædagogisk og faglig vejledning? Så er der hjælp at hente i Danmarks it- og medievejlederforening! Meld dig ind på www.it-vejleder.dk
3
Det burde egentlig ikke være så svært det der med GDPR. Men det er det! For hvad må man, og hvad må man ikke? Og hvem har ansvaret for, at lærernes brug af digitale ressourcer lever op til gældende lovgivning? Af Hanne Voldborg Andersen, næstformand Danmarks it- og medievejlederforening. Thomas Dreisig Thygesen, formand Danmarks it- og medievejlederforening.
Billedsiden til denne leder, viser et par eksempler på spørgsmål i fora for undervisere på Facebook, og de giver et godt billede af den tvivl, der er på området. Opslagene er blot to ud af mange. For spørgsmålene er utallige, og der er ikke umiddelbart nemme svar. Ofte lyder det på autopiloten: Det må man ikke på grund af GDPR.
er ulovlige? Og hvem hjælper dem med at vurdere det? Nogle kommuner fortolker udfordringer restriktivt og lukker ned for digitale ressourcer. Andre fortolker pragmatisk og forsøger at gøre det muligt at arbejde videre med den pædagogiske it-praksis. Men ingen af dem kan være sikre på, at de gør det rette.
Med denne udgave af It, medier og læring vil vi sætte spot på et højaktuelt område, der påvirker mange mennesker.
Sikkerhed omkring behandling og overførsel af data er uhyre vigtigt. Det kommer vi ikke uden om. Men den pædagogiske praksis i skolen er også vigtig, så hvordan balancerer vi mellem et ønske om at anvende diverse online ressourcer i undervisningen og kravet om at sikre, at ingen får adgang til elevernes data?
EU-dommen Schremms II har medført usikkerhed om, hvorvidt lærere og elever må anvende deres digitale læringsressourcer og værktøjer. Schremms II handler om overførsel af persondata fra EU til USA, hvor dataeksportøren for hver enkel overførsel skal sikre, at der opnås en beskyttelse, som er ”essentially equivalent” med beskyttelsesniveauet i EU. En beskyttelse der ikke er mulig, som det ser ud lige nu.
Dette blad belyser nogle af de udfordringer kommuner, skoler, lærere og leverandører aktuelt står med på grund af Schrems II afgørelsen. Det beskriver også, hvilke tiltag, der kan gøres for at dække sig ind og foretage de fornødne risikovurderinger på de it-løsninger, der anvendes i skolerne. Men væsentligst af alt vil vi med dette blad appellere til, at ansvarlige aktører sætter sig sammen og tør tale om elefanten i rummet...
Schrems II dommen er nævnt som erhvervslivets Cuba-krise, men udfordrer i den grad også en digitaliseret dansk folkeskole. For hvordan skal kommunerne og skolerne agere, hvis 99 % af de ressourcer de anvender
4
Da databeskyttelsesforordningen - eller General Data Protection Regulation/GDPR trådte i kraft i 2018 landede nye opgaver hos mange af foreningens medlemmer, der pludselig oplevede sig selv som deltids-jurister med ansvar for GDPR. Hvordan håndterer vi mon EU-kontrakter, NSA, manglende datatilsyn i USA, TIA, DB, ARV mm? Det er en stor opgave og et enormt ansvar, som kræver uddannelse og indsigt at varetage. Gennem dialoger med vores bagland hører vi, at opgaven løses forskelligt i kommunerne. Der udtrykkes knaphed på viden og/eller ressourcer, hvilket fører til at opgaverne ikke løses eller at de løses mangelfuldt. Det dur ikke! Fra centralt hold har der gennem en årrække været forventning og krav om øget digitalisering af folkeskolen, hvilket betyder, at en stor del af undervisningen i dag centrerer sig omkring digitale løsninger. Fra foreningens perspektiv kunne vi ønske, at der ligeledes fra centralt hold var opbakning og support til kommunernes udfordringer med de afledte opgaver knyttet til GDPR. Hvis vi skal sikre overholdelse af GDPR skal mange aktører i spil. Nogen må kunne give lærere, skoleledelser og forvaltninger besked om, hvad de kan, skal og må, så der handles på baggrund af fakta og ikke ud fra tilfældighed, frygt eller myter.
Danmarks- it og medievejlederforening inviterer gerne til dialog om dette.
Det kan være svært at forstå, hvorfor 98 dataansvarlige kommuner skal kæmpe individuelt med denne opgave. Kunne der ikke frigøres væsentlige ressourcer i kommuner og på skoler og sikres en mere kvalitativ løsning af opgaven, hvis den blev udført centralt for alle 98 kommuner. Kunne UVM og KL i fællesskab tage ansvar for denne opgave for alle kommuner og grundskoler, og hvordan kan dette i så fald gøres?
Vi håber, at de forskellige perspektiver i dette blad kan bidrage til en større forståelse for kommunernes og skolernes udfordringer og lede til en ændring af praksis til det bedre. Hvis I har perspektiver i forhold til GDPR, som vi har overset - eller står med andre udfordringer eller løsninger end de, der er beskrevet i bladets artikler, så vil vi meget gerne høre fra jer.
5
Version 2 blander sig i elevers data - hvorfor? Version 2 har været udskældt i kommunerne for deres fokus på manglende styr på data i Google-løsninger anvendt på skoleområdet og sidenhen også Microsoft 365. Deres research og aktindsigt har været opfattet som urimelig og ressourcekrævende. Danmarks it- og medievejlederforening besluttede derfor at tage en dialog med dem om, hvorfor de har taget emnet op, og hvorfor de har gjort, som de har gjort.
Af Hanne Voldborg Andersen, Ph.D og Master Ikt og Læring.
Da Version 2 i januar publicerede artiklerne ‘Skarp kritik af Aarhus Kommune: Sender børn data ulovligt til Google’ (06.01.2021) og ‘24 kommuner sender børn persondata til Google i blinde’ (20.01.2021) skabte det en del postyr i kommunerne.
en række danske kommuner, som anvender Google som samarbejdsplatform for at høre, om samme problem gjorde sig gældende i Danmark. Senere udvidede de undersøgelsen til også at omhandle Microsoft 365. Hvorfor har I ikke undersøgt andre leverandører? “Vi tænkte, at vi med Google og Microsoft dækkede de største spillere på skoleområdet. Vi har ikke overblik over hele leverandørlandskabet, men det kunne være interessant at se om forholdene ikke er de samme i forhold til eksempelvis Apple”.
Hvordan ser det ud hos os? Hvorfor udstilles specifikke kommuner og leverandører? Hvad med de andre? Hvorfor søger de aktindsigt netop hos os? Danmarks it- og medievejlederforening har talt med Adam Fribo, Redaktør på Version 2 og spurgt ind til deres research og dækning af sagen. Han fortæller, at Version 2 var inspireret af en afgørelse fra det norske datatilsyn, som havde vurderet, at der var problemer med datasikkerheden ved norske skolers brug af Google Suite for Education og Chromebooks. Version 2 kontaktede derfor
Hvad spurgte I kommunerne om, og hvad fandt I ud af? “Vi spurgte ind til kommunernes procedurer omkring risikovurdering. Da vi ikke oplevede det store ønske om dialog fra kommunernes side, søgte vi aktindsigt og fik udleveret
6
deres risikovurderinger. Vi kunne se, at nogle kommuner ikke havde udarbejdet vurderinger eller at de var mangelfulde, og skrev på den baggrund artiklerne om den manglende styr på elevers data”.
“Jamen, vores dækning af historien har jo konstruktivt bidraget til at skabe en dialog mellem datatilsynet og fx Aarhus Kommune om udfordringerne. Sagen er taget op på baggrund af vores dækning.
Har I været i dialog med andre aktører end kommunerne om sagen, og hvordan forholder de sig? “Ja, vi har kontaktet KL, Undervisningsministeriet og Datatilsynet. Det er svært at finde nogen højere oppe end i kommunerne, som vil tage ejerskab for dette problem. Det er den fornemmelse man har, når man kontakter de højere luftlag. KL har ikke villet sige så meget. Undervisningsministeriet henviser til Justitsministeriet, som henviser tilbage til Undervisningsministeriet. Datatilsynet vil gerne bidrage med vurderinger, når vi kan fremlægge konkrete sager, men er jo netop et tilsyn og kan ikke forhåndsgodkende. Måske afventer de alle sammen yderligere afgørelser fra EU?”
Vi vil i virkeligheden gerne i dialog med kommunerne om udfordringerne. Når vi har kontaktet kommunerne, har de enten afvist vores henvendelse eller svaret, at der er styr på risikovurderingerne. Hvis de ikke vil tale med os, så har vi ikke andre muligheder for at undersøge sagen end ved at søge aktindsigt. Og da vi gjorde det, kunne vi jo se, at der ikke var styr på det.
Men hvad skal kommunerne så gøre, men vi venter på det? “Vi har som journalister ikke kompetencer til at vejlede kommunerne i forhold til GDPR, men fra mit perspektiv ville jeg sørge for at lave risikovurderingerne og dokumentere mine overvejelser bedst muligt.”
Hvis vi skal kunne bidrage til at få ‘de højere luftlag’ i tale, så må nogen stille sig frem og sige at det er en svær situation, at de har brug for hjælp og at de ikke får den hjælp.”
Vi forstår godt, at det er en en udfordring for kommunerne. Det er bare svært for os at kommunikere, at kommunerne står i en svær situation med en kompleks opgave, når det ikke er det, de siger til os. Hvis det er en umulig situation kommunerne eller skolerne sidder i, så er det en enormt relevant historie, som vi gerne vil have frem i lyset.
Som forening ser vi med bekymring på den opgave, som kommunerne har her. Opgaven er kompleks. Meget kan fortolkes, og det gøres forskelligt fra kommune til kommune. Der savnes viden og klare retningslinjer. Vi ser, at der navigeres i frygt for at blive udstillet i pressen eller få en anmærkning af datatilsynet. Vi kunne ønske, at flere bidrog til at løse problemet i stedet for at pege fingre. Tænker I, at det gavner, når I udstiller en leverandør eller kommune i jeres artikler?
7
Fakta om DBA, RV, KA og Schrems II Af Armin Begovic, informationssikkerhedskonsulent i Kerteminde Kommune
8
Databehandleraftale
er der tale om en vurdering af de risici, der er i forbindelse med behandlingen af personoplysninger.
En databehandleraftale er en skriftlig aftale mellem to eller flere fysiske eller juridiske personer (f.eks. organisationer, virksomheder og offentlige myndigheder.), hvor den ene part er en dataansvarlig, og den anden part er en databehandler. I sådan en situation, er det vigtigt at den dataansvarlige igennem en databehandleraftale instruerer databehandleren i, hvordan den pågældende databehandler skal behandle data. En databehandleraftale skal benyttes når en dataansvarlig overlader behandlingen af personoplysninger til en databehandler.
Risikovurderinger er det første skridt i benyttelsen af et nyt IT-system og eventuelt en ny databehandler. Der skal derfor udarbejdes en risikovurdering før man overdrager personoplysninger til databehandleren, ligesom en databehandleraftale skal være indgået inden en eventuel databehandler behandler data for den dataansvarlige. En risikovurdering skal afklare de risici som er forbundet med den ønskede behandling af personoplysninger. Formålet er, at sikre de registreredes rettigheder og frihedsrettigheder. I ens risikovurdering, ser man gerne på de tre principper; Fortrolighed, Integritet og Tilgængelighed. Principperne dækker blandt andet over spørgsmålene; Kan data tilgås af uautoriserede personer? Kan data gå tabt? Kan data blive ændret? Og kan data altid tilgås af de personer som har ret til det?
I en databehandleraftale bliver det afklaret hvilke personoplysninger der bliver overdraget fra den dataansvarlige til databehandleren. Ydermere bliver følgende punkter også aftalt i en databehandleraftale: • hvad data skal bruges til • hvilke underleverandører databehandleren benytter • hvor data bliver opbevaret
Efter en risikovurdering er udarbejdet har man som dataansvarlig de forudsætninger der skal til, for netop at vælge de sikkerhedsforanstaltninger, som er relevante ud fra de afdækkede risici. Disse sikkerhedsforanstaltninger bliver som tidligere nævnt aftalt i en databehandleraftale, og derfor er det vigtigt at en risikovurdering laves som det første.
• hvilke sikkerhedsforanstaltninger der er implementeret • hvornår data skal slettes Udover ovenstående punkter aftales andre praktiske forhold, som sikrer at man som dataansvarlig præcis ved, hvordan de personoplysninger man overdrager til databehandleren bliver behandlet, og at behandlingen lever op til lovgivningen på området. Derfor er det altså utrolig vigtigt at have en gyldig databehandleraftale før man benytter en databehandler, som behandler personoplysninger på ens vegne.
Hvis risikoen ved behandlingen vurderes som høj, så vil det sige, at der er en høj risiko forbundet med behandlingen af personoplysninger, og at der potentielt skal udarbejdes en konsekvensanalyse.
Konsekvensanalyse (DPIA) En konsekvensanalyse er en mere omfattende analyse i forhold til en risikovurdering. Der er flere aspekter der skal være i spil før man som dataansvarlig skal udarbejde en
Risikovurdering En risikovurdering skal foretages på alle ens IT-systemer. Som ordet indikerer, så
9
tilfældet var når personoplysninger lå inden for EU. EU-domstolen underkendte denne ordning, fordi man ikke kunne garantere at virksomheder, der havde tilmeldt sig denne selvcertificeringsordning faktisk også havde et beskyttelsesniveau, der var på højde med niveauet i EU.
konsekvensanalyse. Som tidligere nævnt udgør ens risikovurdering en del, men også andre aspekter såsom benyttelse af ny teknologi, datamængde og karakteren af data vil være med til at afgøre om man skal lave en konsekvensanalyse eller ej. En konsekvensanalyse er en vurdering af de konsekvenser, som en given behandling måtte have for de registrerede, ud fra de risici man har opdaget i risikovurderingen. Man går altså ind og analyserer på de mulige negative konsekvenser den registrerede udsættes for, når man som dataansvarlig behandler vedkommendes personoplysninger.
EU-domstolen meddelte i forlængelse heraf, at Kommissionens standardkontrakter kan anvendes som overførselsgrundlag, når man overfører personoplysninger til usikre tredje lande som USA. Denne standardkontrakt, som også kaldes SCC, sikrer at den virksomhed som man overfører personoplysninger til, har udarbejdet passende sikkerhedsforanstaltninger, som sikrer at deres beskyttelsesniveau er tilstrækkeligt.
En konsekvensanalyse skiller sig også ud i forhold til en risikovurdering, ved at man skal beskrive flere aspekter i behandlingen. Dette inkluderer blandt andet nødvendigheden af at benytte det pågældende IT-system til behandling af personoplysninger, formålet med benyttelsen og en beskrivelse af de sikkerhedsforanstaltninger man har taget i brug for at mindske risikoen og konsekvensen for den registrerede.
Konsekvensen af at Privacy Shield ordningen blev underkendt som overførelsesgrundlag til USA, er stadig til behandling i EU. Det forventes at det Europæiske Databeskyttelsesråd i løbet af foråret 2021 vil komme med nye retningslinjer, som vil gøre organisationer, virksomheder og offentlige myndigheder klogere på deres muligheder, for at overføre personoplysninger til usikre tredje lande.
Schrems II Schrems II er EU-domstolens afgørelse fra sommeren 2020, som gjorde Privacy Shield ugyldig som overførelsesgrundlag til USA. Når man som dataansvarlig behandler personoplysninger, skal man have et overførelsesgrundlag, hvis denne data skal behandles uden for EU, eller hvis data bliver tilgået af databehandlere der har base uden for EU, og som ikke er kategoriseret som sikret tredjeland. Indtil sommeren 2020 har man kunne bruge Privacy Shield som overførelsesgrundlag til USA. Denne selvcertificeringsordning skulle sikre at virksomheder i USA havde det samme niveau af beskyttelse, som
10
Perspektiver på GDPR - STIL af Hany Dughaim, Fuldmægtig, Børne- og Undervisningsministeriet, Styrelsen for It og Læring, Kontor for It-sikkerhed og Databeskyttelse
Styrelsen for It og Læring (STIL) har kortlagt de steder, hvor der sker overførsler af tredjelande, særligt i forbindelse med supportsager og opbevaring af data. De steder, der er identificeret tredjelandsoverførsler, er STIL gået i dialog med leverandørerne om muligheden for at flytte support, begrænse adgangen til personoplysninger eller opdele behandlingen, sådan at leverandøren i et tredjeland ikke kan identificere personer.
Øvelsen har givet mulighed for at forbedre databeskyttelsen for de registrerede i STILs systemer, og givet anledning til overvejelser om, hvordan man i højere grad begrænser deling og adgangen til data. STIL afventer i øvrigt meldingerne fra Det Europæiske Databeskyttelsesråd samt Datatilsynet på baggrund af de høringer som netop er afsluttet.
11
Schrems II – nu lettes låget på Pandoras æske Schrems II dommen fra juli 2020 betyder, at de juridiske rammer for tredjelandsoverførsler er ændret radikalt. Selvom dommen i skrivende stund er over ca. 7 måneder gammel, så er denne Pandoras æske først nu ved at nå sit endelige klimaks – et klimaks – der, som jeg ser det, også vil få meget store konsekvenser for elever og læreres brug af digitale platforme i folkeskolen. af Marcus Bennick, direktør, Webtjenesten LærIT.dk ApS (Skoletube)
Hvad der skete en dag i juli 2020
Jeg er ikke jurist, men ejer og stifter af Webtjenesten LærIT ApS, som leverer den digitale værktøjskasse og videodistributionsplatform www.skoletube.dk, som de fleste grundskoler i Danmark abonnerer på.
Først vil jeg gerne understrege, at Skoletube før Schrems II var en distributionsplatformmed værktøjer til multimodal tekstproduktion, og det vil vi også fortsat være efter Schrems II, da en stor del af Skoletube heldigvis slet ikke er berørt af Schrems II – her kan vi bare være glade over, at vi oprindeligt, da vi udviklede Skoletube ikke valgte at bruge en public cloud provider, som fx Amazon, Google eller Microsoft (selvom det havde været det nemmeste, og var det, som alle anbefalede), men vi valgte at bruge egne fysiske servere placeret her i Danmark. Det betyder, at alle de filer, fx video, lyd, billeder, men også tekstdokumenter mv., som elever og lærere ubegrænset kan uploade direkte til Skoletube, ligger trygt og sikkert i ”vores egen cloud” og er 100% lovligt efter alle GDPRregler.
Jeg har skrevet denne artikel, da vi på Skoletube har været meget optaget af hele sagen qua, at vi har en række underleverandører, som Schrems II kan få konsekvenser for. Da jeg ikke er jurist, og da sagen udvikler sig nærmest fra dag til dag, så vil jeg gerne, at I ikke holder mig juridisk og faktuelt op på de ting, jeg skriver her. Det skal læses som min egen opfattelse og forståelse af et emne, som er uhyre komplekst jo mere, man graver ned i det. Jeg vil i denne artikel redegøre for, hvordan vi har oplevet tiden efter Schrems 2. Hvad vi har gjort, hvad vi gør for indeværende, og hvad vi påtænker at gøre fremadrettet.
Derfor var det alligevel et chok, da dommen faldt midt i juli 2020. Den dag sluttede vores
12
the one guaranteed by the GDPR in light of the EU Charter”, og det kan de ikke på grund af USA’s masseovervågningsprogram, kendt under navnet FISA702, som håndteres af NSA.
sommerferie brat. Hvilken betydning ville Schrems II få for os som leverandør? Dommen betød kort fortalt, at EUDomstolen erklærede Privacy Shield ugyldig og skærpede kravene til brug af EUs standardkontraktbestemmelser. Dvs. de to lovlige overførselsgrundlag, der eksisterede, når data skulle sendes fra EU til USA, stort set var ugyldige, hvilket var ensbetydende med, at en egentlig datamur mellem EU og USA blev en realitet. Det ville altså reelt betyde, at en række værktøjer på Skoletube ikke længere ville kunne benyttes, fx Prezi, Wevideo, Book Creator, padlet m.fl, for deres servere er placeret i USA
Der kunne dog i standardkontraktbestemmelserne implementeres ”additional measures to those included in the SCCs”, som herefter kan sikre et passende beskyttelsesniveau. Det Europæiske Databeskyttelsesråd ville sidst i 2020 udgive nye opdaterede retningslinjer for, hvad der kunne udgøre sådanne ”additional measures”. Vi afventede så disse guidelines og brugte tiden på at briefe vores mange amerikanske underleverandører om situationen.
Heldigvis brugte og bruger vi ikke Privacy Shield – så vi havde stadig det lovlige overførselsgrundlag i orden via standardkontrakterne, men hvad betød de skærpede krav til dem ? Vi fik fat i vores GDPRjurister, selvom det var midt i sommerferien. Det var juristernes vurdering, at vi stadig kunne fortsætte overførslerne, og allerede d. 28. juli 2020 sendte vi et notat til alle vores abonnerende kommuner, som redegjorde for vores bevågenhed om den nye dom og samtidig informerede om, at vi indtil videre ville fortsætte med overførslerne, da vi brugte EUs standardkontrakter og ikke Privacy Shield. Ugerne og månederne gik. Analyser og konsekvenser af Schrems IIs blev og bliver diskuteret flittigt og offentligt blandt GDPRjurister og eksperter, og igen vil jeg gøre en lang historie kort. USA ser ud til at være stort set umuligt at overføre almindelige persondata til, fordi USA anses for at være et usikkert tredje land i GDPR regi. USA kan ikke garantere ”a level of protection that is essentially equivalent to
13
November-noter og synlige tiltag
platformens brugere om den aktuelle udfordring med de amerikanske værktøjer. Det var jo stadig muligt at bruge værktøjerne, man skulle bare ikke tilføje persondata. Derfor lagde vi i november 2020 en popup box på alle vores værktøjer, som med illustrationer viste, hvilke persondata man ikke skulle bruge i det pågældende værktøj.
Retningslinjerne blev sendt i høring i november 2020, og de var desværre nedslående. Umiddelbart siger de, at der IKKE KAN implementeres ekstra foranstaltninger, der kan sikre et passende beskyttelsesniveau og dermed et lovligt overførselsgrundlag – ikke når det handler om brug af US-public hostingproviders. Men ikke nok med overførsel til servere placeret i USA, så blev det også klart, at det faktisk også gælder overførsel til servere ejet af de store US techgiganter Google, Amazon og Microsoft m.fl. indenfor Europas grænser, fordi de US-ejede firmaer er med i Cloud Act, som betyder, at NSA også kan requeste og kræve adgang til data fra disse servere, selvom de er placeret i Europa.
Fx kan man jo stadig lave en fin Prezi præsentation om fx broer, med billeder og tekst, uden at det indeholder persondata, og selve brugerprofilen er jo pseudonymiseret. Dog betyder begrænsningen i forhold til at inkludere almindelige personoplysninger i flere af værktøjerne en del, da det fx er svært at lave kreative multimodale flipbøger mm, når eleverne ikke engang må lægge/indtale speak på deres bøger.
Retningslinjerne var endnu ikke de endelige – men kun i høring, men på grund af sagens alvor og flere henvendelser fra vores kunder – kommunerne (de dataansvarlige), valgte vi i november 2020 at begynde med at oplyse
Det er virkelig trist. Nu har vi arbejdet intenst med GDPR siden indførelsen i foråret 2018. Vi har altid haft fokus på at minimere mængden af personoplysninger, og vores underleverandører er nøje udvalgt. Vores underleverandører får slet ikke overført rigtige navne, emails osv., men kun pseudonymiserede persondata, og de opbevarer vores brugeres data og brugergenereret indhold privat og beskyttet, og de følger vores sletningsprocedurer og tilsyn. De deler eller sælger selvfølgelig ikke vores brugeres persondata, og Amazons/Googles/Microsofts hostingcentre er ”state of the art” mht. hardware, software og databeskyttelse - og så bliver det hele ødelagt, fordi USA’s efterretningstjeneste har et masseovervågningsprogram (FISA702), der ikke føres tilsyn med. Europas efterretningstjenester, heriblandt den danske efterretningstjeneste har også mulighed for at overvåge, men det er under tilsyn, og deri ligger den afgørende forskel altså, og USA har dermed som land ikke samme databeskyttelsesniveau som Europa – og lever dermed ikke op til GDPR.
14
egne servere – det gælder f.eks. et værktøj som Easel.ly. Vi forstærker og opretter også nye versioner af f.eks. Skoleblogs og H5P, og vi har allerede sikret Screencast-O-Matic, Stop Motion Studio, Tiki Toki, Flowcharts, Photopea og Codinglab, som alle ligger sikkert, lovligt og efter de nye retningslinjer på vores egne servere i Danmark Vigtigst er dog Skoletubes komplette videostreamingsplatform, som heldigvis ligger på danske servere. Upload og deling af video og andre medier via kanaler er ikke ramt af Schrems II. Vi har allerede implementeret en ny online videoeditor, som betyder, at I fortsat kan redigere video på Skoletube – også med almindelige persondata - nu og i fremtiden.
Schrems II, Skoletube og fremtiden Skoletube bliver delvist ramt af de nye retningslinjer, som indvarsles af Schrems II. Værre ser det i skrivende stund ud for andre online Cloudtjenester, som også spiller en stor rolle for hele det workflow, som i praksis fungerer i landets folkeskoler. Googles ”G suite for education” og ”Microsofts O365” er amerikanske, og det er svært, for ikke at sige umuligt, at disse tjenester kan fungere i en dansk folkeskole under de nuværende retningslinjer efter Schrems II dommen.
Direkte adgang til Skoletubes medier og videoer er allerede muligt i jeres læringsplatforme, og i skrivende stund er vi i dialog med Kombit og ser meget frem til en kommende integration af Skoletube direkte i AULA. I den græske mytologi kæmpede Pandora for at få sat låg på æsken. Det eneste der ikke undslap, var håbet. Det håb har vi stadigvæk tilbage, for ingen ved endnu, hvad de endelige retningslinjer bliver. Rygterne siger, at de lander i marts. Vi kan håbe på, at de åbner for, at vi fortsat kan bruge ALLE de lækre produktionsværktøjer, der ligger på Skoletube. Men at værne om vores brugeres persondata står før alt andet. Det ér og har altid været vigtigt for os, og fremadrettet vil vi fortsat efterleve GDPR, og kun overføre data til underleverandører, hvis der er et lovligt overførselsgrundlag.
Der er ingen tvivl om at dette bliver et kæmpe tilbageslag for mulighederne for at bruge digitale værktøjer i undervisningen, og jeg tror, at det vil føles ekstra hårdt for mange af vores brugere her på Skoletube, da der jo har været nem og gnidningsfri adgang til et overflødighedshorn af state of the art værktøjer i en årrække. Når Skoletube kun delvist bliver ramt, så skyldes det, at vi på Skoletube har vores kernefunktionalitet placeret på vores egne danske servere i Danmark. Alt, hvad du f.eks. uploader på Skoletube, ligger på Skoletubes egne servere i Danmark. Du kan derfor fortsat uploade og dele via skoletube, som du altid har gjort. I disse dage er vi ved at konsoliderer Skoletube yderlige ved at trække værktøjer hjem og placere dem på vores
Skoletube vil fortsat være jeres lovlige digitale værktøjskasse og distributionsplatform - også efter Schrems II. Det vil være dér, at I lægger og deler medier lovligt, og dér, I producerer multimodale tekster.
15
GDPR styrer it i skolen 25. maj 2018 blev skelsættende i skolernes arbejde med it i undervisningen. Det miljø som tidligere var åbent for at lærere kunne udforske, afprøve og anvende mulige it-værktøjer blev sat i stå og erstattet af “Blokeret af administrator” skilte. Denne nye realitet opleves også som it-administrator og ansvarlig for indhold på skolernes udstyr. Pludselig er man dataansvarlig. Af Steen Demuth
Databehandleraftaler (DBA)
Jeg taler ikke imod, at skolerne har et ansvar i forhold til at beskytte personales og børns data. Hverken persondata eller data genereret i forbindelse med undervisning i skolen. Heller ikke imod at arbejde med viden om databeskyttelse.
Det overrasker mig, hvor mange aktører der er omkring it i skolen, men ikke hvor uinteresserede de hver for sig er i at tilpasse deres aftaler om databehandling til lokale forhold. For Tech-giganterne er det fra start klart, at kun aftale på EU-niveau accepteres. Men for alle andre aktører tænker jeg flere gange: “Sidder vi 98 steder i Danmark og bruger timer på at forstå dette indhold, og dernæst afgøre om vi kan eksistere med det”? Samtaler med kolleger landet over bekræfter, at det gør vi.
Mit arbejdsliv ændredes markant i starten af 2018. Pludselig var jeg “deltids-jurist” med ansvar for GDPR, og hvad dertil hørte. En opgave markant anderledes end den jeg hidtil havde løst. Selvfølgelig parallelt med at den hidtidige opgave stadig skulle løses.
Handleplaner
Danmark er et lille land, og jeg tror på, at vore leverandører lever op til gældende lovgivning, også på GDPR. Efter at have læst de første aftaler indså jeg, at de var ret ens og skrevet efter en af to skabeloner. Der er derfor få nedslagspunkter at koncentrere sig om.
Min første indsats med GDPR var den handleplan for håndtering af den nye lovgivning og de forpligtelser der lå deri. Tanken var at hvis det frygtede Datatilsyn (DT) kom forbi så var vi i gang. Møder med DPO (Data Protection Officer - hvor udansk), møder i tværgående udvalg om datasikkerhed. Masser af møder, generelt uden at det reelle arbejde med GDPR blev simplificeret. Jeg vil forsøge at beskrive arbejdet og overvejelser med GDPR i resten af artiklen.
• Er der i aftalen tilføjet betaling for særlige ydelser? • Hvilke 3. lande benyttes? • Hvordan slettes data? Vigtigt at gøre det til leverandørens ansvar. • Hvilke persondata overføres?
16
Vi benytter kun UniLogin, så den er enkel. Men især 3. lande udfordrer. Ud med Pakistan og ind med godkendt land. Det kørte bare. Indtil Schrems ll. Aftaler om dataoverførsel, til især USA, som Safe Harbour og Privacy Shields er skudt i sænk af EU-domstolen. Vel og mærke aftaler indgået af EU. Leverandører skifter til Standard Contractual Clauses. Når den lukkes, er det slut med at overføre data til cloud-løsninger. Digitaliseringsstyrelsen og profeterne har prædiket om Cloud som løsningen i fremtiden. Uden at sikre det juridiske grundlag. Liden flue vælter stadig stort læs.
17
Revisorerklæringer (RE)
de var ret ens, og derfor endte med en RV for AULA, der tog højde for alle funktioner.
GDPR er tidskrævende. Næste opgave hed revisorerklæringer. Sørg for i DBA at forpligte leverandør til at fremsende RE. Det letter arbejdet. Alternativt skal du selv henvende dig mindst en gang årligt. Særlig mindre leverandører kvier sig ved at betale rige revisionsfirmaer mange kroner for udarbejdelse, og de foretrækker egne erklæringer. Det finder jeg okay, men det gør DPO og jura ikke.
RV tager tid. Vi har taget ansvar for sikkerheden. RV er mest dokumentation for, at vi har gjort det. Med dokumentation står vi stærkt. hvis Datatilsynet dukker op. Måske forsvinder RV i ESDH. Belært af tidligere erfaringer (AULA), skulle der udtænkes struktur for risikovurderinger, som modvirker at opgaver løses flere gange.
Har du gjort ovenstående vil du nu være den glade modtager af årlige erklæringer, der alle samstemmende erklærer:
Min vurdering er at risikovurdering kan separeres i to forhold. 1. Brugerrisici
Revisionen konkluderer at DBA “i alle væsentlige henseender er retvisende”
2. Systemrisici Derfor løser jeg opgaven ved at lave risikovurdering på loginprocesser og dernæst på Google Suite. Kommende risikovurderinger bygger ovenpå disse. http://kortlink.dk/2ae3q
Så hvor meget af DBA kan vi stole på. Skal vi selv undersøge noget? Opfølgning på RE står revisionsfirmaer gerne for. Mon de følger op på egne erklæringer? Er GDPR skjult støtte til advokat- og revisionsfirmaer? Kompleksitet, manglende kompetencer og tid har kostet konsulentydelser rundt om. Både til DBA og RE. Ligger der superb lobbyarbejde bag? KL spørger i høringssvar til EU efter centrale løsninger på dette. Det vil være kærkomment.
Google Suite for Education (GSfE) Valget mellem Google og Microsoft ligner valg af religion. Men man kan ikke diskutere det med hverken jura eller it-afdeling. Ofte kræver det lange forklaringer, før det forstås, at der findes Google, og der findes Google Suite for Education.
Risikovurderinger (RV) På baggrund af forældreklage om barns navn, skole og klasse i en YouTube kommentar, konkluderer Version2, at en større dansk kommune bryder loven ved at købe Chromebooks til alle elever, og senere at halvdelen af landets kommuner negligerer GDPR ved ikke at have udarbejdet RV.
Blokering af apps og tilføjelser
RV mødte jeg første gang via AULA. Kombit udsendte 10 regneark og 10 PDF-filer. En for hver funktion i AULA. Troskyldigt prøvede vi at udfylde alle 10, før vi gennemskuede, at
API styring
Med et enkelt museklik og klik på gem forhindrer man i GSfE-administration, at brugerne kan hente apps og tilføjelser som ikke er godkendt i systemet. Så langt så godt, men nu skal alle ønsker om apps og tilføjelser vurderes og afgørelse dokumenteres.
Hele Version2’s artikelserie om kommunernes beskyttelse af børns data sker på baggrund af manglende API-styring. Teknisk set
18
Billede: risikovurdering på loginprocesser
gør API det muligt for software at få adgang til anden software og udveksle data.
GDPR er en udfordring for alle i undervisningssektorerne. Generelt besværliggøres arbejdet med datasikkerhed af manglende skabeloner, manglende standarder og forskellige fortolkninger.
Det er enkelt at lukke ned for alle API i Google. Efterfølgende kan man så vurdere, analysere og dokumentere, hvilke API man behøver at åbne for. API styring sikrer også at elever og lærere ikke kan bruge deres skolekonto til at logge på tjenester der ikke er godkendt af administrator.
Mit arbejde med GDPR er lettet gennem samarbejde i netværk, hvor vi hjælper hinanden med at løse opgaver 98 steder i landet. Jeg undrer mig over manglende centrale initiativer i udførelsen af opgaven. Regler og forordninger udarbejdes i øverste led, mens ansvar og udførsel finder sted længst væk fra øverste led.
GDPR derude i virkeligheden Kan man overføre data til Google; den samme data som man uden betænkning overfører til Microsoft? Ja, det kan man godt. Hvis man ikke har login til en konto, er data krypteret, så det er umuligt at sætte det sammen til noget forståeligt. Det samme gælder for Microsoft. Tilbage står, at beskyttelse af data hovedsageligt ligger hos brugere og administratorere af systemerne. Tilbage står endvidere, at mere viden primært om beskyttelse af brugernavn og adgangskoder både hos lærere og elever giver den bedste beskyttelse af data.
Jeg synes, at GDPR på den ene side udfordrer vigtige elementer, der har kendetegnet danske skolers arbejde med ny teknologi i undervisningen. Risikovillighed til afprøvning af nyt og udforskning af nye teknologier. På den anden side er det væsentligt at passe godt på brugernes data. På den front er vi kommet langt i løbet af de sidste to år. Nu har vi tilmed dokumenteret det.
19
KL arbejder centralt på at synliggøre forhold omkring GDPR, og de har blikket rettet mod, at det giver mening at arbejde for centrale løsninger, da området kan være alt for uoverskueligt ude i de mange kommuner. Denne information om Schrems II-anbefalingerne fra Det Europæiske Databeskyttelsesråd er sendt ud til kommunerne den 14. januar 2021. Det Europæiske Databeskyttelsesråd anbefalinger kan læses i oprindelig udgave via disse to links:
Dommen erklærer Privacy Shield-ordningen, som har været anvendt ved dataoverførsler til USA, ugyldig. Samtidig stiller dommen krav om, at hvis man anvender EUKommissionens standardkontrakter som overførselsgrundlag, så skal man skal vurdere niveauet af databeskyttelse i de tredjelande, man ønsker at overføre data til. Og viser databeskyttelsen sig ikke at være tilstrækkelig, skal man aftale yderligere sikkerhedsforanstaltninger med sine leverandører. Hvis dette ikke er muligt, må der ikke overføres data til tredjelande, herunder USA.
http://kortlink.dk/2ak2d http://kortlink.dk/2ak2e KLs anbefalinger til kommunernes håndtering af tredjelands-overførsler på baggrund af anbefalingerne er opdateret den 22. januar og kan læses på denne hjemmeside: Schrems II-dommen (kl.dk).
KL har informeret om indholdet af dommen på KL´s hjemmeside: Schrems II-dommen (kl.dk), men der udestår fortsat afklaring af, hvordan kommunerne skal efterleve dommen i praksis. Der har derfor været store forventninger til nye anbefalinger fra Det Europæiske Databeskyttelsesråd om, hvordan man overholder dommens krav.
Til kommunens - It-chef - Databeskyttelsesrådgiver - Informationssikkerhedsmedarbejdere
Orientering om anbefalinger på baggrund af Schrems II-dommen Schrems II-dommen fra EU-domstolen har rejst mange spørgsmål om mulighederne for at overføre personoplysninger til lande uden for EU, fx via cloud-løsninger.
./. Datatilsynet har den 12. november sendt anbefalingerne til KL, som hermed vedlægges til orientering. Der er tale om to sæt anbefalinger:
20
• Anbefalinger om europæiske essentielle garantier (Recommendations 02/2020 on the European Essential Guarantees for surveillance measures)
provides such a level of protection in accordance with Article 45 of the GDPR.” – at Datatilsynet vejleder om, hvorfor anbefalingerne særskilt fokuserer på overvågning i tredjelande, jf. anbefalingernes engelske titel ”Recommendations 02/2020 on the European Essential Guarantees for surveillance measures”, herunder om overvågning skal tillægges særlig vægt ved vurderingen af tredjelande.
• Anbefalinger om iværksættelse af supplerende foranstaltninger (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data) Anbefalingerne om europæiske essentielle garantier er endeligt vedtaget, mens anbefalingerne om supplerende foranstaltninger har været i høring frem til den 21. december.
– at Datatilsynet som supplement til anbefalingerne udarbejder konkret, national vejledning til, hvordan en vurdering af forholdene i tredjelande konkret kan gribes an. Hvem skal spørge? Hvad skal man spørge om? Og hvordan skal man vurdere de svar, man får?
Desværre ser KL ikke, at anbefalingerne i tilstrækkelig grad giver kommunerne den fornødne hjælp, og KL har derfor været i dialog med Datatilsynet herom.
– at Datatilsynet udarbejder vejledning om, hvordan man skal forholde sig til anbefalingerne om iværksættelse af supplerende
KL har gjort Datatilsynet opmærksom på, at KL ser behov for: – at de vedtagne anbefalinger om europæiske essentielle garantier oversættes til dansk sådan, at anbefalingerne bliver lettere at forstå og dermed efterleve. – at Datatilsynet vejleder om, hvorvidt man har opfyldt sine forpligtelser i forhold til at foretage konkret vurdering af tredjelandes databeskyttelsesniveau, hvis man efterlever anbefalingerne om europæiske essentielle garantier eller, om der skal andet og mere til og i givet fald, hvad dette er. Anbefalingernes punkt 8, 1. pkt. giver nemlig anledning til tvivl: ”8. Indeed, the European Essential Guarantees form part of the assessment to conduct in order to determine whether a third country provides a level of protection essentially equivalent to that guaranteed within the EU but do not aim on their own at defining all the elements which are necessary to consider that a third country
21
foranstaltninger, som endnu ikke er vedtaget. Datatilsynet har oplyst, at der med stor sandsynlighed ikke vil ske ændringer i anbefalingernes seks ”steps” om, hvordan man udviser ansvarlighed ved dataoverførsler men, at der eventuelt kan komme ændringer i ”annex 2” om supplerende foranstaltninger.
I dialogen med Datatilsynet om de nye anbefalinger fra Det Europæiske Databeskyttelsesråd har KL opfordret til, at Datatilsynet i regi af Det Europæiske Databeskyttelsesråd rejser behovet for en central løsning af opgaven. KL drøfter også behovet for en central løsning af opgaven med staten. Der er imidlertid ikke udsigt til en snarlig løsning. Desuden er der ikke på kort sigt udsigt til en ny ordning som erstatning for Privacy Shield, som ville kunne gøre dataoverførsler til USA lovlige uden yderligere tiltag. KL er opmærksom på, at dette efterlader kommunerne i en svær situation. KL vil derfor hurtigst muligt komme med anbefalinger til kommunerne på www.kl.dk om sagen.
I KL´s høringssvar til Justitsministeriets nationale evaluering af databeskyttelsesreglerne: KL og kommunernes bidrag til evalueringen af GDPR opfordrer KL til, at den vurdering af tredjelandenes databeskyttelsesniveau, herunder tredjelandenes lovgivning, som kommunerne pålægges i medfør af Schrems II-dommen, foretages centralt – enten nationalt eller i EU-regi. Det er en opgave, som kommunerne efter KL´s mening ikke hverken kan eller bør pålægges. Og eftersom alle dataansvarlige – myndigheder såvel som virksomheder – skal foretage de samme vurderinger, vil det ud fra et effektivitetshensyn være en langt mere optimal løsning.
Med venlig hilsen Pia Færch
22
Perspektiv på Shrems II - Varde Kommune af Bjarne Lund Christensen, skolekonsulent
I Varde Kommune er EU-dommen Schrems II drøftet, og ligeledes den fremtidige tilgang i sikkerhedsudvalget. Den korte fortælling er, at alle fagforvaltninger skal være særligt opmærksomme på overførsler til tredjelande, og at kommunen følger KL’s anbefalinger på området.
udfordringer der i forhold til dommen. I første omgang forbød vi skolerne at anvende tjenesterne i Skoletube. Det er senere blevet opblødt, da Skoletube har gjort programmer med overførsel til tredjelande utilgængelige for brugerne af tjenesten i Varde Kommune. I forhold til skolerne/underviserne, er forvaltningen meget opmærksomme på at gøre dem opmærksomme på diverse problematikker omkring GDPR. Dette har blandt andet medført, at skolerne ikke indkøber programmer, før de har været i kontakt med mig, og jeg har udarbejdet en databehandleraftale. På den måde forsøger vi at fange eventuelle problematikker på forhånd.
I praksis er det et administrativt bøvl og ret uigennemskueligt. Udfordringen er, at det ofte er fuldstændigt umuligt at gennemskue for almindelige lægfolk som fx skole- og forvaltningsfolk. Kommunen har specifikt været i kontakt med Skoletube, da vi primært så nogle
23
CFU om GDPR og Schrems II – Er vi i mål? Af Bjørn Ilsøe, institutchef, Københavns Professionshøjskole og formand for CFU Danmark. Steen Aamand Olesen, chefkonsulent, Center for Undervisningsmidler UC Lillebælt.
CFU’s politik er selvfølgelig at overholde alle regler og opfylde de krav, der stilles til CFU’s digitale services, så den enkelte underviser trygt kan anvende dem.
Den 25. maj er det tre år siden, at EU’s Persondataforordning medførte en række skærpede krav til virksomheder og myndigheders håndtering af personoplysninger. Det gav store udfordringer til skoler og kommuner, og naturligvis også til Center for Undervisningsmidler, der har brugt mange kræfter på at imødekomme disse krav.
Vi fik i professionshøjskolerne, som alle offentlige myndigheder har pligt til, ansat en databeskyttelsesrådgiver (DPO - Data Protection Officer), der som udgangspunkt har tre hovedopgaver:
Persondataforordningen har til formål at øge beskyttelsen af den registreredes persondata.
• at vejlede og rådgive • at føre tilsyn og kontrollere • at være de registreredes ombudsmand.
Overordnet er CFU’s synspunkt, at sikringen af individets ret til egne data som GDPRreglerne foreskriver er essentiel og udviklet i en god sags tjeneste, men dog stadig omstændig at udføre i praksis. Schrems II komplicerer dette yderligere, og vi er selvfølgelig ikke som individuel forening i stand til at vurdere tilstrækkeligheden af persondatabeskyttelse i eksempelvis USA. Vi er opmærksomme på, hvad datatilsynet og mere relevant EU anbefaler.
DPOen skal sikre, at behandling af persondata sker i henhold til gældende lovgivning. DPOen sørger for, at medarbejderne uddannes i at håndtere kravene, og DPOen er også bindeled imellem Datatilsynet og institutionen, hvis Datatilsynet anmoder om oplysninger og dokumentation for processer. Som CFU-medarbejder skulle vi som alle andre ansatte i sektoren gennemføre og bestå et obligatorisk E-læringskursus senest d. 10.maj 2019, og der findes i dag på vores intranet udførlig dokumentation og vejledning til personale og studerende angående GDPR og IT-sikkerhed.
Vi har alle kun persondata til låns og må kun bruge disse data til et specifikt og legitimt formål. Når det formål er opfyldt, skal persondata som udgangspunkt slettes.
24
Vi har kunnet iagttage, at kommunerne og skolerne på lignende vis har gennemført kurser for ansatte og som vi er i en stadig proces med at håndtere de udfordringer GDPR giver.
personoplysninger, som regulerer forholdet mellem CFU og de institutioner og kommuner, som bruger CFU’s ydelser. Vi har stor glæde af at trække på samme hammel, og det er i CFU DK regi, at nødvendige aftaler håndteres, sådan som det fremgår af http://cfu.dk/data/
Aalborg kommune var en af de kommuner, der meget hurtigt var ude med små videoer og et spil for at skabe bevidsthed om de nye krav via deres site: https://www.nogetathavedeti.dk/gdpr.
Det betyder også, at de mange aftaler med forlag om CFUernes adgang til deres digitale læremidler kan håndteres centralt, så vi kan leve op til vores forpligtelse i Informationsaftalen og vore konsulenter kan rådgive og vejlede undervisere i brugen af forlagenes digitale læremidler.
Foruden disse overordnede tiltag og nødvendige kompetenceløft af personalet, som vi alle har måttet agere på, så er der de daglige udfordringer, der handler om håndteringen af de digitale tjenester, vi gør brug af, og også de digitale tjenester vi udbyder som CFU.
Udover vores digitale services vejleder vi også lærere ift. brugen af forskellige tjenester f.eks. aktuelt i Distance Learning through Play projektet (på tværs af CFUerne), hvor vi samler og formidler inspirerende online forløb og kreative digitale undervisningsgreb. Når vi anbefaler en given tjeneste uden for mitCFU til undervisning, kan vi ikke nødvendigvis stå inde for datasikkerheden, og yder her i højere grad ikke-juridisk rådgivning i god praksis i forhold til databeskyttelse: Vi gør lærerne opmærksomme på forhold, som de bør undersøge, inden de inddrager en given løsning i undervisningen, f.eks. hvilke brugeroplysninger der lagres i tjenesten samt hvordan brugerne potentielt selv kan producere personfølsomt indhold (f.eks. delte dokumenter, fælles tavler, chatfunktioner, kommentarspor mm.). Derudover anbefaler vi, at lærerne rådfører sig med deres skoleleder omkring skolens overordnede databeskyttelsespolitik.
CFUerne samarbejder på landsplan i CFU DK, og et centralt omdrejningspunkt er mitCFU, der er den software, som håndterer vore samlinger af analoge og digitale læremidler. I CFU-regi er der ud over mitCFU også den digitale service Søgsmart, og i begge løsninger er vi som tjenesteudbyder og databehandler afhængige af institutionsdata for at kunne yde den nødvendige service til vores brugere. Adgang til platformene kræver UNI-login, og CFU Danmark gør brug af to UNI-Login webservices, WS22 og WS17-lille, der stilles til rådighed af Styrelsen for IT og Læring (STIL). Disse services giver udelukkende CFU adgang til lærere og elevers navne og klassetilhørsforhold. CFU Danmark får således ikke oplysninger om vores brugeres CPR-numre, mailadresser m.m. CFU opererer på baggrund af en bekendtgørelse, og kan derfor ikke indgå i kommunernes standard databehandlingsaftaler (Kombit), der er stilet til private virksomheder. I stedet har CFU DK udviklet en særlig databehandlingsaftale vedrørende
Er vi så alle i mål angående GDPR her efter tre år? Nej, det er vi helt sikkert ikke. Vi har nok alle i virkeligheden kun fundet de første svar på nogle af udfordringerne.
25
”Nogen må ringe til en voksen og forklare, at 99% af de systemer, vi bruger i dag, er ulovlige” Det offentlige undslipper ikke udarbejdelsen af de lovpligtige Transfer Impact Assessments. I får her en status på Schrems II-dommen og en opfordring til at samarbejde på tværs af institutioner og kommunegrænser. Af Martin Folke Vasehus, stifter og CEO, ComplyCloud
26
I bruger IT-leverandører og IT-ydelser fra USA og andre lande uden for EU. Og for lige at repetere, så betyder dommen altså, at I skal sikre og står til ansvar for, at der er et passende databeskyttelsesniveau i de lande, som jeres IT-leverandører og IT-underleverandører kommer fra.
Citatet, jeg prøver at fange jeres opmærksomhed med i overskriften, var et, jeg kom med på en konference for en måneds tid siden. Konferencen hed ”Sandheden om Schrems II – erhvervslivets Cuba-krise”, men det er ikke kun erhvervslivet, der er berørt. Som offentlige organisationer skal I også spidse øren.
Som offentlige organisationer slipper I altså ikke. Og derfor skal I finde en måde, hvorpå I kan dokumentere såkaldt ”ansvarlighed” i jeres beslutninger. Det gør I ved at lave Transfer Impact Assessments (TIA), som er lovpligtige konsekvensanalyser af overførsel af personoplysninger til tredjelande.
EU-domstolen afsagde sidste sommer Schrems II-dommen, som siden hen har givet både private og offentlige virksomheder hovedbrud. Dommen gør det nemlig ulovligt at overføre personoplysninger til lande uden for EU … medmindre man som dataansvarlig (fx en dansk kommune) kan dokumentere, at det modtagende land har et passende databeskyttelsesniveau, der i det væsentligste svarer til den beskyttelse, som GDPR sikrer os her i EU.
Indrømmet. Det er ikke nogen let opgave. Der skal nemlig udarbejdes én TIA pr. leverandør, som på jeres vegne overfører personoplysninger til USA eller andre lande uden for EU/EØS. Det er tidskrævende og kræver de rette kompetencer inden for databeskyttelsesret. Og så risikerer det også at blive rigtig dyrt. Det tager nemlig op mod 15-20
I skal dokumentere ansvarlighed ”Overfører vi personoplysninger til lande uden for EU?”, spørger I måske jer selv om. Og ja, det gør I, hvis
FAKTA: Spørgsmål fra kommunerne om Schrems II Vi svarer jævnligt på spørgsmål om Schrems II fra offentlige virksomheder. Et af dem lyder ”Er kommunen reelt forpligtet til at lave en risikovurdering for ibrugtagen af tjenester hostet hos amerikanske firmaer eller hos en leverandør, der benytter amerikansk hosting?”. En anden spørger ”Hvad gør vi i kommunerne, når vi er bundet til leverandører så som KMD og mange andre, der benytter underdatabehandlere i stor stil – som jo ligger i USA eller har tråde til USA?”. Du kan læse svarene her. https://complycloud.com/vi-svarer-paa-spoergsmaal-fra-deltagerne-paa-eventetsandheden-om-schrems-ii-erhvervslivets-nye-cuba-krise/#public2
27
advokattimer at udarbejde bare en enkelt vurdering af én leverandør i ét land. En middelstor dansk kommune vil – skønner jeg – skulle lave i omegnen af 70 vurderinger.
opfordring vil klart være, at I samarbejder på tværs af skoler og kommunegrænser om at finde løsninger, der både kan lette opgaven, men også skabe økonomisk fornuft i udarbejdelsen af Transfer Impact Assessments. Én løsning kunne være at skæve til nogle af de værktøjer, der er kommet på markedet i den seneste tid. Bruger I teknologi til at løse opgaven, kan I i visse tilfælde lave en TIA på helt ned til 30 minutter.
Ikke desto mindre er udarbejdelsen af TIA den eneste nuværende løsning, da de større bagvedliggende politiske årsager ikke ser ud til at blive løst lige foreløbigt. Det er derfor op til markedet – leverandørerne og jer som kunder – at lede efter løsningerne.
Samarbejd på tværs af det offentlige Som kommuner ligner I et langt stykke ad vejen hinanden og står over for de samme udfordringer, når I skal lave TIA’er. Så min
FAKTA: Læs dig til mere viden om Schrems II Der udgives jævnligt whitepapers, rapporter og artikler mv., som kan hjælpe jer til bedre at forstå Schrems II og opdatere jer om den løbende udvikling på området. • Schrems II og Standard Contractual Clauses Et whitepaper med det vigtigste, I bør vide om EDPB’s nye anbefalinger om tredjelandsoverførsler og krav til brug af Kommissionens standardkontraktbestemmelser. https://complycloud.com/ download-whitepaper-schrems-ii-og-standard-contractual-clauses/ • Datatilsynets fokusområder 2021 Overførsel af personoplysninger til tredjelande er et af 13 områder, som Datatilsynet vil fokusere på i 2021. I denne tekstsamling kan I læse om alle 13 områder og få tips til, hvordan I bliver og forbliver compliant. https://complycloud.com/datatilsynets-fokusomraader-2021-ude-nu/ • GDPR Casebook Quarterly – Q4 2020 Fire gange om året udgiver ComplyCloud en GDPR Casebook. Her samler vi alle Datatilsynets afgørelser, analyserer på dem og giver vores kommentarer og anbefalinger med på vejen. https://complycloud.com/download-casebook/
28
29
Tag kontrollen tilbage Skolerne bruger store summer på licenser og giver elevernes opmærksomhed gratis væk. Der var en overgang hvor det krævede en særlig indsats at finde alternativer. Det er ikke længere tilfældet, så måske er det på tide at overveje at spare nogle penge og tage vare på elevernes data? Artiklen giver nogle forslag til hvilke teknologier man kan udskifte de proprietære systemer med. Af Jeppe Bundsgaard, professor, DPU, Aarhus Universitet
• Linux som alle kan downloade og integrere i hvilket som helst projekt (fx bygger Android på Linux).
Danmark er blandt de absolut førende inden for it både generelt på det offentlige område og specifikt på grundskoleområdet. Det viser både PISA- og ICILS-undersøgelserne1 og de forskellige it-paratheds-indeks2. Og måske som følge deraf bruger skolevæsenet meget store summer på hardware, licenser, abonnementer og alt det andet. Der betales i kroner og ører og for nogle ’services’ vedkommende med elevernes opmærksomhed. Men sådan behøver det ikke at være.
• Wikipedia som stiller viden om alt mellem himmel og jord helt gratis til rådighed for alle i verden. Sideløbende med denne bevægelse har der været et helt legitimt ønske om at tjene penge på sit arbejde – og det gør de skam også, mange af dem der deltager i udviklingen af de åbne teknologier. Men nogle af dem der vil tjene penge, har ønsket at skabe monopoler og eksklusive løsninger. De har skabt lukkede filtyper, opkøbt konkurrenter, bekæmpet åbne standarder, umuliggjort brug af ”gammel” hardware og meget mere.
Der har nemlig helt fra starten af computeralderen været en strømning som har arbejdet for åbenhed, deling og fri software og indhold. Derfor findes der smukke og imponerede skabninger som er udviklet af folk fra hele verden og delt gratis med alle andre – fx • Internettet med de åbne standarder, så alle kan udvikle programmer der kan læse og skrive hjemmesider, sætte en server op (fx med den åbne server Apache) og forbinde til alle de andre i et sprog som de alle taler.
Det er ikke i vores fælles interesse, for så lukkes vi inde i disse systemer, bliver nødt til at købe den hardware som kan bruges med det proprietære system, blive tvunget til at opgradere softwaren – mod betaling og meget mere.
30
31
Måske var det på tide at tage kontrollen tilbage?
uden alt det skrald man må finde sig i at skulle igennem i disse ”butikker”. Opdateringen af softwaren foregår lige så simpelt som på mobiltelefonerne – uden at man bemærker noget. Ubuntu kan i øvrigt installeres på computere som har mange år på bagen og er helt uden for den seneste Windows-versions rækkevidde.
Vi bruger open source og åbne standarder allerede. Hvorfor ikke tage de næste skridt og tage kontrollen tilbage? Der findes i dag fremragende software som er moden til at alle kan bruge det.
De allerstørste it-firmaer tjener ufattelige summer på noget de giver os gratis ... Til gengæld giver vi dem lov at sælge os til andre firmaer, politikere og hvem der ellers vil betale for vores opmærksomhed. De er lykkedes med at skabe nogle af de stærkeste monopoler i form af kommunikations- og videoplatforme. Facebook (der også ejer Instagram og WhatsApp mm.), Twitter, Google (der også ejer Youtube) osv. Disse platforme er så stærke fordi de har formået at tiltrække sig meget store andele af befolkningen som ”brugere”, og når nogen truede dem, opkøbte de dem. Derfor er de svære at konkurrere med. Men i dag findes der åbne, frie teknologier som har potentialet . Spørgsmålet er om vi tager problemerne med monopolerne alvorligt nok. Hvis vi gør det, så står vi sammen om at etablere og flytte vores sociale kommunikation over på disse teknologier. Her er der nok indtil videre tale om at frontløbernes frontløbere skal gå i gang.
Tag fx et kig på Nextcloud3, der startede som et skybaseret fildelingssystem a la Dropbox og Google Drive, men som nu er en fuld infrastruktur til deling, kommunikation og samarbejde. Systemet er opbygget som en app-infrastruktur, og der er udviklet apps til alle mulige og umulige opgaver4. Nextcloud understøtter federation så man kan samarbejde på tværs af skyer. Man kunne fx have en sky på hver skole og samarbejde på tværs af skoler og skyer. Det er open source, så hvis du er på en frontløberskole eller i en frontløberkommune, så er det måske jer der skal vise hvordan man kan tage kontrollen tilbage? Eller spar en god sum på office-licenser. Der er ingen grund til at sende penge til Microsoft – der findes et fremragende alternativ i form af LibreOffice5 – som både kan læse og skrive i Microsofts filformater og i alle mulige andre, så overgangen er ikke noget stort problem.
1.
Hvis I er trætte af at vente på Windowsopdateringer og ikke synes det giver mening at betale Microsoft for nye licenser for at kunne få et opdateret styresystem, så var det måske en ide at afprøve en af Linux-distributionerne. Den mest kendte er Ubuntu 6. Det er meget enkelt at installere, og alle opdateringer er gratis og giver ikke besvær. Ubuntu er i dag et strømlinet og slankt system som er let at overskue og kan tilpasses i det uendelige. Software installeres let og hurtigt fra en central server ligesom på mobiltelefoner. Men
2. 3. 4. 5. 6. 7.
32
https://dpu.au.dk/forskning/internationaleundersoegelser/pisa/ og https://projekter. au.dk/icils/ https://ec.europa.eu/digital-single-market/ en/digital-economy-and-society-index-desi https://nextcloud.com/hub/ og https://nextcloud.com/industries/education/ https://apps.nextcloud.com/ https://www.libreoffice.org/ https://ubuntu.com/ fx https://en.wikipedia.org/wiki/Matrix_(protocol), https://joinmastodon.org/, https:// element.io/
Hvad skal en lærer vide om GDPR? Af Thomas Dreisig Thygesen, formand Danmarks it- og medievejlederforening
Grundlæggende bør en lærer vide, hvad GDPR er for en størrelse, og hvilken betydning det har for arbejdet som lærer.
kommunen. Typisk vil det være kommunens DPO (Data Protection Officer) eller informationssikkerhedsafdelingen, der anmelder et databrud til Datatilsynet.
Omgangen med informationer om andre kræver altid ekstra bevågenhed. Vi taler ikke om elever, når alle kan høre det, og vi har ikke følsomme papirer til at flyde på skrivebordet. Data i it-systemer er ikke anderledes, og det er vigtigt at vide, hvad man gør hvor.
Det kan være en fordel, at kommunen eller den enkelte skole tydeliggør, hvad de forskellige it-systemer anvendes til. Det bør også være tydeligt, hvem der er superbruger eller vejleder og kan hjælpe med brugen af systemer.
Gøres ting de rigtige steder, så minimerer man risikoen for fejl. Finder der alligevel et datalæk sted, hvor følsomme data eksponeres for uvedkommende, skal dette anmeldes med det samme. Som lærer skal man vide, hvem man kontakter på skolen eller i
Omstående er et eksempel på, hvordan en kommune kan tydeliggøre, hvad man gør hvor. Bemærk at support er tydeliggjort for alle it-systemer.
33
En helt udfyldt skabelon kan hentes til egen brug via linket: http://kortlink.dk/2ahgp
34
35
Danmarks it og medievejlederforening afholder
Generalforsamling lørdag d. 24 april kl. 11 på Sixtus
Mødet vil blive delvist virtuel - der kan deltages via Teams.
Dagorden : • Valg af dirigent. • Vedtagelse af forretningsorden. • Beretning fra foreningen. • Regnskab. • Fastsættelse af kontingent til foreningen. http://kortlink.dk/2ap26 • Indkomne forslag. • Valg af: - 3 styrelsesmedlemmer. På valg er Rikke Falkenberg Kofoed, Søren Dahl samt Rune Gråbæk. (Der er suppleant for Thomas Dreissig efter dennes valg til formand) - 2 suppleanter til styrelsen. - 1 revisor. - 1 revisorsuppleant. • Eventuelt.
Gl. Avernæs - Konference
Gl. Avernæs Konferencen 2021 er lige som i 2020 flyttet til efteråret, men derudover er alt næsten som det plejer. To dage med oplæg, inspiration og network om teknologi, digitale medier og læring. Reserver mandag d. 13/9 og tirsdag d. 14/9 til forrygende dage med Danmarks it- og medievejlederforening på Gl. Avernæs. Program og tilmelding kommer snart på www.it-vejleder.dk
