11 minute read
GDPR styrer it i skolen
25. maj 2018 blev skelsættende i skolernes arbejde med it i undervisningen. Det miljø som tidligere var åbent for at lærere kunne udforske, afprøve og anvende mulige it-værktøjer blev sat i stå og erstattet af “Blokeret af administrator” skilte. Denne nye realitet opleves også som it-administrator og ansvarlig for indhold på skolernes udstyr. Pludselig er man dataansvarlig.
Af Steen Demuth
Advertisement
Jeg taler ikke imod, at skolerne har et ansvar i forhold til at beskytte personales og børns data. Hverken persondata eller data genereret i forbindelse med undervisning i skolen. Heller ikke imod at arbejde med viden om databeskyttelse.
Mit arbejdsliv ændredes markant i starten af 2018. Pludselig var jeg “deltids-jurist” med ansvar for GDPR, og hvad dertil hørte. En opgave markant anderledes end den jeg hidtil havde løst. Selvfølgelig parallelt med at den hidtidige opgave stadig skulle løses. Databehandleraftaler (DBA)
Det overrasker mig, hvor mange aktører der er omkring it i skolen, men ikke hvor uinteresserede de hver for sig er i at tilpasse deres aftaler om databehandling til lokale forhold. For Tech-giganterne er det fra start klart, at kun aftale på EU-niveau accepteres. Men for alle andre aktører tænker jeg flere gange: “Sidder vi 98 steder i Danmark og bruger timer på at forstå dette indhold, og dernæst afgøre om vi kan eksistere med det”? Samtaler med kolleger landet over bekræfter, at det gør vi.
Danmark er et lille land, og jeg tror på, at vore leverandører lever op til gældende lovgivning, også på GDPR. Efter at have læst de første aftaler indså jeg, at de var ret ens og skrevet efter en af to skabeloner. Der er derfor få nedslagspunkter at koncentrere sig om. • Er der i aftalen tilføjet betaling for særlige ydelser? • Hvilke 3. lande benyttes? • Hvordan slettes data? Vigtigt at gøre det til leverandørens ansvar. • Hvilke persondata overføres?
Handleplaner
Min første indsats med GDPR var den handleplan for håndtering af den nye lovgivning og de forpligtelser der lå deri. Tanken var at hvis det frygtede Datatilsyn (DT) kom forbi så var vi i gang. Møder med DPO (Data Protection Officer - hvor udansk), møder i tværgående udvalg om datasikkerhed. Masser af møder, generelt uden at det reelle arbejde med GDPR blev simplificeret. Jeg vil forsøge at beskrive arbejdet og overvejelser med GDPR i resten af artiklen.
Vi benytter kun UniLogin, så den er enkel. Men især 3. lande udfordrer. Ud med Pakistan og ind med godkendt land. Det kørte bare. Indtil Schrems ll. Aftaler om dataoverførsel, til især USA, som Safe Harbour og Privacy Shields er skudt i sænk af EU-domstolen. Vel og mærke aftaler indgået af EU. Leverandører skifter til Standard Contractual Clauses. Når den lukkes, er det slut med at overføre data til cloud-løsninger. Digitaliseringsstyrelsen og profeterne har prædiket om Cloud som løsningen i fremtiden. Uden at sikre det juridiske grundlag. Liden flue vælter stadig stort læs.
Revisorerklæringer (RE)
GDPR er tidskrævende. Næste opgave hed revisorerklæringer. Sørg for i DBA at forpligte leverandør til at fremsende RE. Det letter arbejdet. Alternativt skal du selv henvende dig mindst en gang årligt. Særlig mindre leverandører kvier sig ved at betale rige revisionsfirmaer mange kroner for udarbejdelse, og de foretrækker egne erklæringer. Det finder jeg okay, men det gør DPO og jura ikke.
Har du gjort ovenstående vil du nu være den glade modtager af årlige erklæringer, der alle samstemmende erklærer:
Revisionen konkluderer at DBA “i alle væsentlige henseender er retvisende”
Så hvor meget af DBA kan vi stole på. Skal vi selv undersøge noget?
Opfølgning på RE står revisionsfirmaer gerne for. Mon de følger op på egne erklæringer? Er GDPR skjult støtte til advokat- og revisionsfirmaer? Kompleksitet, manglende kompetencer og tid har kostet konsulentydelser rundt om. Både til DBA og RE. Ligger der superb lobbyarbejde bag? KL spørger i høringssvar til EU efter centrale løsninger på dette. Det vil være kærkomment.
Risikovurderinger (RV)
På baggrund af forældreklage om barns navn, skole og klasse i en YouTube kommentar, konkluderer Version2, at en større dansk kommune bryder loven ved at købe Chromebooks til alle elever, og senere at halvdelen af landets kommuner negligerer GDPR ved ikke at have udarbejdet RV.
RV mødte jeg første gang via AULA. Kombit udsendte 10 regneark og 10 PDF-filer. En for hver funktion i AULA. Troskyldigt prøvede vi at udfylde alle 10, før vi gennemskuede, at de var ret ens, og derfor endte med en RV for AULA, der tog højde for alle funktioner.
RV tager tid. Vi har taget ansvar for sikkerheden. RV er mest dokumentation for, at vi har gjort det. Med dokumentation står vi stærkt. hvis Datatilsynet dukker op. Måske forsvinder RV i ESDH. Belært af tidligere erfaringer (AULA), skulle der udtænkes struktur for risikovurderinger, som modvirker at opgaver løses flere gange.
Min vurdering er at risikovurdering kan separeres i to forhold.
1. Brugerrisici
2. Systemrisici
Derfor løser jeg opgaven ved at lave risikovurdering på loginprocesser og dernæst på Google Suite. Kommende risikovurderinger bygger ovenpå disse. http://kortlink.dk/2ae3q
Google Suite for Education (GSfE)
Valget mellem Google og Microsoft ligner valg af religion. Men man kan ikke diskutere det med hverken jura eller it-afdeling. Ofte kræver det lange forklaringer, før det forstås, at der findes Google, og der findes Google Suite for Education.
Blokering af apps og tilføjelser
Med et enkelt museklik og klik på gem forhindrer man i GSfE-administration, at brugerne kan hente apps og tilføjelser som ikke er godkendt i systemet. Så langt så godt, men nu skal alle ønsker om apps og tilføjelser vurderes og afgørelse dokumenteres.
API styring
Hele Version2’s artikelserie om kommunernes beskyttelse af børns data sker på baggrund af manglende API-styring. Teknisk set
Billede: risikovurdering på loginprocesser
gør API det muligt for software at få adgang til anden software og udveksle data.
Det er enkelt at lukke ned for alle API i Google. Efterfølgende kan man så vurdere, analysere og dokumentere, hvilke API man behøver at åbne for. API styring sikrer også at elever og lærere ikke kan bruge deres skolekonto til at logge på tjenester der ikke er godkendt af administrator.
GDPR derude i virkeligheden
Kan man overføre data til Google; den samme data som man uden betænkning overfører til Microsoft? Ja, det kan man godt. Hvis man ikke har login til en konto, er data krypteret, så det er umuligt at sætte det sammen til noget forståeligt. Det samme gælder for Microsoft. Tilbage står, at beskyttelse af data hovedsageligt ligger hos brugere og administratorere af systemerne. Tilbage står endvidere, at mere viden primært om beskyttelse af brugernavn og adgangskoder både hos lærere og elever giver den bedste beskyttelse af data. GDPR er en udfordring for alle i undervisningssektorerne. Generelt besværliggøres arbejdet med datasikkerhed af manglende skabeloner, manglende standarder og forskellige fortolkninger.
Mit arbejde med GDPR er lettet gennem samarbejde i netværk, hvor vi hjælper hinanden med at løse opgaver 98 steder i landet. Jeg undrer mig over manglende centrale initiativer i udførelsen af opgaven. Regler og forordninger udarbejdes i øverste led, mens ansvar og udførsel finder sted længst væk fra øverste led.
Jeg synes, at GDPR på den ene side udfordrer vigtige elementer, der har kendetegnet danske skolers arbejde med ny teknologi i undervisningen. Risikovillighed til afprøvning af nyt og udforskning af nye teknologier.
På den anden side er det væsentligt at passe godt på brugernes data. På den front er vi kommet langt i løbet af de sidste to år. Nu har vi tilmed dokumenteret det.
KL arbejder centralt på at synliggøre forhold omkring GDPR, og de har blikket rettet mod, at det giver mening at arbejde for centrale løsninger, da området kan være alt for uoverskueligt ude i de mange kommuner. Denne information om Schrems II-anbefalingerne fra Det Europæiske Databeskyttelsesråd er sendt ud til kommunerne den 14. januar 2021. Det Europæiske Databeskyttelsesråd anbefalinger kan læses i oprindelig udgave via disse to links:
http://kortlink.dk/2ak2d http://kortlink.dk/2ak2e
KLs anbefalinger til kommunernes håndtering af tredjelands-overførsler på baggrund af anbefalingerne er opdateret den 22. januar og kan læses på denne hjemmeside: Schrems II-dommen (kl.dk).
Til kommunens - It-chef - Databeskyttelsesrådgiver - Informationssikkerhedsmedarbejdere Orientering om anbefalinger på baggrund af Schrems II-dommen
Schrems II-dommen fra EU-domstolen har rejst mange spørgsmål om mulighederne for at overføre personoplysninger til lande uden for EU, fx via cloud-løsninger. Dommen erklærer Privacy Shield-ordningen, som har været anvendt ved dataoverførsler til USA, ugyldig. Samtidig stiller dommen krav om, at hvis man anvender EUKommissionens standardkontrakter som overførselsgrundlag, så skal man skal vurdere niveauet af databeskyttelse i de tredjelande, man ønsker at overføre data til. Og viser databeskyttelsen sig ikke at være tilstrækkelig, skal man aftale yderligere sikkerhedsforanstaltninger med sine leverandører. Hvis dette ikke er muligt, må der ikke overføres data til tredjelande, herunder USA.
KL har informeret om indholdet af dommen på KL´s hjemmeside: Schrems II-dommen (kl.dk), men der udestår fortsat afklaring af, hvordan kommunerne skal efterleve dommen i praksis. Der har derfor været store forventninger til nye anbefalinger fra Det Europæiske Databeskyttelsesråd om, hvordan man overholder dommens krav.
./. Datatilsynet har den 12. november sendt anbefalingerne til KL, som hermed vedlægges til orientering. Der er tale om to sæt anbefalinger:
• Anbefalinger om europæiske essentielle garantier (Recommendations 02/2020 on the European Essential Guarantees for surveillance measures)
• Anbefalinger om iværksættelse af supplerende foranstaltninger (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data)
Anbefalingerne om europæiske essentielle garantier er endeligt vedtaget, mens anbefalingerne om supplerende foranstaltninger har været i høring frem til den 21. december.
Desværre ser KL ikke, at anbefalingerne i tilstrækkelig grad giver kommunerne den fornødne hjælp, og KL har derfor været i dialog med Datatilsynet herom.
KL har gjort Datatilsynet opmærksom på, at KL ser behov for:
– at de vedtagne anbefalinger om europæiske essentielle garantier oversættes til dansk sådan, at anbefalingerne bliver lettere at forstå og dermed efterleve.
– at Datatilsynet vejleder om, hvorvidt man har opfyldt sine forpligtelser i forhold til at foretage konkret vurdering af tredjelandes databeskyttelsesniveau, hvis man efterlever anbefalingerne om europæiske essentielle garantier eller, om der skal andet og mere til og i givet fald, hvad dette er. Anbefalingernes punkt 8, 1. pkt. giver nemlig anledning til tvivl: – at Datatilsynet vejleder om, hvorfor anbefalingerne særskilt fokuserer på overvågning i tredjelande, jf. anbefalingernes engelske titel ”Recommendations 02/2020 on the European Essential Guarantees for surveillance measures”, herunder om overvågning skal tillægges særlig vægt ved vurderingen af tredjelande.
– at Datatilsynet som supplement til anbefalingerne udarbejder konkret, national vejledning til, hvordan en vurdering af forholdene i tredjelande konkret kan gribes an. Hvem skal spørge? Hvad skal man spørge om? Og hvordan skal man vurdere de svar, man får?
– at Datatilsynet udarbejder vejledning om, hvordan man skal forholde sig til anbefalingerne om iværksættelse af supplerende
”8. Indeed, the European Essential Guarantees form part of the assessment to conduct in order to determine whether a third country provides a level of protection essentially equivalent to that guaranteed within the EU but do not aim on their own at defining all the elements which are necessary to consider that a third country provides such a level of protection in accordance with Article 45 of the GDPR.”
foranstaltninger, som endnu ikke er vedtaget. Datatilsynet har oplyst, at der med stor sandsynlighed ikke vil ske ændringer i anbefalingernes seks ”steps” om, hvordan man udviser ansvarlighed ved dataoverførsler men, at der eventuelt kan komme ændringer i ”annex 2” om supplerende foranstaltninger.
I KL´s høringssvar til Justitsministeriets nationale evaluering af databeskyttelsesreglerne: KL og kommunernes bidrag til evalueringen af GDPR opfordrer KL til, at den vurdering af tredjelandenes databeskyttelsesniveau, herunder tredjelandenes lovgivning, som kommunerne pålægges i medfør af Schrems II-dommen, foretages centralt – enten nationalt eller i EU-regi. Det er en opgave, som kommunerne efter KL´s mening ikke hverken kan eller bør pålægges. Og eftersom alle dataansvarlige – myndigheder såvel som virksomheder – skal foretage de samme vurderinger, vil det ud fra et effektivitetshensyn være en langt mere optimal løsning. I dialogen med Datatilsynet om de nye anbefalinger fra Det Europæiske Databeskyttelsesråd har KL opfordret til, at Datatilsynet i regi af Det Europæiske Databeskyttelsesråd rejser behovet for en central løsning af opgaven. KL drøfter også behovet for en central løsning af opgaven med staten. Der er imidlertid ikke udsigt til en snarlig løsning. Desuden er der ikke på kort sigt udsigt til en ny ordning som erstatning for Privacy Shield, som ville kunne gøre dataoverførsler til USA lovlige uden yderligere tiltag. KL er opmærksom på, at dette efterlader kommunerne i en svær situation. KL vil derfor hurtigst muligt komme med anbefalinger til kommunerne på www.kl.dk om sagen.
Med venlig hilsen Pia Færch
Perspektiv på Shrems II - Varde Kommune
af Bjarne Lund Christensen, skolekonsulent
I Varde Kommune er EU-dommen Schrems II drøftet, og ligeledes den fremtidige tilgang i sikkerhedsudvalget. Den korte fortælling er, at alle fagforvaltninger skal være særligt opmærksomme på overførsler til tredjelande, og at kommunen følger KL’s anbefalinger på området.
I praksis er det et administrativt bøvl og ret uigennemskueligt. Udfordringen er, at det ofte er fuldstændigt umuligt at gennemskue for almindelige lægfolk som fx skole- og forvaltningsfolk.
Kommunen har specifikt været i kontakt med Skoletube, da vi primært så nogle udfordringer der i forhold til dommen. I første omgang forbød vi skolerne at anvende tjenesterne i Skoletube. Det er senere blevet opblødt, da Skoletube har gjort programmer med overførsel til tredjelande utilgængelige for brugerne af tjenesten i Varde Kommune.
I forhold til skolerne/underviserne, er forvaltningen meget opmærksomme på at gøre dem opmærksomme på diverse problematikker omkring GDPR. Dette har blandt andet medført, at skolerne ikke indkøber programmer, før de har været i kontakt med mig, og jeg har udarbejdet en databehandleraftale. På den måde forsøger vi at fange eventuelle problematikker på forhånd.
