Google G suite for education

Har avdekket betydelige mangler i kommunenes bruk av nettskyen: – Alle bør gå igjennom løsningene sine på nytt

Datatilsynet mener alle norske kommuner må gå gjennom skyløsningene sine på nytt.

Bergen by. Illustrasjonsfoto.
Bergen by. Illustrasjonsfoto. (Foto: www.goodfreephotos.com)

Datatilsynet mener alle norske kommuner må gå gjennom skyløsningene sine på nytt.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 235,- i måneden.
Bli Ekstra-abonnent »

Flere og flere kommuner tar i bruk skyløsninger i skolen. Nå har Datatilsynet avdekket betydelige mangler hos flere kommuner, og oppfordrer alle som bruker denne typen løsninger om å gå igjennom alt om benyttes på nytt. 

– Det ble avdekket betydelige mangler, og flere av dem var felles for de kommunene som ble undersøkt. De har derfor fått varsel om irettesettelse, sier direktør Bjørn Erik Thon i Datatilsynet til digi.no.

20 000 elever

Les også

I Bergen bruker 20 000 elever i grunnskolen Google G suite for education. Irettesettelsen kommer etter at flere foreldre klaget inn kommunen til Datatilsynet i vinter i frykt for at Google profilerer barna deres. 

I det konkrete tilfellet har Datatilsynet konkludert med at Bergen kommune har gjort for dårlige risikovurderinger, og at de ikke har vurdert konsekvensene av løsningene sine godt nok.

I tillegg mener tilsynet at Bergen kommune har opptrådt kritikkverdig når de ikke har loggført elevenes aktiviteter. Datatilsynet mener også at kommunen ikke har gitt elever og foresatte god nok informasjon om eget personvern da Google G suite ble tatt i bruk.  

Også kommunene Strand og Sandnes har fått varsel om at de har brutt mot flere sentrale punkter i personvernforordningen. 

Ikke riktig grunnlag

– De som tar i bruk Google eller andre tjenester må vite hva dette innebærer for elevenes personvern. De må ha oversikt over hvilke data som samles inn, og hva de brukes til. Først da får de full oversikt over hva som står på spill for elevene. Det har kommunene ikke gjort bra nok i disse tilfellene, sier Thon.

Direktør Bjørn Erik Thon i Datatilsynet.
Direktør Bjørn Erik Thon i Datatilsynet. Foto: Heidi Sævold

Datatilsynet mener blant annet at kommunene ikke har gitt informasjon om riktig rettslig grunnlag i vurderingene sine. Tilsynet anbefaler nå at løsninger som bruker profilering ikke benyttes i fremtiden. Det betyr derimot ikke at man ikke kan bruke G suite for education, sier Thon.

Et vesentlig krav i personvernregelverket er at alle løsninger har innebygd personvern.  

Det betyr i praksis at personvernet tas vare på ved hjelp av teknologien som benyttes. Blant annet ved at alle innstillinger som påvirker personvernet forhåndsvelger det mest personvernvennlige alternativet.

Tilbakevirkende kraft

Les også

Det er helt kritisk at kommunene har oversikt over alle opplysninger som samles inn, påpeker Datatilsynet. 

– En slik detaljert oversikt er essensiell for at kommunene skal kunne vurdere hvilke opplysninger som er nødvendige å behandle. Det skal også verne mot at dataene brukes til nye formål, sier Thon.

Datatilsynet sier vedtakene foreløpig bare er en irrettesettelse som har tilbakevirkende kraft. 

– Vi har bedt om tilbakemelding fra kommunene innen 2. januar. Før vi beslutter hva vi skal foreta oss videre, må vi høre hva de har å si. Jeg vil jo anta at de konkluderer med at de vil se på dette en gang til, og så velger å følge gjeldene regelverk, sier Datatilsyn-direktøren til digi.no. 

Samtidig som vedtakene kommer, lanserer Datatilsynet også en omfattende veileder for hvordan norske kommuner skal forholde seg til bruk av skyløsninger i fremtiden.

Omfattende veiledere

Thon mener alle offentlige virksomheter bør titte på den for å forsikre seg om at de følger gjeldende regelverk. 

 I veiledningen går Datatilsynet kort gjennom hva «Google-pakken» inneholder, og oppsummerer sin forståelse av hvordan kommunene benytter løsningene i det daglige.

Deretter tar de for seg de ulike kravene i regelverket, og går spesielt inn på områdene hvor de har avdekket avvik hos kommunene.

– Selv om vi i all hovedsak retter oss mot Googles løsninger i disse veiledningene, er de overførbare til andre tjenester som benyttes, eksempelvis Microsofts Office 365.

– Når vi går ut med disse veiledningene er det med en sterk oppfordring til andre kommuner som bruker denne type løsninger i hverdagen om å gå igjennom sine løsninger. I GDPR står ansvarsprinsippet sterkt. Det vil si at de som benytter seg av denne typen løsninger, også har ansvaret for at regelverket følges, sier Thon til digi.no. 

Ut i skyen i 2016

I 2016 gikk Trondheim kommune over på det som da het Google for Work. Siden har løsningen blitt hetende Google G suite.

Tidligere benyttet kommunen Microsoft-applikasjoner, og både Microsofts og Googles skytjenester ble vurdert gjennom en vanlig offentlig anskaffelsesprosess, før kommunen til slutt endte opp med Google G suite. Senere har også Google G suite for education blitt lagt til i porteføljen. 

IT-sjef Bjørn Villa i Trondheim kommune har tidligere fortalt til digi.no at løsningene har gitt dem større fokus på sikkerhet, bedre effektivitet gjennom digital samhandling, i tillegg til en positiv miljøeffekt. 

Bjørn Villa, IT-sjef i Trondheim kommune
Bjørn Villa, IT-sjef i Trondheim kommune. Foto: Pressebilde

I kommunen har alle elevene i trondheimsskolen har en egen Google-konto. Villa sier det ble gjort grundige vurderinger av elevenes personvern før løsningene ble implementert i skoleverket. 

– Vi forholder oss selvsagt til alle lover og regler. Det gjør vi både for Googles og Microsofts løsninger. Likevel er det alltid rom for forbedringer, og vi har allerede gått igjennom veilederen for å se om det er noe vi må ta tak i. 

– Nå står vi en krevende tid med Schrems II-dommen, og det blir mer og mer utfordrende å navigere i dette landskapet. Sånn sett er ikke disse varslene fra Datatilsynet noe nytt, men det er en viktig påminnelse om at det er viktig  å forholde seg til regelverket. 

– Vi følger alle oppdateringer i lovverket tett, og sjekker at vi forholder oss til alle endringer. At Datatilsynet ber norske kommuner om å følge med er en viktig påminnelse for alle, og noe Trondheim kommune setter stor pris på, sier IT-sjef Villa til digi.no.

digi.no har prøvd å komme i kontakt med kommunaldirektør Trine Samuelsberg i Bergen kommune uten å lykkes. 

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen