På Framtidens lärande lyssnade jag bl a på två jurister som berättade om ”Juridiken kring Google Apps For Education, GAFE, och andra molntjänster”.
Molntjänster, som t ex Google Apps for Education (GAFE), används idag av många skolor i Sverige. Fördelarna är många. Tjänsten är gratis för kommunerna att använda och erbjuder lagringsplats för lärare och elever, e-postkonton, möjlighet till samarbete och kommunikation samt enklare kalkyl- presentations- och ordbehandlingsverktyg mm. Användarna behöver inte installera programvara på datorer utan materialet finns tillgängligt i ”molnet” dvs på en server som kan finnas i ett annat land.
Datainspektionen har granskat några kommuners användande av GAFE och tittat på om personuppgiftsbehandlingen följer personuppgiftslagen och funnit brister i många granskade fall. Det man särskilt pekar på är att det i avtalen saknas skrivelser om att molntjänstleverantören inte får använda personuppgifterna för egna syften, t ex för att utveckla tjänsten för andra användare, samt att uppgifter ska raderas från servrarna på begäran. Enligt juristen Jenna Thorslund, SKL, är personuppgifter alla uppgifter där man tillsammans med annan information kan identifiera en individ. Det innebär att även koder, förkortningar osv omfattas av personuppgiftslagen.
Det är skolans huvudman, den nämnd som svarar för skolverksamheten, som är personuppgiftsansvarig och som ska besluta om en molntjänst ska användas. Nämnden är då skyldig att teckna ett personuppgiftsbiträdesavtal men molntjänstleverantören. Man ska även göra en verksamhetsanpassad risk- och sårbarhetsanalys. Känsliga eller integritetskänsliga uppgifter kräver väldigt höga krav på säkerheten och bör aldrig lagras i den här typen av molntjänster. Exempel på integritetskänsliga uppgifter är omdömen om elevens kunskapsutveckling.
Juristen Sarah Alebrink berättade att Göteborgs Stad den 25 mars tecknade avtal med Google som man tror ska uppfylla personuppgiftslagens kriterier och Datainspektionens krav på hantering av personuppgifter. I deras avtal framgår att uppgifter på begäran ska raderas inom 180 dagar samt att Google inte får hantera personuppgifterna för egna syften. I avtalet finns även beskrivet hur Google är skyldiga att informera om varje eventuell händelse av obehörig åtkomst till personuppgifterna.
Den risk- och sårbarhetsanalys man gjorde ledde till beslutet att GAFE endast ska användas vid formativ bedömning, inte summativ. Det är viktigt att personalen är införstådda i vad som inte får lagras i molntjänsten.
Göteborgs Stads nyttjande av molntjänsten med det nya avtalet är ännu inte granskat av Datainspektionen.
Google har tidigare hävdat att man i sitt standardavtal följer svensk lagstiftning, men i och med bl a samarbetet med Göteborg kan det nu kanske bli lättare för även andra kommuner att teckna avtal som enligt Datainspektionen uppfyller personuppgiftslagen.
Läs mer här:
Inga kommentarer:
Skicka en kommentar