Bruk av Google Chromebook og G Suite for Education (og andre skytjenester) i grunnskolen

Bruk av skytjenester i skolen

Dette er en gjennomgang av Datatilsynets synspunkter på kommunenes bruk av "Google chromebook" og "G suite for education" (nå "Google Workspace for education") i grunnskolen. Flere av synspunktene våre er imidlertid overførbare til andre skytjenester også.

Innledning

Bakgrunnen for denne veiledningen er at stadig flere kommuner velger å ta i bruk Google sine løsninger i grunnskolen. Dette har ført til bekymringer hos flere foresatte, som igjen har varslet oss. Gjennom saksbehandlingen vår har vi funnet mangler, og flere av dem er felles for alle kommunene vi har undersøkt.

Merk!

Da vi skrev denne veiledningen var "G suite for education" navnet på den ene skytjenesten vi vurderte. Denne tjenesten har nå endret navn til "Google Workplace for education". Siden det var G suite for education vi så nærmere på, har vi enn så lenge latt navnet stå i den videre teksten da vi ikke vet om alle de tekniske beskrivelsene vil stemme med den oppdaterte skytjenesten.

De generelle synspunktene våre, vil imidlertid fremdeles gjelde.

Temaene vi har valgt å inkludere her, er basert på disse manglene. Informasjonen vi gir er ikke fullstendig, og må ses i sammenheng med annen veiledning på nettsidene våre. Se særlig temasidene om virksomhetenes plikter og de registrertes rettigheter.

Vi går først kort igjennom hva «Google-pakken» inneholder og vår forståelse av hvordan kommunene benytter den. Deretter tar vi for oss de ulike kravene i regelverket hvor vi har funnet avvik hos kommunene. Store deler av veiledningen vi gir her vil også være overførbar til andre skytjenester. Grunnen til at vi har tatt for oss akkurat Google sine produkter i denne veiledningen er at vi nylig har behandlet flere saker relatert til disse.

Overordnet om kommunenes bruk av Google-pakken

Chromebook er en bærbar datamaskin som finnes i flere varianter og er utstyrt med operativsystemet Chrome OS. G Suite for Education (GSFE) er en skytjeneste med kontorverktøy. I dette kapittelet ser vi nærmere på hvordan kommunene benytter disse delene av Google-pakken.

Chromebook og Chrome OS

Ved skoler som tar i bruk disse løsningene, får elevene utdelt Google Chromebook. Dette er en bærbar datamaskin med tilsvarende utstyr som andre bærbare datamaskiner; webkamera, mikrofon, høyttaler, USB-porter og så videre. Google produserer ikke Chromebook selv – dette gjøres av tradisjonelle produsenter (Acer, Asus, Dell, HP, Lenovo og Samsung). Det finnes derfor flere forskjellige utgaver av Chromebook med ulike spesifikasjoner.

Chromebook er utstyrt med operativsystemet Chrome OS. Nettleseren Google Chrome er en integrert del av Chrome OS. Google har ikke lagt opp til at man skal kunne installere andre operativsystemer på en Chromebook. Det vil for eksempel si at man ikke kan benytte Microsoft Windows.

Måten Chromebook og Chrome OS er satt opp på er i stor grad lik mobiltelefoner, i den forstand at brukeren er låst til produsenten sitt økosystem. Det vil for eksempel si at Google har lagt opp til at alle apper installeres via Google Play. Systemet og appene oppdateres i utgangspunktet automatisk.

G Suite for Education

Kommunene benytter skytjenesten G Suite for Education (GSFE) for skolearbeidet. I praksis kan GSFE benyttes gjennom hvilken som helst nettleser. Man er altså ikke avhengig av å benytte nettleseren Chrome eller datamaskinen Chromebook. Google tilbyr to varianter av GSFE – en gratisversjon og en betalingsversjon. Gjennom betalingsversjonen får kommunens administratorer blant annet tilgang til et sikkerhetssenter og kan velge lagringsregion (USA eller Europa) for dataene. Gratisversjonen har ikke disse mulighetene.

GSFE er oppdelt i kjernetjenester («core services») og tilleggstjenester («additional products»/ «additional services»). Kjernetjenestene er alltid tilgjengelige i løsningen, mens tilleggstjenestene er valgfrie for kommunene å ta i bruk. Kommunene vi har undersøkt har kun valgt å ta i bruk kjernetjenestene. I vilkårene skriver Google i punkt 1.4: «Google formidler ikke annonser i tjenestene eller bruker kundedata til reklameformål». Tilleggstjenestene er mindre personvernvennlige – Google kan både profilere brukerne og tilby rettet markedsføring gjennom disse.

Det er verdt å merke seg at vilkåret ovenfor kun omfatter GSFE. Nettleseren Google Chrome er ikke en del av GSFE, men av Chrome OS. Det vil si at elevene kan bli profilert og servert reklame ved vanlig nettsurfing, på lik linje med nettsurfing fra andre datamaskiner og gjennom andre nettlesere.

GSFE er en del av Google sin «Cloud»-tjenesteplattform. Det betyr at behandling av opplysninger gjennom GSFE hovedsakelig foregår på Google, og deres underleverandører, sine servere. For elevene omfatter dette for eksempel kommunikasjonen deres gjennom Gmail, Hangouts, Chat og Meet, i tillegg til skolearbeidet de gjør i Docs, Sheets og Slides som lagres på Drive. Hensikten med skytjenester er blant annet at det skal være lett å samarbeide om/i dokumenter og dele dokumenter med andre.

Teknisk konfigurasjon av Chromebook og G Suite for Education

Kommunene registrerer et eget domene for hver skole (xskolen.no) eller benytter et underdomene av kommunens domene (xskolen.ykommunen.kommune.no). Når kommunen registrerer et domene er dette under kommunens kontroll, uavhengig om det brukes .no, .com eller andre endelser. I praksis har det ingenting å si om det er et norsk eller utenlandsk domene, ettersom domenet må konfigureres slik at det videresender all trafikk til Google sine servere.

Alle Chromebook-er må innrulleres i kommunens administrasjonsgrensesnitt for GSFE før noen logger på den enkelte Chromebook. Hvis ikke vil ikke innstillingene som kommunen har satt for bruk av Chromebook og GSFE gjelde på enheten. Gjennom administrasjonsgrensesnittet kan kommunen administrere alle innrullerte Chromebook-er og elevenes bruk av GSFE sentralt, forutsatt at innrulleringen er gjort på korrekt måte.

Kommunene oppretter brukerkontoer med tilhørende e-postadresser () for elevene gjennom administrasjonsgrensesnittet i GSFE. Brukerkontoene kan også synkroniseres med Feide gjennom bruk av «Security Assertion Markup Language» (SAML).
Les mer om Feide-innlogging på Google Apps for Education (lovas.info)

Hver elev trenger en brukerkonto for å logge på Chromebook-en og få tilgang til applikasjonene innen GSFE.

Gjennom administrasjonsgrensesnittet i løsningen kan kommunen sette en rekke sentrale innstillinger og begrensninger som vil gjelde for alle brukere og Chomebook-er. Her kan de for eksempel konfigurere løsningen slik at elever ikke kan finne andre elever gjennom søkefunksjonen, eller at elevene ikke skal kunne motta eller sende e-post fra eller til andre domener enn xskolen.no.

Prinsipper for behandling av personopplysninger

Personvernforordningen artikkel 5 inneholder overordnede prinsipper som gjelder for all behandling av personopplysninger. Alle prinsippene er likeverdige, men undersøkelsene våre gir grunn til å utdype innholdet i noen av prinsippene overfor kommunene.

Les mer om personvernprinsippene

  1. Det første prinsippet angir at personopplysninger skal behandles på en lovlig, rettferdig og åpen måte overfor de registrerte.
    Prinsippet har en viktig indre sammenheng. I tillegg til at all behandlingen skal ha et rettslig grunnlag, betyr dette at behandlingen som helhet skal være nødvendig, forholdsmessig og forutsigbar for den registrerte.

    At personopplysninger skal behandles på en åpen måte innebærer blant annet at foresatte skal ha den informasjonen de trenger for å ivareta sine barns rettigheter og friheter i tilknytning til behandling av deres personopplysninger. Informasjonen skal gis før behandlingen starter, og kravene til informasjonen er nærmere spesifisert i artiklene 12-14. Vi kommer nærmere tilbake til dette i kapittelet «Informasjon til elevene og de foresatte».
  2. All behandling av personopplysninger skal ha spesifikke og uttrykkelige angitte formål.
    Disse skal være angitt før behandlingen starter. Grunnen til at formålene skal være spesifikke er blant annet at den registrerte skal være beskyttet mot formålsutglidning – at opplysninger viderebehandles på en måte som er uforenlig med de opprinnelige formålene. Det er ikke tilstrekkelig å angi «skolen skal oppfylle kravene i læreplanen» som formål, ei heller «elevene skal læres opp i digitale ferdigheter».

    Definisjon av formål for behandlingen har også relevans i forhold til å føre protokoll over behandlingsaktiviteter. Denne plikten går vi nærmere inn på i kapittelet «Protokoll over behandlingsaktiviteter», hvor vi også utdyper noe mer om formålsdefinering.
  3. Gjennom prinsippet om dataminimering fastslås det at personopplysninger skal «være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for».
    Prinsippet må ses i sammenheng med formålsdefinisjonene. Ut i fra formålene skal det være mulig å definere hvilke personopplysninger som er nødvendige å behandle og hvilke personopplysninger det ikke er anledning til å behandle. Kravet om nødvendighet skal tolkes snevert – «kjekt å ha» er altså ikke synonymt med «nødvendig».

    I praksis bør kommunene kunne argumentere godt for hvorfor de ulike kategoriene av personopplysninger er nødvendige å behandle. Kravet til dataminimering innebærer blant annet at skolene må vurdere følgende problemstillinger, og svarene avhenger av konkrete forhold i den enkelte kommune eller på den enkelte skole:
    • Er det nødvendig å benytte elevens fulle navn i løsningen, eller er det tilstrekkelig med fornavn, initialer eller pseudonymer?
    • Er det nødvendig å knytte bilder av elevene til brukerkontoene?
    • Er det nødvendig at alle elever har tilgang til hverandres kontaktinformasjon, eller skal tilgangen begrenses etter klasse, klassetrinn eller skole?
    • Er det nødvendig at elevene er søkbare i systemet eller skal elevene utveksle kontaktinformasjon på andre måter?
  4. Videre fastslår prinsippet om lagringsbegrensning at personopplysninger skal lagres slik at det ikke er mulig å identifisere de registrerte lengre enn formålene tilsier.
    Det innebærer for eksempel at kommunene må forsikre seg om at Google sletter elevenes personopplysninger i løsningen.

    Når det gjelder sletting av personopplysninger, opplyser Google i sin Data Processing Amendment (DPA – databehandlertillegg) at dataene slettes innen 180 dager (merk at å være omfattet av DPA er «opt-in»). Google opplyser ikke om grunnen til at de bruker opptil 180 dager på å slette dataene. Hensynet til sikkerhetskopier kan være en slik grunn, altså at det kan være vanskelig å skille ut opplysninger om enkeltpersoner fra sikkerhetskopier. For eksempel bør skolene kreve at Google informerer om grunnen til at det kan ta opptil 180 dager å slette. Hvis ikke er det vanskelig å vurdere om Google behandler personopplysninger lengre enn nødvendig, eller til andre formål.
  5. Ansvarlighetsprinsippet angir at den behandlingsansvarlige både er ansvarlig for og skal kunne påvise at prinsippene overholdes.
    Bestemmelsen slår altså fast at det er den behandlingsansvarlige som har hovedansvaret for å i ivareta de registrertes personvern, og at den behandlingsansvarlige skal kunne dokumentere at prinsippene etterleves.

 

Rettslig grunnlag for behandlingen

All behandling av personopplysninger må ha et rettslig grunnlag. Dette slås fast i personvernforordningen artikkel 6, hvor ulike alternativer til rettslig grunnlag også er listet opp.

Les vår generelle veiledning om behandlingsgrunnlag

Rettslig grunnlag for kjernetjenestene i GSFE

Flere av kommunene Datatilsynet undersøkte, benyttet etter vår oppfatning ugyldige rettslige grunnlag. Vi mener for eksempel at kommunene ikke kan benytte samtykke som grunnlag (se artikkel 6 nr. 1 bokstav a), ettersom elevene eller de foresatte ikke har en reell mulighet til å samtykke eller trekke samtykket.

Når kommunene bestemmer at elevene skal benytte Chromebook og GSFE til skolearbeidet, oppfatter vi dette som et vedtak som treffes i ledd av kommunenes offentlige myndighetsutøvelse. Et vedtak defineres i forvaltningsloven § 2 bokstav a (lovdata.no) som «en avgjørelse som treffes under utøving av offentlig myndighet og som generelt eller konkret er bestemmende for rettigheter eller plikter til private personer». Slik vi ser det er vedtaket vi omtaler her truffet med hjemmel i Forskrift om utfylling av dei overordna måla og prinsippa for opplæringa i grunnskolen og i den vidaregåande opplæringa (lovdata.no), jf. opplæringslova § 2-3 (lovdata.no).

Kravene til opplæring i digitale ferdigheter er nærmere spesifisert i Utdanningsdirektoratets rammeverk «Digitale ferdigheter som grunnleggende ferdighet» (udir.no). Avgjørelsen fra kommunene bygger på deres forvaltningsrettslige myndighet, og forplikter elevene til å benytte en løsning som kommunene har bestemt på forhånd, uten at elevene eller de foresatte kan påvirke valget. Behandlingen av elevenes personopplysninger gjennom løsningen blir etter vårt syn en implisitt del av denne myndighetsutøvelsen. Et annet argument for at behandlingen dreier seg om offentlig myndighetsutøvelse er at elevenes ferdigheter og arbeid skal vurderes gjennom deres bruk av løsningen, uavhengig av om det knyttes karakterer til vurderingene.

På bakgrunn av vurderingen vår ovenfor vil gyldig rettslig grunnlag etter forordningen være artikkel 6 nr. 1 bokstav e: «behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt». Man kan også argumentere for at rettslig grunnlag etter artikkel 6 nr. 1 bokstav c kan passe: «behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige». Slik vi ser det er imidlertid ordlyden i bestemmelsen og konteksten av behandlingen mer treffende for artikkel 6 nr. 1 bokstav e.

Med det rettslige grunnlaget i artikkel 6 nr. 1 bokstav e følger en rett til å protestere. Kravene til dette finner vi i forordningen artikkel 21. En protest fra en foresatt må være grunnet i en «særlig situasjon» for eleven. Retten til å protestere skal det informeres uttrykkelig om, se artikkel 21 nr. 4. Informasjonen skal fremlegges på en klar måte og atskilt fra annen informasjon.

Kommunene må kunne garantere at personopplysninger slettes når det ikke lenger foreligger rettslig grunnlag for behandlingen – for eksempel når brukerkontoen til en elev slettes, med mindre det foreligger en arkivplikt for kommunen for disse personopplysningene. Hvis kommunen ikke kan garantere at opplysningene slettes med en gang (men for eksempel innen 180 dager, jf. vilkårene for GSFE) må kommunen kunne redegjøre for årsaken. De registrerte må også informeres om dette.

Rettslig grunnlag for tilleggstjenestene i GSFE

Etter vår oppfatning vil kommunene kun ha anledning til å benytte det rettslige grunnlaget i artikkel 6 nr. 1 bokstav e for kjernetjenestene i GSFE. Dersom det er et ønske om å ta i bruk tilleggstjenestene, som kan innebære profilering av elevene og rettet markedsføring mot elevene, må kommunen ha samtykke fra de foresatte. Dette angir også Google i vilkårene for GSFE.

Forordningens definisjon av samtykke er «enhver frivillig, spesifikk, informert og utvetydig viljesytring fra den registrerte der vedkommende ved en erklæring eller en tydelig bekreftelse gir sitt samtykke til behandling av personopplysninger som gjelder vedkommende», se artikkel 4 nr. 11. Vilkårene for samtykke følger av artikkel 7.
Les mer om samtykke som behandlingsgrunnlag

Behandling av særlige kategorier av personopplysninger

Behandling av særlige kategorier av personopplysninger er i utgangspunktet forbudt, med mindre noen av unntakene som er angitt i personvernforordningen artikkel 9 (lovdata.no) kommer til anvendelse. Det vil blant annet si at kommunene neppe kan legge opp til behandling av følgende opplysninger om elevene:

  • rasemessig eller etnisk opprinnelse
  • politisk oppfatning
  • religion
  • filosofisk overbevisning
  • helseopplysninger
  • seksuell identitet
  • biometri

Google som databehandler

Etter forordningen har den behandlingsansvarlige plikt til kun å benytte databehandlere som gir tilstrekkelige garantier for at behandlingen skjer i henhold til forordningen. Kravene til bruk av databehandler, og krav til databehandleravtale, står i personvernforordningen artikkel 28.

Les vår generelle veiledning om hvordan man kan lage en databehandleravtale

Det er flere forhold som gjør Google til en utfordrende databehandler å forholde seg til. Google informerer om GSFE på en rekke nettsider. Disse inkluderer også avtalen som kommunene må akseptere for å benytte GSFE. Noe av informasjonen finnes på norsk og engelsk, mens noe kun er tilgjengelig på engelsk.

Det er vanskelig å få full oversikt over alle elementene som avtalen med Google omfatter. De henviser til andre nettsider innad i avtalen, som igjen henviser videre til andre nettsider. Google er også i ferd med å endre navn på tjenesten til Workspace. Per i dag er det derfor enda vanskeligere å få oversikt, ettersom «G Suite» og «Workspace» brukes om hverandre på de forskjellige nettsidene.

Her er noen av de relevante nettsidene og avtalene vi har funnet gjennom våre undersøkelser (listen er ikke uttømmende):

Kommunene må ha full oversikt over avtaleverket som er gjeldende for deres bruk av GSFE. Det vil si at de også må gå gjennom alle henvisningene i informasjonen fra Google, og vurdere hvilke deler som omfattes av kommunenes bruk. Denne oversikten må de ha før de signerer avtalen, og før behandlingen starter. Kommunene må også ha oversikt over alle underdatabehandlere som Google benytter, hvilke behandlinger som gjøres av de ulike underdatabehandlerne og til hvilke formål.

Ifølge Google er det kun gjennom inklusjon i deres Data Processing Amendment at de (og deres kunder) kan etterleve kravene i personvernforordningen (slik Google tolker dem). Dette er et tillegg til vilkårene som er valgfritt for Google sine kunder å aktivere (support.google). Slik vi forstår Google, må kommunene som tar i bruk GSFE manuelt aktivere dette gjennom administrasjonsgrensesnittet for at det skal være en del av tillegget.

Forordningen stiller krav til at databehandlere skal muliggjøre revisjoner som gjennomføres av den behandlingsansvarlige eller en annen revisor på fullmakt fra den behandlingsansvarlige. Muligheten til revisjon inngår i Data Processing Amendment punkt 7.5. Kommunene må vurdere om en slik revisjon skal gjennomføres og eventuelt hvordan de kan gjøre det. Et alternativ er at flere kommuner samarbeider. Alternativt kan kommunene engasjere en uavhengig tredjepart.

Informasjon til elevene og de foresatte

God informasjon er selve fundamentet for at de foresatte skal kunne ivareta sine barns personvern. Det er kommunenes ansvar å gjøre de foresatte i stand til dette i samsvar med kravene i personvernforordningen artiklene 12-14.

Uten tilstrekkelig informasjon er det vanskelig for foresatte å ha oversikt over hvordan personopplysninger om deres barn behandles, og dermed vanskelig å ivareta barnas personvern.
Les vår generelle veiledning om virksomhetenes plikt til å gi informasjon

I flere av sakene vi har behandlet, har vi sett at kommunene har informert for dårlig. Noen eksempler:

  • Informasjonsskriv til de foresatte vært for grunne.
  • Foresatte som har forespurt mer informasjon har i flere tilfeller blitt henvist til Google sine nettsider.
  • Noen kommuner har holdt informasjonsmøter i forkant, mens andre har unnlatt å gjøre det.
  • Informasjonsmøter har blitt avholdt like før utstyret ble utdelt, og foresatte har fått svært kort tid til å ta inn over seg den informasjonen som ble gitt.
  • I noen tilfeller var det kun muntlig informasjon som ble gitt.

Fellesnevneren er at de foresatte har fått for lite informasjon, og for liten tid til å sette seg inn i informasjonen og stille spørsmål om behandlingen før den har startet.

Ifølge forordningen skal informasjonen være lett tilgjengelig og på et klart og enkelt språk. Videre skal informasjonen gis elektronisk dersom det er hensiktsmessig. Vi mener kommunene må gjøre informasjonen tilgjengelig på nettsidene sine, slik at elevene og de foresatte til enhver tid kan oppsøke informasjonen.

Som vi demonstrerte i kapittel 5 kan det oppleves vanskelig å orientere seg i informasjonen fra Google. Både mengden informasjon, hvor man skal finne den, hvordan språket er formulert og at noe av informasjonen kun er tilgjengelig på engelsk bidrar til dette. Det er kommunenes ansvar å sammenstille relevant informasjon fra deres databehandlere på et klart og enkelt språk, slik at de registrerte kan ivareta sine rettigheter. Kommunene kan ikke utelukkende henvise til databehandleren sine nettsider. Dette kan imidlertid gjøres i tillegg. Sammenstilling av informasjonen er også noe kommunene selv kan ha nytte av, ettersom det kan bidra til at de får bedre oversikt over tjenestene de benytter.

Videre må kommunene informere om rettighetene til de registrerte etter artiklene 15-22, og i tillegg ha effektive rutiner slik at de registrerte kan utøve sine rettigheter. Det betyr for eksempel at kommunene må informere elevene og de foresatte om retten til innsyn, i tillegg til at kommunene må ha en effektiv måte å håndtere innsynsforespørsler på.

Kommunene må også gi tydelig informasjon om hvor deres ansvar stopper og foresattes ansvar begynner. Hvis det er slik at barna kan bruke Chromebook til private formål, og for eksempel kan logge inn med private kontoer gjennom nettleseren, må kommunen informere om de eventuelle personvernrisikoene som kan oppstå ved privat bruk. Kun på denne måten kan de foresatte ta informerte valg om hvordan deres barn skal kunne bruke Chromebook privat.

Krav om innebygget personvern og personvern som standardinnstilling

Kommunene har plikt til å sikre at alle løsninger de benytter til behandling av personopplysninger, har innebygd personvern og personvern som standardinnstilling.

Dette betyr blant annet at løsningene skal være utviklet på en måte som gjør at det er praktisk mulig å ivareta personvernet til brukerne (på en enkel måte). I tillegg skal alle innstillinger i løsningen som kan påvirke personvernet være innstilt på det mest personvernvennlige alternativet. Kommunene må kunne demonstrere at kravet til innebygd personvern etterleves i løsninger de pålegger elevene å bruke.

Les vår generelle veiledning om innebygd personvern

Protokoll over behandlingsaktiviteter

Hovedregelen er at alle behandlingsansvarlige skal føre protokoll over behandlingsaktiviteter som utføres under deres ansvar. Dette følger av personvernforordningen artikkel 30 nr. 1.

Les vår generelle veiledning om plikten til å føre protokoll over behandlingsaktiviteter

Kommunene må føre protokoll

Kun i svært få tilfeller vil man kunne få unntak fra denne plikten, og unntaket vil ikke gjelde kommuner som tar i bruk GSFE. Følgende informasjon skal fremgå av protokollen:

  1. navnet på og kontaktopplysningene til den behandlingsansvarlige og, dersom det er relevant, den felles behandlingsansvarlige, den behandlingsansvarliges representant og personvernombudet,
  2. formålene med behandlingen,
  3. en beskrivelse av kategoriene av registrerte og kategoriene av personopplysninger,
  4. kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, herunder mottakere i tredjestater eller internasjonale organisasjoner,
  5. dersom det er relevant, overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon, herunder identifikasjon av nevnte tredjestat eller internasjonale organisasjon og, ved overføringer nevnt i artikkel 49 nr. 1 annet ledd, dokumentasjon på nødvendige garantier,
  6. dersom det er mulig, de planlagte tidsfristene for sletting av de forskjellige kategoriene av opplysninger,
  7. dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1.

Noe av hensikten med å føre protokollen er at de behandlingsansvarlige får oversikt over behandlingsaktiviteter som utføres under deres ansvar. Dette vil gjøre de behandlingsansvarlige bedre egnet til å etterleve kravene i forordningen, for eksempel i forbindelse med gjennomføring av risikovurderinger og personvernkonsekvenser. Bestemmelsen er i stor grad selvforklarende, men vi går igjennom to av punktene her.

Formålene med behandlingen

Formålene med behandlingen av personopplysninger skal være spesifikke og uttrykkelig angitte. Dette følger av artikkel 5 nr. 1 bokstav b, og er noe vi også nevnte i kapittel 3. Spesifisering av formål er en forutsetning for å kunne etterleve flere av prinsippene for behandling av personopplysninger.

Formålsdefinisjonene skal for eksempel gi rammer for hvilke personopplysninger som er nødvendig å behandle («dataminimering»), hvor oppdaterte opplysningene må være («riktighet») og hvor lenge opplysningene kan lagres («lagringsbegrensning»). Det bør for eksempel være mulig å resonnere seg frem til at det er nødvendig å behandle opplysning X og Y for å oppnå formål Z. Motsatt bør det være mulig å resonnere seg frem til at det ikke er anledning til å behandle opplysning A og B. Det skal ikke være slik at tilnærmet alle kategorier av personopplysninger kan anses nødvendige å behandle for å oppnå de angitte formålene.

Prinsippet om formålsbegrensning innebærer også at personopplysninger ikke skal viderebehandles på en måte som er uforenlig med de opprinnelige formålene. Prinsippet må forstås slik at de behandlingsansvarlige må være så spesifikke når de definerer formålene at de registrerte i praksis kan beskyttes mot formålsutglidning. Det kan ikke forstås slik at den behandlingsansvarlige kan definere så vide formål at beskyttelsen utvannes.

Når kommunene spesifiserer formålene med behandling av elevenes personopplysninger gjennom Chromebook og GSFE må kommunene altså formulere disse slik at ikke enhver ny behandlingsaktivitet kan være forenlig med de opprinnelige formålene.

Kategorier av registrerte og av personopplysninger

En oversikt over hvilke kategorier av registrerte, og hvilke kategorier av personopplysninger som behandles, er nødvendig for å kunne gjennomføre realistiske vurderinger av risikoer og personvernkonsekvenser. Det er opp til virksomheten å beslutte hvordan man definerer kategoriene, men det er avgjørende at oversikten gir et godt bilde av hvilke opplysninger som behandles. En mulig måte å kategorisere opplysninger på kan være å skille mellom

  • identifiserende opplysninger (navn, fødselsnummer, e-postadresse, brukernavn, telefonnummer, adresse osv.),
  • demografiske opplysninger (kjønn, alder, familiesituasjon, skole, klasse osv.),
  • kommunikasjonsopplysninger (MAC-adresse, IP-adresse, cookies, kontaktlister, sosialt nettverk, sosiale medier, SMA, MMS, fotografier, videoer osv.),
  • aktiviteter (adferdsmønster, tider innlogget/utlogget, tidspunkt for levering, tidspunkt for arbeid med dokumenter, tidspunkt for chat med venner, interesser, hobbyer, fritidsaktiviteter, lokasjon, historikk i nettleser, likes på sosiale medier osv.),
  • særlige kategorier av personopplysninger (helse, seksuell orientering, religion, politisk overbevisning osv.),
  • opplysninger av særskilt privat karakter (lokasjon, kommunikasjon, bilder), profilering (analysere eller prediksjon av arbeidsprestasjoner, personlige preferanser, interesser, adferd, lokasjon, bevegelser osv.).

Informasjonssikkerhet

Alle personopplysninger skal beskyttes tilfredsstillende, og all behandling av personopplysninger skal ha en risikobasert tilnærming. Det gjelder også for bruk av skytjenester.

Særlig om skytjenester

Datatilsynets erfaring er at sikker og personvernvennlig bruk av skytjenester avhenger av spesifikk kompetanse hos virksomhetene. For de som er vant med lokalt driftede løsninger krever overgang til skytjenester en omstilling for å kunne sikre løsningene tilstrekkelig. Dette er blant annet fordi løsningene ikke lenger er innenfor virksomhetenes brannmur, og derfor kan være mer utsatt for eksterne angrep.

Virksomhetene har heller ikke kontroll på infrastrukturen skytjenestene eksisterer på. Selv om skytjenesteleverandørene gjør mye informasjonssikkerhetsarbeid på vegne av kundene sine, hviler mesteparten av arbeidet på kundene. Administrering av brukerkontoer og tilgangsstyring er eksempler på oppgaver virksomhetene i de fleste tilfeller må gjøre selv. Dersom de ikke blir gjort godt nok, kan det få katastrofale konsekvenser for personvernet til sluttbrukerne. Kommuner som tar i bruk skytjenester er ansvarlige for at de ansatte som skal administrere løsningene har den nødvendige kompetansen. Det innebærer blant annet kunnskap om de særlige utfordringene bruk av skytjenester medfører, og de særlige risikoene som kan oppstå ved bruk av skytjenester.

Slike utfordringer omfatter for eksempel leverandørens stadige utvikling av løsningene. Leverandørene kan fjerne funksjoner og tilføre nye funksjoner innenfor vilkårene i avtalene, og kundenes mulighet til å påvirke valgene er ofte svært begrenset. Endringene kan medføre personvernrisikoer som behandlingsansvarlige må ta hensyn til. En annen utfordring er leverandørenes stadige endringer av avtalene tjenestene omfattes av. Avtalene kan endres flere ganger i året, og dette er en sårbarhet som de behandlingsansvarlige må ha et realistisk forhold til.

Å benytte skytjenester krever altså årvåkenhet hos de behandlingsansvarlige i forhold til endringer i løsningene og avtalene fra leverandørene. Kommunene må ha effektive rutiner for å følge med på slike endringer. De må også ha rutiner for å fortløpende vurdere hvordan endringene påvirker risikoene for barnas personvern, slik at de har evne til å sørge for vedvarende personopplysningssikkerhet.

En skytjeneste er i utgangspunktet tilgjengelig til enhver tid fra ethvert sted. Dette er bare én av flere fundamentale forskjeller mellom skytjenester og lokalt driftede løsninger. Forskjellene gjør at risikoene i løsningene er forskjellige. Noen risikoer er lavere, andre er høyere, noen risikoer må legges til og andre frafaller.

Virksomheter som er vant med å administrere lokale løsninger må derfor tilpasse tilnærmingen deres til informasjonssikkerhetsarbeidet når de tar i bruk skytjenester. De må fullt ut forstå skytjenestene de benytter og mulighetene som finnes i dem, slik at sikkerhetsarbeidet kan tilpasses de konkrete utfordringene bruken av skytjenester medfører. Tilpasningene som må gjøres forutsetter en systematisk tilnærming. Uten dette vil det ikke være mulig å sikre effektiv etterlevelse av kravene i forordningen.

Risikovurderinger og tiltak

Kravene til risikovurdering finner man i flere av forordningens bestemmelser, blant annet i bestemmelsene om den behandlingsansvarliges ansvar og om personopplysningssikkerheten (artiklene 24 og 32). Risikovurderinger skal alltid gjøres før behandlingen starter. Hvis man ikke har vurdert risiko i forkant av behandlingen, er det tilfeldigheter som avgjør om personopplysningssikkerheten ivaretas. Gjennomføring av risikovurderinger skal være en integrert del av virksomhetens styringssystem for informasjonssikkerhet.
Les mer om hvordan man kan iverksette styringssystem for informasjonssikkerhet

I flere av sakene Datatilsynet har behandlet har vi sett at risikovurderingene har vært utilstrekkelige – både i form av urealistiske vurderinger av enkeltrisikoer og i bruk av metoder som er uegnet til å sikre løsningene over tid.

Det er viktig at kommunene er systematiske i risikovurderingene, slik at de kan sikre effektiv etterlevelse av forordningen over tid. Det innebærer for eksempel at kommunene må ha et realistisk forhold til at leverandøren kan gjøre endringer i skytjenestene og avtalene flere ganger i året, og at kommunene implementerer tiltak for å følge med på dette.

Kommunene må også ha mekanismer for å følge med på andre deler av risikobildet og sikre at tiltak blir gjennomført etter planen. En måte å gjøre det på kan være å angi konkrete tidsfrister for gjennomføring av tiltak, og angi gjennomføringsansvar til konkrete personer. Når fristen går ut må noen ha ansvar for å kontrollere om tiltakene er iverksatt. Ansvar og arbeidsfordeling må være angitt på en måte som ikke gir grunnlag for tvil.

Som vi også har nevnt tidligere må kommunene må ha et robust system for tilgangsstyring. Dette er særlig aktuelt når det kommer til administrasjon av skytjenesten, som i utgangspunktet også kan gjøres fra hele verden. Administratorkontoer bør beskyttes med flerfaktorautentisering. Det må også stilles krav til passordstyrke for elevene, for å redusere risikoen for at uvedkommende logger seg på en elev sin konto.

Vurdering av personvernkonsekvenser

Det skal gjennomføres en vurdering av personvernkonsekvenser når det er sannsynlig at en type behandling vil medføre en høy risiko for fysiske personers rettigheter og friheter. Dette kravet følger av personvernforordningen artikkel 35.

Les vår generelle veiledning om vurdering av personvernkonsekvenser (DPIA)

Hva som utgjør en «høy risiko for fysiske personers rettigheter og friheter» må vurderes ut ifra behandlingens art, omfang, formål og sammenhengen den utføres i. Det europeiske personvernrådet (EDPB) har skissert ni kriterier som kan gi en indikasjon på at det skal gjennomføres en vurdering av personvernkonsekvenser (DPIA). Dere finner en oversikt over disse kriteriene i kapittelet om «Når er det høy risiko?» i vår genrelle veiledning

Man kan anta at det skal gjennomføres en personvernkonsekvensvurdering dersom to av kriteriene er oppfylt. Behandling av personopplysninger i grunnskolen gjennom bruk av Chromebook og GSFE oppfyller i våre øyne følgende to kriterier:

  • «sårbare registrerte» (barn)
  • «innovativ bruk eller anvendelse av ny teknologisk eller organisatorisk løsning» (bruk av skytjenester i grunnskolen)

Personvernforordningens fortalepunkt 38 understreker også viktigheten av å være særlig oppmerksom på barns personvern da de er mindre kjent med risikoer, konsekvenser og hvilke garantier som skal være på plass for å sikre deres rettigheter og friheter. Barn har også begrenset mulighet til selv å ivareta sine rettigheter og friheter.

Etter vår vurdering vil en behandling av personopplysninger i skolen ved bruk av Chromebook og Google sine øvrige tjenester innebære en høy risiko for de registrertes rettigheter og friheter, og vil følgelig kreve at det gjennomføres en vurdering av personvernkonsekvenser, jf. personvernforordningen artikkel 35.

Oppsummering

Gjennom saksbehandlingen vår avdekket vi som nevnt flere mangler hos kommuner som hadde tatt i bruk Google Chromebook og G Suite for Education. I denne veiledningen har vi derfor forsøkt å peke på kommunenes plikter i lys av manglene vi har funnet. 

Vi håper dette kan være til hjelp både for kommunene vi har sett nærmere på og for andre kommuner som ønsker å ta i bruk skytjenester i grunnskolen. Veiledningen må som nevnt ses i sammenheng med det som finnes av generell veiledning ellers på nettsiden vår, ettersom forordningen inneholder flere krav som vi ikke dekker her.

Et sammendrag

  1. Rettslig grunnlag: Når kommuner skal pålegge elevene å bruke maskinvare og systemløsninger regner vi dette som offentlig myndighetsutøvelse. Korrekt rettslig grunnlag finner vi derfor i forordningen artikkel 6 nr. 1 bokstav e. Dette rettslige grunnlaget er imidlertid ikke gyldig for behandling som innebærer profilering av elevene. Vi anbefaler at kommunene ikke tar i bruk tjenester som innebærer profilering. Om slike tjenester likevel tas i bruk må kommunene basere behandlingen på samtykke, se artikkel 6. nr. 1 bokstav a, jf. artikkel 7.
  2. Databehandler: Kommunene må ha full oversikt over avtalene som tjenestene de benytter omfattes av, uansett hvor omfattende avtaleverket er. Vi anbefaler også at kommunene vurderer å gjennomføre revisjon av databehandleren, gjerne i samarbeid med andre kommuner eller via andre uavhengige tredjeparter.
  3. Informasjon: Kommunene må gi tilstrekkelig informasjon til elever og foresatte om løsningene de skal ta i bruk. Det holder ikke å kun henvise til databehandleren sin nettside. Det er kommunens ansvar å sammenstille den relevante informasjonen, slik at de registrerte kan ivareta sine rettigheter på en effektiv måte. Kommunene må også gi informasjonen på en hensiktsmessig måte, og gi de registrerte nok tid til å innta informasjonen og eventuelt stille spørsmål. Kommunene må ha så god kjennskap til både avtalene og løsningene at de kan svare på spørsmål fra elevene og de foresatte.
  4. Innebygd personvern: Kommunene må forsikre seg om at alle løsninger som skal benyttes til behandling av personopplysninger har innebygd personvern. Det vil blant annet si at løsningene er bygget på en måte som gjør at det er mulig å ivareta brukernes personvern, og at alle innstillinger som kan påvirke personvernet er stilt på det mest personvernvennlige alternativet.
  5. Protokoll over behandlingsaktiviteter: Kommunene må føre protokoll over behandlingsaktivitetene, og den må være så detaljert at hensikten med den kan oppnås. Protokollen skal blant annet bidra til at virksomhetene får oversikt over all deres behandling av personopplysninger. Formålene som oppgis i protokollen må spesifiseres tilstrekkelig, slik at behandlingsansvarlige har en reell mulighet til å vurdere hvilke opplysninger som er nødvendige å behandle, og kan beskytte de registrerte mot formålsutglidning.
  6. Informasjonssikkerhet: All behandling av personopplysninger forutsetter at det gjennomføres risikovurderinger i forkant av behandlingen. Kommuner som tar i bruk skytjenester i grunnskolen må sette seg inn i de særlige utfordringene som gjelder for bruk av slike, og ha et realistisk forhold til risikoene bruk av skytjenester kan medføre. Tilnærmingen deres for ivaretagelse av informasjonssikkerhet må tilpasses de tjenestene de benytter. Styringssystemet må være utarbeidet slik at kommunene kan sikre at tiltak blir iverksatt og at informasjonssikkerheten vedvarer over tid.
  7. Vurdering av personvernkonsekvenser: Kommunene må vurdere personvernkonsekvenser når de skal behandle barns personopplysninger i gjennom nye teknologier og løsninger. Vurderingen skal gjøres på bakgrunn av de registrertes interesser, ikke kommunens. Hensikten med en slik vurdering er blant annet at behandlingsansvarlige skal kunne identifisere risikoer for de registrertes personvern som de ikke ville identifisert gjennom en alminnelig risikovurdering. Vurderingen er med på å danne grunnlag for iverksetting av tiltak for ivaretagelse av de registrertes rettigheter og friheter.