tisdag 3 november 2015

Hur är det med skolans molntjänster?

Det har inte talats särskilt mycket om det uppsagda avtalet mellan EU och USA som går under namnet Safe Harbour. Den 6 oktober i år så  ogiltigförklarar EU-domstolen i Luxenberg EU-kommissionens  beslut att de så kallade Safe Harbor-principerna som säkerställer ett adekvat skydd för överförda personuppgifter. Safe Harbor-avtalet mellan EU och USA innebär att USA uppfyller Europas dataskyddsstandard. Men med domen den 6 oktober så gäller inte detta längre. Orsaken är att amerikansk lag går före reglerna om dataskydd i Safe Harbor. Myndigheter i USA kan oinskränkt hämta in uppgifter. Därigenom urholkas överenskommelsens själva innebörd.

Detta innebär i sin tur att samtliga skolor och organisationer som enligt konstens alla regler lyckats sluta avtal med Google och/eller Microsoft i värsta fall riskerar att få börja om igen. För just nu kan detta EU-beslut resultera i att EU kan stoppa Facebook, Microsoft och Google från att sända över och lagra data om europeiska medborgare i USA. Det handlar inte bara om dessa företag utan allt som allt är det så många som 4 000 amerikanska bolag som säljer olika tjänster i Europa som använder sig av avtalet när de för över personuppgifter om europeiska medborgare till USA. I klartext innebär detta att alla som idag nyttjar GAFE eller Office365 inom utbildning (eller företag) kanske måste se sig om efter annan lösning. Just nu pågår ett febrilt arbete för att finna lösning på detta problem men i grunden är det bra att det hela undersöks ingående. Vad det hela handlar om är att våra personuppgifter såväl vad vi gör på nätet inom skolan inte skall vara en angelägenhet.

SKL har tagit detta på allvar och vill givetvis ha en lösning så snart som möjligt, men i väntan på den så rekommenderar SKL att tillfälligt beakta följande rekommendationer (källa):

  • Gör en kartläggning av organisationens IT-system och tjänster där det finns en överföring av personuppgifter till USA. 
  • Gör en förnyad analys av vilken typ av personuppgifter som hanteras i de tjänster som berörs och fundera på om det finns alternativ. Ta gärna hjälp av Datainspektionens informationsmaterial och SKL:s vägledning. 
  • Ta kontakt med berörda leverantörer och fråga efter deras åtgärder till följd av att Safe Harbour-principerna upphört att gälla. Fråga om de planerar någon förändring av t.ex. var och hur lagring av information sker. 
  • Analysera möjligheterna inom gällande avtal. Hur lång avtalstid är det kvar på avtalet med leverantören? Finns t.ex. utrymme för omförhandling eller att inte förlänga befintliga avtal? 
  • Begränsa möjligheterna för leverantörerna att överföra personuppgifter till USA i kommande upphandlingar. 
Detta är något som vi så snart som möjligt vill skall lösas. Särskilt med tanke på att de flesta läplattformar och digitala lärmiljöer har koppling till olika molntjänster som Office365 och Google Apps for Eduacation (GAFE).

Mer läsning:
Microsoft svarade den 6/10 på denna nyhet med följande blogg-inlägg.