Thursday, February 27, 2014

Skolebror ser deg - om personvern i skolen.



På godt newnorsk heter det at "there is no such thing as a free lunch", og sjelden er vel det mer treffende enn i tilfellet Facebook. I god markedsføringstankegang lever de etter mottoet at er du ikke kunden, så er du varen. På Facebook er du så definitivt varen, og Facebook behandler deg deretter. Folk er av den oppfatning at de kan styre sin informasjon på Facebook, men der tar de feil.  Jeg tror at når det gjelder Facebook faller de i samme kategori som Apple: jeg liker produktet, men ikke firmaet.

Facebook har utviklet en plattform med mye god funksjonalitet, men den har dimensjoner av ufrivillig "oversharing". Dette er en stor utfordring ettersom Facebook begynner å få en dominerende plass i medielandskapet. Stadig flere lærere oppdager for eksempel at Facebook er et glimrende verktøy til bruk i undervisningen og i kommunikasjon med elever og foreldre. Problemet med Facebook er at det er er komersielt selskap med en rå og kynisk innstilling til sine brukere. Alle tastetrykk du foretar registrerer de.   Dette er ikke noe problem om brukerne vet og forstår hva de begir seg ut på, men de færreste brukere vet dette, og Facebook endrer brukervilkårene slik det passer dem.  Facebook er (i likhet med mange andre sosiale nettsamfunn) som Hotel California: "you can check out any time you like, but you can never leave". Det dukker stadig opp nye "funksjonaliteter", slik som at Facebook vil vite hvorfor du ikke publiserte de oppdateringene du begynte på, eller at de kan ta opp lyd og bilde fra telefonen din uten at du er klar over det.

En annen funksjonalitet er at de deler dine opplysninger med andre nettsteder, uten at du har gitt tillatelse til dette.  For eksempel ser det slik ut på de flestes Facebook-konto:

Her vil Facebook dele brukernes opplysninger med diverse nettsteder selv om de aldri har besøkt eller gitt tillatelse til å ha tilgang til opplysninger. Med hvilken rett gir Facebook sine partnere tilgang til brukernes opplysninger? Dette står med standard innstilling: tillat. Brukerne må aktivt inn og deaktivere funksjonene, men foreløpig er denne funksjonen inaktiv i Norge.  Dette understreker problemet med Facebook - en må hele tiden passe på privacy-settingene.


Innen utdanning blir dette enda mer problematisk: ivaretar Facebook de personvernshensyn utdanning er forpliktet til å ivareta?  Innen utdanningssystemet er det strenge regler for lagring og formidling av persondata.  Når utdannere tar i bruk Facebook som en arena for læring og samhandling er det i tråd med de jurdiske forpliktelser til personvern som utdanningsinstitusjonene er underlagt? Er det forskjell på elever/studenter som er over/under myndig alder? Må skolene ha samtykke fra foreldre/verge for å kommunisere med elever på Facebook?

Hvor kommer det offentlige inn her? Har offentlige myndigheter/skoleeier noe ansvar/forpliktelse i forhold til disse arenaene? I en digital tidsalder hvordan forholder vi oss til de ulike plattformene? Hvor er jussen? Hva skal lagres, av hvem, for hvem? Hvem eier dataene, og hvem bestemmer bruk og evt sletting? I debatten om ikt i skolen bør ikke disse temaene være sentrale? Har lærere som ikke bruker ikt i undervisningen kompetanse til å forholde seg til disse spørsmålene? Oppdrar vi våre elever til å forholde seg til disse spørsmålene på en god og konstruktiv måte?  Er vi naiv i vår omgang med våre persondata? Jeg snakket om Apples nye iphone med en taxisjåfør fra Somalia.  Han likte ikke fingeravtrykk-id´en deres. I teorien en god idé, for det gir beskyttelse mot tyveri, men Apple samler samtidig fingeravtrykk fra hele verdens befolkning.  Er det greit? Hvem eier og bruker de dataene? Taxisjåføren ville ikke ha iphone, fordi han så det som et overvåkningsverktøy.

Det sies at veien til helvete er brolagt med gode intensjoner, og dette er et vanskelig farvann. Det gode kan bli sin egen verste fiende. Like lite som en kan skjerme elevene mot disse sosiale mediene, like viktig er det å være obs på utfordringene bruk av disse arenaene medfører. Like galt som det blir å forby dem for å beskytte våre elever og personopplysninger blir det å ukritisk la dem bli en del av undervisningstilbudet. Det ene er at de er en del av vår hverdag, det andre er at fullgode alternativer finnes ikke. Sosiale medier er kommet for å bli.  Å lære å forholde seg til dem og bruke dem på en god måte er en viktig kompetanse i dagens samfunn, men hvem bestemmer spillereglene?  Det enkelte selskap som leverer disse tilbudene eller fellesskapet? Er det slik at fordi de er grenseoverskridenede at de kan omgå det sivile lovverk som regulerer de andre sider ved vårt sosiale liv? Skal mydigheter holde dem i sjakk eller er det overlatt til hver enkelt av oss?





http://www.zdnet.com/blog/igeneration/facebook-not-so-secretly-records-your-stalking-habits/12297
http://www.pcr-online.biz/news/read/facebook-to-record-search-history/029223
http://www.slate.com/articles/technology/future_tense/2013/12/facebook_self_censorship_what_happens_to_the_posts_you_don_t_publish.html
http://www.stuartwilde.com/2013/01/facebook-new-app-update-let-them-record-sound-video-from-your-phone-at-any-time-without-your-consent/
http://www.abovetopsecret.com/forum/thread919249/pg1
http://crisisboom.com/2013/01/19/facebook-new-app-update-let-them-record-sound-video-from-your-phone-at-any-time-without-your-consent/
http://rt.com/usa/facebook-tracks-everything-written-posted-394/
http://www.washingtonpost.com/lifestyle/style/mark-zuckerbergs-theory-of-privacy/2014/02/03/2c1d780a-8cea-11e3-95dd-36ff657a4dae_story.html
http://zuckerbergfiles.org/


12 comments:

Odin said...

Huhei! Her var det mange spørsmål - og jeg skal prøve å svare litt på noen av dem, på bakgrunn av besøket med Datatilsynet på Harestad skole.

Tommelfingerregelen er at om vi som skole krever at elevene gir fra seg personopplysninger (som er alle opplysninger som kan knyttes til en identifiserbar person) - eller om vi gjør det for dem ved aktivt å laste opp informasjon - så skal vi som skole/kommune ha inngått en databehandleravtale med databehandleren (den eksterne tjenesten), som sikrer at denne følger personopplysningsloven og at det er avklart hva informasjonen skal brukes til - og at sluttbruker informeres om hva informasjonen om dem brukes til.

Så- om en som lærer krever at elevene skal være på FB sliter en, fordi du får ikke en databehandleravtale med FB - og FBs personvernerklæring er ikke i nærheten av å leve opp til personvernloven. Det de fleste kommer unna med er at det er frivillig - at elevene selv kan velge om de vil eller ikke. Til det svarer jeg - "særlig". Men det hjelper ikke - om det på papiret er frivillig, så er det greit ift personopplysningsloven. Helt til evt. Datatilsynet kommer på besøk og avdekker at det ikke er helt frivillig i praksis likevel.

Dette gjelder jo ikke bare FB. Det gjelder alle skytjenester - Dropbox, Evernote, Twitter, G+, Blogger osv. Om jeg hadde krevd at alle elevene mine i 8A skulle lagt igjen et svar på innlegget ditt på Blogger hadde vi hatt et problem - fordi du må autentisere deg for å kunne legge igjen en kommentar (og Blogger ligger ikke innenfor Google Apps for Education-avtalen vi har).

Jeg har blogget om dette i det siste på www.iktogskole.no:
http://www.iktogskole.no/?p=3097
http://www.iktogskole.no/?p=2986
http://www.iktogskole.no/?p=2976

June Breivik said...

Takk for kommentar, Odin. Dette er ikke lett, for på den ene siden er det du beskriver gode tjenester, men problematisk i skolen. Jeg vet ikke om alle har et like bevisst forhold til dette som dere.
På den ene siden vil en beskytte elevene med personvernregler, mentarvi da fra dem kompetansen i å bruke disse mediene?

June Breivik said...
This comment has been removed by the author.
Odin said...

Jeg fabulerer med tanken om formelt å bruke Google+ som sosialt treningsnettverk på skolen, for elever over 13 år (absolutt aldersgrense for slike amerikanske tjenster - amerikansk lov - og som Google overholder beinhardt).

Grunnen til at vi kan gjøre det er at vi eier Google App-kontoene som brukes på G+ - og at all informasjon lagt ut av disse brukerne slettes når brukeren slettes. Det siste der er jo ikke akkurat like greit om nå faktisk den en har skrevet er bra, men det er slik det må være for at vi skal kunne bruke det med elever. Vi må ha full kontroll over informasjonen elevene legger ut - og i siste instans kunne slette det. Dette har vi faktisk mulighet til i Google Apps og G+. Jeg har testet at til og +1 en bruker legger igjen blir slettet om brukeren slettes! I tillegg til alle innlegg og alle kommentarer. Sletter du Google-kontoen din så forsvinner du faktisk fra Googles-systemer (i alle fall med Google Apps kontoer).

Da kan vi bruke G+ som sosialt nettverk, der elevene kan trene, og vi kan bruke det som en delingsarena for skoleting - på samme måte som mange bruker FB i dag. Men vi kan bruke G+ lovlig.

Den vel mest vanlige grunnen til at en tar i bruk FB er at "alle er det likevel". Men det tror jeg vi kommer til å se en endring på i årene som kommer blant den yngre generasjonen...

June Breivik said...

Du synliggjør en del av utfordringene, Odin. Fordi du viser til Googles regeler, og hvordan Goolge overholder reglene og hvilke løsninger dere har funnet i forhold til det. Hva Google gjør er fint og bra, men det fjerner ikke aktualiteten i spørsmålet: hvem bestemmer? Sivilt lov og regelverk eller det enkelte selskap?
Som du selv peker på er bruken av FB synkende blant den yngre generasjon. De går over til nettsamfunn som Instagram og WhatsApp, men så er de like langt når FB kjøper dem opp. Dropbox og Evernote er jo etterhvert blitt en naturlig del av de flestes digitale hverdag, hva med jussen her? Jeg mener at dette bør brukes i skolen, men jeg vet ikke om jeg synes det er godt nok at vurderinger overlates til hvordan den enkelte skole velger å forholde seg til de ulike policyene.

Odin said...

Svaret er igjen egentlig enkelt. Det er det enkelte selskap (databehandler) som setter reglene for sin egen tjeneste og så er det bedrift/kommune/skole (dataeier) som så sikre at bruken følger personopplysningsloven. Og for å sikre det må dataeier inngå en databehandleravtale med databehandler - noe det er mulig å gjøre med Google, men ikke med Dropbox, FB, Instagram, WhatsApp... (tror det er mulig å inngå en avtale med Evernote).

Det er selvfølgelig ulikt lovverk i det enkelte land som regulerer deler av slike tjenester - innsynskrav i USA er jo en kjent sak, og USA har også en nokså hard aldersgrense på 13 år for en del digitale tjenester.

Om det er lurt at det er slik at det er kommunene som skal vise at de er på rett side av loven - det er et helt annet spørsmål. Utfordringen ligger i at ingen "vet" om de bryter personopplysningsloven før Datatilsynet/domstol har vurdert det. F.eks. at vi i Randaberg kommune har fått krav om sterk autentisering av læringsplattform gjelder bare oss - ikke Stavanger. Stavanger kommune kan gjøre "hva de vil" helt til de også blir kontrollert og får krav om å innrette seg etter loven - hvis deres bruk av læringsplattform er lik vår. Det er som om det var en fartsgrense. Det er den enkelte bilists ansvar å ikke kjøre fortere enn fartsgrensen, men du blir ikke tatt/får bot uten at det er en fartskontroll.

Den enkelte skole kan ikke forholde seg slik de vil til de enkelte firmas policy, de må følge norsk lovverk, men problemet med skytjenester er at "fartsgrensen" kan være nokså diffus. Men - slik FB og en rekke andre skytjenester opptrer er det ikke mulig for en kommune/skole å holde grensene - annet enn om brukerne er med frivillig (og da gjelder positivt samtykke).

Også er det irriterende å være bilisten som følger fartsgrensen, mens andre ulovlig raser forbi... :-(

June Breivik said...

Sant nok. Forstår den. Mange opererer etter mottoet: lettere å få tilgivelse enn tilatelse.

Kjetil Endresen said...

Ville det ikke vært mer hensiktsmessig om den enkelte lærer/skole fikk utøve mer skjønn, og velge selv om tjenesten er sikker eller ikke?

Altså, alle argumentene oppgitt er helt legitime, og datatilsynet har helt rett i mange av dems vurderinger. Og det er viktig at vi har et datatilsyn og er bevisst på overvåkningen av samfunnet. Likevel klarer jeg ikke å se at verdens overvåkningsproblemer har faktisk relevans i klasserommet: Google og Facebook dominerer dataene av store deler av samfunnet, også utenfor utdanningssektoren, og det er ikke lærerens oppgave å endre på det. Hvis facebookgrupper er den beste måten å organisere klassen på, hvorfor ikke bare gjøre det?

Så kunne vi heller på (inter-)nasjonalt plan diskutert at det er et problem at flere og flere lærere bruker facebook, og opp til staten å lage et bedre tilbud til lærerne.

June Breivik said...

Takk for kommentar, Kjetil, og gode innnspill. Kanskje dekkes det over behov som er ute blant brukerne ved at disse arenaene ikke tas i bruk i skolen. Dessuten er de, som du sier, en del av folks hverdag, og hvordan bruke dem er en kompetanse i seg selv. Som du sier hvis FB-gruppe er best, hvorfor ikke bruke den. Men jeg mener fortsatt at FB skal ikke få lov til å styre over de opplysninger de samler. Jeg ser på det som et mye større problem enn at FB brukes i undervisningen.

Odin said...
This comment has been removed by the author.
Odin said...

Jeg hadde ikke tatt sjansen på at lærerne (eller skolen) skulle vurdert dette selv. Min erfaring er at de vanligvis ikke bryr seg og at de har liten kunnskap om eller evne til å kunne vurdere om en tjeneste er "sikker" eller ikke. Datatilsynet passer på at vi overholder lovene som sier hva som forventes av en "sikker" tjeneste - så det er bare å følge dem :-)

Jeg er heller ikke bekymret for "overvåkingsproblemet" som Snowden har avdekker ift skolebruk. Men det er noe helt annet enn å gi FB (eller for den saks skyld Google) gratis tilgang til personinformasjon knyttet til elevene våre uten at vi har _noen_ kontroll over hva FB vil bruke dem til. Vi bruker Google Apps for Education, men har sikret at _vi_ har kontroll over hva Google bruker informasjonen vi gir dem til (gjennom en databehandleravtale). En FB-gruppe er ikke nødvendigvis den beste måten å organisere klassen på om det betyr at du må gi FB direkte tilgang til mye av dataene du har liggende i skolens SAS!

Det er et problem at flere og flere lærere begynner å bruke FB fordi det tvinger elevene til å legge igjen mer personinformasjon hos FB - og på den måten gi dem mer "valuta". Dessuten inviterer det elevene til å blande sammen privatliv og skoleliv online siden de må bruke samme FB-konto til begge deler. De kan ikke slette den ene uten å slette den andre. Det er også mange lærere som synes dette er problematisk, og oppretter en egen lærer-FB-konto, så hvorfor skulle ikke elevene også gjøre det - og da kan du velge en annen tjeneste enn FB!

Det er ikke sagt at FB er den beste måte å organisere skolen digitalt på - det er bare læreren som synes det er lettvindt. Det finnes bedre tjenester enn FB der ute. Poenget er derfor ikke om Staten skal lage et bedre tilbud til lærerne. De hadde ikke brukt det uansett. Grunnen til at de bruker FB er at elevene allerede er der (stort sett). Hvis det var et argument finnes det allerede tjenester skolen kan installere selv, eller bruke Google+, som er bedre egnet og tryggere og mer lovlige enn FB - og som en kan begynne å bruke i morgen. Da kan du også skille mellom skolebruk og privat bruk - noe som selvfølgelig elevene (og noen lærere) kommer til å synes er tungvindt.

June Breivik said...

Jeg synes dette får frem hvor komplekst dette er. Det finnes gode systemer og løsninger, som med fordel kan brukes i skolen. Men på grunn av regler og lovverk kan ikke disse tas i bruk. Jeg er opptatt av personvernhensyn, samtidig er de løsninger som skolen har tilgang til i etterkant av utviklingen. Jeg mener at dette kunne vært løst med at alle som samler personopplysninger er underlagt strenge regler for håndtering av disse. Skoler har i dag muølighet til å lage systemer som samler og lagrer alle slags opplysninger om elevene, digitalt eller på papir. Men på grunn av personvernlover kan ikke skolene det. Jeg synes det er merkelig at ikke digitale opplysninger skal underlegges samme regime.