Kategorier: Nyheder

GDPR, Google og itslearning


Posted on

Dette blogindlæg er skrevet af Data Protection Officer (DPO), John Arthur Berg, itslearning

itslearning har for nylig annonceret et partnerskab med Google for Education, og hos mange rejser det spørgsmål om databeskyttelse. Som databeskyttelsesofficer er jeg ikke involveret i de kommercielle eller strategiske beslutninger hos itslearning, men jeg bliver ofte bedt om at udtale mig om de datasikkerhedsmæssige konsekvenser af de ting, vi gør. For at skabe gennemsigtighed vil jeg derfor dele mine tanker om GDPR, Google og itslearning.

Lad os tage et kig nærmere på itslearnings cloud-integrationer generelt set (itslearning understøtter også integration med Office 365 og Dropbox). Cloud-tjenester findes normalt i to forskellige typer, og selvom de måske ser identiske ud, er de meget forskellige set fra et databeskyttelsesperspektiv. Derfor vil jeg inddele disse i forskellige smagsvarianter for forståelses skyld.

Vaniljesmag: En virksomhedsløsning “solgt” til (uddannelsesmæssige) institutioner.

Lakridssmag: En forbrugerløsning, som du selv tilmelder dig.

(Der er også en tredje smag – som er et resultat af, at nogle virksomheder forsøger at blande de to smagsoplevelser sammen – men fra et GDPR-synspunkt giver dette en dårlig smag i min mund).

Lad os først betragte en løsning med vaniljesmag, hvor du som underviser eller elever modtager en Google (eller Microsoft) konto fra din skole. Fra et GDPR-synspunkt betyder det, at uddannelsesinstitutionen er dataansvarlig (ejer af alle data) og Google er databehandler. Google kan kun behandle data som instrueret af institutionen. Kort sagt betyder dette, at Google vil bevare de personlige data uden for deres lakridssmags-tjenester (forbrugertjenester) og vil ikke prøve at tjene penge på dine personlige data direkte.

Dette betyder ikke nødvendigvis, at alle kan lide vanilje. Alle institutioner, der tilmelder sig sådanne tjenester, bliver dataansvarlige, og de har dermed også væsentlige databeskyttelsesforpligtelser over for deres slutbrugere. Derfor skal institutionen afgøre, om tjenesten passer til deres formål og tilbyder et passende niveau af databeskyttelse og datasikkerhed.

For løsninger med lakridsmag er der ingen formidlingsinstitutioner, der tager sig af databeskyttelsesrettigheder. Brugere laver selv en kontrakt direkte med udbyderen, som under GDPR bliver dataansvarlig. Udbyderen bestemmer formålet med, hvordan dine data behandles og vil ofte forsøge at tjene penge på dine personlige data. (De skal dog være gennemsigtige om det, se vilkårene og betingelserne i deres fortrolighedserklæring).

Med hensyn til partnerskabet mellem Google for Education og itslearning er integrationen bygget op på ren vanilje. Dette er en løsning for institutioner, der allerede har tilmeldt sig G Suite for Education, og har vurderet og konkluderet, at Google tilbyder et passende niveau af databeskyttelse og datasikkerhed, og har underskrevet en juridisk bindende databehandleraftale. itslearning vil ikke pludselig begynde at behandle vores kunders personlige data med Google under dette nye foretagende.

Men hvis en itslearning-kunde har tilmeldt sig G Suite for Education, og beslutter sig for at gøre brug af integrationsmuligheden, der tilbydes af itslearning, overføres personlige data så til Google? Nej. De små mængder af data, der flyttes til G Suite for Education, er stadig under ledelse af vores fælles kunde og kan dermed ikke behandles uafhængigt af Google. Det er også værd at nævne, at de eneste personlige data, som itslearning for øjeblikket deler med G Suite for Education, er navne på brugere – altså data, som din institution sandsynligvis allerede har tildelt G Suite for at kunne give dig en konto.

itslearning tilbyder også integrationer med lakridssmags-løsninger. Hvis du bruger Dropbox, og du vil have en bekvem måde at uploade en fil til itslearning, kan det gøres direkte fra Dropbox. Men med en sådan lakridssmags-løsning udleverer itslearning aldrig personlige oplysninger.

Kort sagt, beslutter itslearnings kunder selv, om det er hensigtsmæssigt eller ej at bruge cloud-integrationerne i læringsplatformen. itslearning overfører ikke personlige data til leverandører, som kunden ikke allerede har godkendt. Kunder kan altid vælge et “smagfrit miljø” og slukke for muligheden for at integrere med cloud-services helt og holdent.