Det här inlägget ger mig knappast nya vänner bland kollegor, kunder eller i branschen i allmänhet, men faktum är att enkel autentisering som ett användarnamn och ett lösenord inte är tillräckligt för att skydda viktiga personuppgifter i dagens samhälle.
De mer säkerhetsmedvetna av oss har antagligen slagit på så kallad ”multi-factor authentication” (MFA) på våra Facebook, Dropbox, G-mail eller Linkedin-konton. Ändå verkar de flesta företag och kunder i vår bransch gärna hålla sig till ett användarnamn och lösenord för att skydda den ofta stora mängd viktiga personuppgifter som finns i lärplattformar, bedömningsplattformar, informationssystem och liknande.
”Kräver GDPR av oss att vi ska använda MFA?”, kanske du undrar. Enkel fråga, komplext svar.
Kanske är det viktigaste det gemensamma ansvaret mellan en datakontrollant (säg en skolledare) och en dataprocessor (som itslearning) att säkerställa lämplig teknisk och organisatorisk säkerhet. Det som är lämpligt beror på vad det blir för konsekvens för en registrerad om hans eller hennes data förloras eller blir stulet. Med andra ord; det som är lämpligt beror på värdet av att skydda de uppgifter du behandlar.
Jag tänker inte påstå att en allmän tumregel är att GDPR kräver MFA för lärplattformar. Jag låter två organisationer med auktoritet kring ämnet göra det för mig:
1. ”Vi anser att personalens tillgång till en lärplattform kräver en starkare autentisering än användarnamn och lösenord”. (Från norska datainspektionens riktlinjer för lärplattformar.)
2. ”Utbildningsmyndigheter och leverantörer av lärplattformar och tillverkare uppmanas att […] tillåta och kräva användning av en multifaktorautentisering för administratörer och utbildare som loggar in på plattformen. Detta för att förhindra missbruk genom stulna lösenord ”. (Resolution om lärplattformar från den 40:e internationella konferensen för dataskydd och sekretess).
Många hävdar att om uppgifterna inte är ”känsliga” (eller som GDPR kallar det, tillhör en ”speciell kategori” av personuppgifter) är det inte nödvändigt att skydda uppgifterna med en starkare autentisering. Detta är en förenkling; kategorisering av data är inte alltid kopplad till hur viktigt det är att skydda den. Om du har fått tillgång till en lärares konto i ett administrativt system kan du även få tillgång till dussintals elevers bedömningar, hemadresser och vårdnadshavares information och kontaktuppgifter. Det är lika viktigt att skydda dessa uppgifter som ett meddelande från din läkare om hur du ska hantera dina sömnsvårigheter.
Men visst finns det undantag. Om du bara använder din plattform för att dela en PowerPoint med dina elever, kan ”svag” säkerhet fortfarande vara tillräcklig (åtminstone om mycket lite elevdata är tillgänglig via systemet). Om du har andra säkerhetslager (privata nätverk, IP-restriktioner, osv.) kan du slippa undan, men om du inte utfört en noggrann riskbedömning bör din standard vara MFA.
itslearning rullar nu ut en inbyggd MFA-funktion och kräver att vissa typer av användare aktiverar den. Den kommer så småningom att vara tillgänglig för kunder att implementera oavsett användarroll. Många kommersiella plattformar som itslearning har varit ovilliga att komma med lösningar som dessa, och inte utan goda skäl.
För det första, funktioner som inte krävs (eller önskas) av kunder hamnar sällan på prioriteringslistan. (Det är ganska ironiskt, många kunder behöver säkerhetskopierade åtgärder på samma nivå som banker eller sjukhus men kopplar inte samman det med åtkomst för slutanvändare).
För det andra, i de flesta organisationer som använder en lärplattform, hanteras autentisering i ett separat system, tillhandahålls internt eller kommer från en annan leverantör. Till exempel, i Norge använder nästan alla lärare ”Feide” (en nationell sammanslutning för identifikation).
För det tredje, och allra viktigaste, är alla oroade över implementation och vilken påverkan detta har vid införandet av en lärplattform. Medan den tidigare nämnda ”Feide” har haft stöd för MFA sedan 2015 har processen varit långsam. Diskussioner med lärare som inte vill använda sina privata mobiltelefoner för arbete utan kompensation är hinder som kan uppstå (SMS eller autentiseringsappar är förmodligen det billigaste sättet att få igång en acceptabel MFA-lösning). Det finns även en verklig rädsla för att MFA skulle vara ett extra hinder, som driver lärare tillbaka till att använda läroböcker istället för digitala plattformar.
Men vi måste acceptera att världen har förändrats och att ”lämplig” säkerhet inte är statisk. Den förändras när vi blir mer beroende av tekniken, och allt eftersom hotnivåer ökar. Ett enkelt lösenord som står i vägen för att elevers personuppgifter ska vara tillgängliga för vem som helst i världen är inte tillräckligt.
Så om du är ansvarig för en lärplattform bör du sätta igång att utvärdera dina alternativ för MFA (itslearning eller något annat system som kan erbjuda detta) och noggrant bygga en införandeplan som inte påverkar användandet av tekniken.
_________________________________________________________________________
1 MFA kanske låter väldigt komplicerat, men det är ganska enkelt. Det handlar om att bekräfta din identitet på flera sätt, vansligaste sättet är att kombinera något som bara du vet (som ett lösenord) med något som bara du har (som en engångskod från en kodgenerator eller ett textmeddelande).
2 https://www.datatilsynet.no/personvern-pa-ulike-omrader/skole-barn-unge/krav-til-skoleeier-ved-bruk-av-laringsplattformer/
3 https://www.privacyconference2018.org/system/files/2018-10/20180918_ICDPPC-40th_DEWG-Resolution_ADOPTED.pdf