Det här är det sjätte inlägget skrivet av John Arthur Berg, Dataskyddsombud på itslearning
Nyligen tillkännagav itslearning ett partnerskap med Google for Education, vilket gav upphov till frågor angående dataintegritet. Som dataskyddsombud är jag inte inblandad i de kommersiella eller strategiska besluten för itslearning, men jag blir ombedd att komma med synpunkter angående innebörden av datasekretess i de flesta saker vi gör. För transparens delar jag här mina tankar kring ämnet.
Låt oss titta på itslearnings molnintegrationer i allmänhet (itslearning stöder även integrationer med Office 365 och Dropbox). Molntjänsterna brukar komma i två olika typer, vi kan kalla dem smaker, och även om de kan se identiska ut, är de väldigt olika utifrån ett datasäkerhetsperspektiv.
Jordgubbssmak: En företagslösning som ”säljs” till (utbildnings-) organisationer.
Hallonsmak: En konsumentlösning som du själv registrerar dig för.
(Det finns även en tredje smak – ett resultat av att vissa företag försöker blanda de två smakerna – men utifrån ett GDPR-perspektiv leder detta till en dålig blandning i mitt tycke).
Låt oss titta på jordgubbssmaken först. Om du som lärare eller studerande får ett Google-(eller Microsoft) konto från din skola – då blir det jordgubbssmak. Vad det betyder ur GDPR-synpunkt är att utbildningsorganisationen är en så kallad datakontrollant (äger/kontrollerar all data) och Google är en dataprocessor. Google kan endast behandla data enligt organisationens anvisningar. I enkla termer innebär det att Google håller personuppgifterna borta från sina tjänster med hallonsmak (konsumenttjänster). De försöker inte heller direkt tjäna pengar på personuppgifterna.
Men det betyder inte nödvändigtvis att alla gillar jordgubbssmak. Varje organisation som registrerar sig för sådana tjänster blir en datakontrollant och har betydande skyldigheter gällande integritetsskyddet för sina slutanvändare. I slutändan måste en organisation själv avgöra om tjänsten passar deras syfte och ger en lämplig nivå av dataintegritet.
När det gäller hallonsmaken finns det inga förmedlande organisationer som tar hand om personuppgifter. Användarna har direktkontakt med leverantören, som under GDPR blir datakontrollant. Leverantören bestämmer syftet med hur din data behandlas och kommer ofta att försöka tjäna pengar på dina personuppgifter (de måste vara transparenta i hanteringen och kontrollera villkoren för sina sekretessregler).
I partnerskapet mellan Google for Education och itslearning bygger integrationerna på Googles tjänster med jordgubbssmak. Det här är en lösning för organisationer som redan har registrerat sig hos G Suite for Education, har bedömt och dragit slutsatsen att Google erbjuder en lämplig nivå av datasäkerhet, och har tecknat ett juridiskt bindande datahanteringsavtal. Vi på itslearning börjar inte plötsligt behandla våra kunders personuppgifter tillsammans med Google bara för att vi har ingått partnerskap.
Men om en itslearning-kund har registrerat sig hos G Suite for Education, och beslutar att använda sig av integrationsmöjligheterna som erbjuds av itslearning, överförs kontrollen av personuppgifterna till Google då? Nej. Den lilla data som flyttas till G Suite for Education kontrolleras fortfarande av vår gemensamma kund. Uppgifterna kan inte oberoende hanteras av Google. Det är också värt att nämna att den enda personliga informationen som itslearning för närvarande flyttar till G Suite for Education är namn på användare – data som din organisation förmodligen redan har tilldelat G Suite för att ge dig ett konto.
itslearning erbjuder även integrationer till vissa tjänster med hallonsmak. Om du använder Dropbox och du vill ha ett bekvämt sätt att ladda upp en fil till itslearning, kan det göras direkt från Dropbox. Men till tjänster med hallonsmak lämnar itslearning aldrig ut några personuppgifter.
Sammanfattningsvis: itslearning-kunder bestämmer själva om det är lämpligt, eller inte, att använda integrationer med molntjänster i plattformen. itslearning överför inte personuppgifter till en leverantör som kunden inte redan har godkänt. Kunden kan alltid välja en ”smakfri miljö” och stänga av alternativet att integrera med molntjänster helt och hållet.
