Google Apps for Education – varför och hur

Google Apps for Education i Lund

Beslutsförslaget är att Google Apps for Education (GAFE) kommer att vara en del i vårt systempussel. Den delen som används för ”pedagogiskt genomförande”. I GAFE sparar vi inga integritetskänsliga uppgifter, utan här handlar det enbart om samarbete och kommunikation i lärsituationen. Att skapa och dela material och arbeta formativt.

Till pedagogisk planering, bedömning och dokumentation används våra  upphandlade it-system. För förskola/grundskola är det Unikum och för gy/vux är det Vklass.

GAFE är en så kallad molntjänst, där allt arbete sker över internet (lagring, skapa och dela dokument, skriva och samarbeta i realtid). Beslutsförslaget är att Lunds skolor och förskolor ska använda GAFE som verktyg eftersom det skapar möjlighet till nya arbetssätt, samarbeten och enklare och mer effektiv kommunikation.

Men det är viktigt att tjänsten används på rätt sätt och att alla är medvetna om vad man får och inte får använda den till. Vi har gjort en informationsklassning med systemsäkerhetsanalys och risk-och sårbarhetsanalys där informationsägarna tillsammans med informationssäkerhetsansvarig och kommunjurist tagit ställning till hur tjänsten får användas. Vi har också gjort ett etiskt ställningstagande samt en kompletterande bedömning av avtalen i samband med Safe Harbor-domen i oktober.

Utdrag ut vårt etiska ställningstagande

När det gäller Google så finns en bakgrundshistoria kring deras sätt att hantera användarnas information, hur den används för att utveckla produkterna, för att skapa riktad reklam, för att spåra det användarna gör, för att på olika sätt tjäna pengar. En mindre trevlig bild av företaget, en bild som kan upplevas som ett hot mot vår personliga integritet och som behöver diskuteras både inom skolan och privat. Hur ställer vi oss till det faktum att ”allt vi gör” på nätet registreras och spåras? Vilka är fördelarna och nackdelarna? Hur ska vi agera på nätet för att dra nytta av fördelarna, men undvika nackdelarna?

I de här diskussionerna är det viktigt att skilja på privata Google-konton och de vi hanterar i skolan genom Google Apps for Education. Skolkontona är personliga, men inte privata och här gäller särskilda avtal som reglerar Googles rätt till data, bland annat s.k. Model Contract Clauses. Här sker inte samma sorts registrering och spårning av data som för de konton man skapar privat och här sker ingen spårning som har direkt koppling till en specifik användare.

Det etiska ställningstagandet vi gör i Lund är därför att vi inom skolan och förskolan måste vara medvetna om hur leverantörer som Google, Microsoft m.fl. tjänar sitt levebröd och utvecklar sina tjänster för att på så vis kunna använda dem på ett klokt och ändamålsenligt sätt. I utvärderingen av GAFE ser vi att de pedagogiska vinsterna är mycket stora och har därför gjort övervägandet att fördelarna överväger nackdelarna och att de avtal som finns specifikt för GAFE ger den säkerhet verksamheten har som krav när det gäller riktighet, tillgänglighet, konfidentialitet och spårbarhet, vilket är de fyra områden man går igenom när man gör en systemsäkerhetsanalys. Men igen, tjänsterna måste användas på rätt sätt och rutiner för hur det följs upp måste finnas på varje enhet.

Utdrag ut vår informationssäkerhetsklassning

Användning av Google Apps for Education (GAFE) i Lunds skolor

Lunds skolor och förskolor använder flera olika it-system med olika syften – några system är till för myndighetsutövning och pedagogiska administration och några för pedagogik. GAFE används för sistnämnda och ibland även för pedagogisk administration, men aldrig för myndighetsutövning.

GAFE är ett processverktyg där informationen i systemet används som stöd i lärandet. Det finns också information som är mer ren information/fakta om verksamheten utåt (externt). Här finns publiceringsytor, där man t.ex. publicerar skolarbeten och information på såväl Blogger (bloggverktyg som ingår) och på själva siten (om man har valt att ha en sådan).

Här kan komma att finnas prov och andra inlämningsarbeten. Inlämningsarbeten innehåller inte integritetskänslig information. Någon använder sig av Google Classroom, där veckoplaneringar, läxor, delade dokument etc. finns.

Här sker ett internt informationsutbyte och kommunikation mellan personalen, t.ex. via delade dokument med information rörande elevernas utveckling men inte med någon integritetskänslig information. Ingen elevinformation är sökbar och endast berörd personal har läsrättigheter.

Här sker också viss tjänstefördelning, med listor över vilka lärare som har vilka ämnen/klasser. Listan innehåller inga personnummer, inga hälsoaspekter, men personliga önskemål.

Enkäter (formulär) skickas ut och informationen som kommer in används på olika sätt. Det kan vara båda anonyma och icke-anonyma enkäter. Vid icke-anonyma enkäter är frågorna inte av känslig karaktär. Vid anonyma enkäter är det inte spårbart vem som svarat på enkäten. OBS! Personuppgifter får inte tas in via formulären då det kan sorteras och grupperas(PUL).

E-postadresser och den interna GAFE-adressen finns med i systemet, men i övrigt inga listor eller register förekomma. Mailfunktionen används i samband med t.ex. enkäter, då loggar eleverna in i sin mail.

Åldersgräns på 13 år finns kring några funktioner men dessa används inte av elever under 13 år.

GAFE används inte för myndighetsutövning, utan enbart för pedagogik och viss pedagogisk administration. Systemet används inte när det gäller elevvårdsinsatser, här sker ingen summativ bedömning, inga betyg registreras. När arbeten eller prov görs, sker viss summering/bedömning i systemet, men slutsummering (betyg) sker i annat system (Procapita). Mer slutgiltig bedömning och utvecklingsplaner sker också primärt i annat system (Unikum/Vklass). Summan av myndighetsutövandet hanteras alltså i andra system.

Om informationen klassas med sekretess, flyttas den till annat system.

Molntjänster i skolan – vad gäller?

I verksamhetens användning av GAFE förekommer det inte någon behandling av känsliga personuppgifter. 

GAFE ska enbart användas för samarbete och kommunikation i lärsituationen, här delas material pedagoger och elever emellan, här sker formativt arbete som för elevernas lärande framåt, men eventuella åtgärdsprogram och den mer summativa bedömningen sker i Unikum för grundskola) och i Vklass gör gymnasieskolan och Komvux.

Behandling av personuppgifter

Vi har flertalet it-system i verksamheten där vi av olika anledningar behandlar personuppgifter om elever och medarbetare. Ändamål och lagstiftning (PuL – personuppgiftslagen) styr hur vi behandlar uppgifterna. Det kan t.ex. handla om klass- och grupplistor, åtgärdsprogram, dokumentation av elevarbeten och liknande. Det ska alltid finnas ett tydligt ändamål för behandlingen.

Det kan också vara så att behandlingen omfattar känsliga personuppgifter. Om verksamheten har behov av att behandla känsliga personuppgifter innebär det ökade krav på informationssäkerhet och därmed på hur it-systemet fungerar, bland annat behövs en säkrare inloggning (så kallade 2-faktorsinloggning med e-legitimation, mobilt bank-id, sms e.dyl.).

Direkta och indirekta personuppgifter

Som personuppgift räknas både direkta personuppgifter som namn och personnummer, men också indirekta uppgifter där man genom en kombination med annan information kan få fram individens identitet. Det innebär alltså att även koder, förkortninger, indirekta omnämnanden i löpande text omfattas av de här reglerna.

Icke-känsliga och känsliga personuppgifter

Vid behandling av personuppgifter skiljer man på icke-känsliga personuppgifter och känsliga eller integritetskänsliga uppgifter.

Enligt 13 § PuL räknas uppgifter som känsliga om de avslöjar:

  • Ras eller etniskt ursprung
  • Politiska åsikter
  • Religiös eller filosofisk övertygelse
  • Medlemskap i fackförening
  • Uppgifter som rör hälsa eller sexualliv.

Som integritetskänsliga räknas bland annat följande:

  • Personuppgifter som rör elevens personliga förhållanden, t.ex. uppgifter som finns i omdömen och utvärderingar om dennes kunskapsmässiga och sociala utveckling
  • Beskrivningar av hemförhållanden
  • Beskrivningar av relationer mellan eleverna
  • Uppgifter som omfattas av sekretess.

Läs mer:

Datainspektionen om Molntjänster

Datainspektionen, Safe Harbor frågor och svar

Sveriges Kommuner och Landsting – stödmaterial Molntjänster

SKL:s och Datainspektionens rekommendation gällande Safe Harbor:

Google:s frågor och svar.

Annonser