Varför & hur - G Suite

Varför & hur - G Suite

Google Apps for Education - numera G Suite är det som vi använder i Ljusdals kommunala skolor. I G Suite sparar vi inga integritetskänsliga uppgifter, utan här handlar det enbart om samarbete och kommunikation i lärsituationen. Att skapa och dela material och arbeta formativt.

G Suite är en så kallad molntjänst, där allt arbete sker över Internet (lagring, skapa och dela dokument, skriva och samarbeta i realtid). Tanken är att skolorna i Ljusdal ska använda G Suite som verktyg då det skapar möjlighet till nya arbetssätt, samarbeten och enklare och mer effektiv kommunikation.

Men det är av yttersta vikt att tjänsten används på rätt sätt och att alla är medvetna om vad man får och inte får använda den till. Vi har gjort en informationsklassning med systemsäkerhetsanalys och risk-och sårbarhetsanalys där informationsägare tillsammans med informationssäkerhetsansvarig och kommunjurist tagit ställning till hur tjänsten får användas. Vi har också gjort ett etiskt ställningstagande samt en kompletterande bedömning av avtalen i samband med Safe Harbor-domen i oktober 2015.

Utdrag ut vårt etiska ställningstagande

Angående Google finns en bakgrundshistoria kring hur de hanterar användarnas information, hur den används för att utveckla produkterna, för att skapa riktad reklam, för att spåra det användarna gör, för att på olika sätt tjäna pengar. En mindre smickrande bild av företaget, en bild som kan upplevas som ett hot mot vår personliga integritet och som behöver diskuteras både inom skolan och privat. Hur ställer vi oss till det faktum att ”allt vi gör” på nätet registreras och spåras? Vilka är fördelarna och nackdelarna? Hur ska vi agera på nätet för att dra nytta av fördelarna, men undvika nackdelarna?

I de här diskussionerna är det viktigt att skilja på privata Google-konton och de vi hanterar i skolan genom G Suite. Skolkontona är personliga, men inte privata, och här gäller särskilda avtal som reglerar Googles rätt till data, bland annat s.k. Model Contract Clauses. Här sker inte samma sorts registrering och spårning av data som för de konton man skapar privat och här sker ingen spårning som har direkt koppling till en specifik användare.

Det etiska ställningstagandet vi gör i Ljusdal är därför att vi inom skolan måste vara medvetna om hur leverantörer som Google, Microsoft m.fl. tjänar sitt levebröd och utvecklar sina tjänster för att på så vis kunna använda dem på ett klokt och ändamålsenligt sätt. I utvärderingen av G Suite ser vi att de pedagogiska vinsterna är mycket stora och har därför gjort övervägandet att fördelarna överväger nackdelarna och att de avtal som finns specifikt för G Suite ger den säkerhet verksamheten har som krav när det gäller riktighet, tillgänglighet, konfidentialitet och spårbarhet, vilket är de fyra områden man går igenom när man gör en systemsäkerhetsanalys. Men igen, tjänsterna måste användas på rätt sätt och rutiner för hur det följs upp måste finnas på varje enhet.

Utdrag ut vår informations­säkerhets­klassning

Användning av G Suite i Ljusdals skolor

Ljusdals skolor använder flera olika IT-system med olika syften – några system är till för myndighetsutövning och pedagogisk administration och några för pedagogik. G Suite används för sistnämnda och ibland även för pedagogisk administration, men aldrig för myndighetsutövning.

G Suite är ett processverktyg där informationen i systemet används som stöd i lärandet. Här finns exempelvis prov och andra inlämningsarbeten. Inlämningsarbeten innehåller inte integritetskänslig information. Någon (alla är planen) använder sig av Google Classroom, där veckoplaneringar, läxor, delade dokument etc. finns.

Här sker ett internt informationsutbyte och kommunikation mellan personalen, t.ex. via delade dokument med information rörande elevernas utveckling men inte med någon integritetskänslig information. Ingen elevinformation är sökbar och endast berörd personal har läsrättigheter.

Enkäter (formulär) skickas ut och informationen som kommer in används på olika sätt. Det kan vara både anonyma och icke-anonyma enkäter. Vid icke-anonyma enkäter är frågorna inte av känslig karaktär. Vid anonyma enkäter är det inte spårbart vem som svarat på enkäten.

E-postadresser finns med i systemet, men i övrigt inga listor eller register. Mailfunktionen används i samband med t.ex. enkäter, då loggar eleverna in i sin mail.

Åldersgräns på 13 år finns kring några funktioner men dessa används inte av elever under 13 år.

G Suite används inte för myndighetsutövning, utan enbart för pedagogik och viss pedagogisk administration. Systemet används inte när det gäller elevvårdsinsatser, här sker ingen summativ bedömning, inga betyg registreras. När arbeten eller prov görs, sker viss summering/bedömning i systemet, men slutsummering (betyg) sker i annat system (IST). Om informationen klassas med sekretess, flyttas den till annat system.

Molntjänster i skolan – vad gäller?

I verksamhetens användning av G Suite förekommer det inte någon behandling av känsliga personuppgifter.

G Suite ska enbart användas för samarbete och kommunikation i lärsituationen, här delas material pedagoger och elever emellan, här sker formativt arbete som för elevernas lärande framåt, men den mer summativa bedömningen sker i IST.

Behandling av personuppgifter

Vi har flertalet it-system i verksamheten där vi av olika anledningar behandlar personuppgifter om elever och medarbetare. Dataskyddsförordningen (GDPR) styr hur vi behandlar uppgifterna. Det kan t.ex. handla om klass- och grupplistor, åtgärdsprogram, dokumentation av elevarbeten och liknande. Det ska alltid finnas ett tydligt ändamål för behandlingen.

Det kan också vara så att behandlingen omfattar känsliga personuppgifter. Om verksamheten har behov av att behandla känsliga personuppgifter innebär det ökade krav på informationssäkerhet och därmed på hur it-systemet fungerar, bland annat behövs en säkrare inloggning (så kallade 2-faktorsinloggning med e-legitimation, mobilt bank-id, sms e.dyl.).

Direkta och indirekta personuppgifter

Som personuppgift räknas både direkta personuppgifter som namn och personnummer, men också indirekta uppgifter där man genom en kombination med annan information kan få fram individens identitet. Det innebär alltså att även koder, förkortningar, indirekta omnämnanden i löpande text omfattas av de här reglerna.

Icke-känsliga och känsliga personuppgifter

Vid behandling av personuppgifter skiljer man på icke-känsliga personuppgifter och känsliga eller integritetskänsliga uppgifter.

Enligt Dataskyddsförordningen räknas uppgifter som känsliga om de avslöjar:

  • ras* eller etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i en fackförening
  • hälsa
  • en persons sexualliv eller sexuella läggning
  • genetiska uppgifter
  • biometriska uppgifter som entydigt identifierar en person.

* I svenska lagar använder vi inte längre ordet ras. I dataskyddsförordningen används ordet, men det står också att det inte innebär att EU godtar teorier om att det skulle finnas skilda människoraser.

Som integritetskänsliga räknas bland annat följande:

  • Personuppgifter som rör elevens personliga förhållanden, t.ex. uppgifter som finns i omdömen och utvärderingar om dennes kunskapsmässiga och sociala utveckling
  • Beskrivningar av hemförhållanden
  • Beskrivningar av relationer mellan eleverna
  • Uppgifter som omfattas av sekretess.

Läs mer: