Når vi skal velge digitale samarbeidsverktøy, kan det være fristende å gå for noe vi kjenner godt, som er tilgjengelig og gratis. Som Facebook, Messenger o.l.
Men er det egentlig gratis?
Høsten 2020 skrev jeg et blogginnlegg om GDPR og digitale verktøy, i forbindelse med et seminar i regi av datidens DIKU.
Konklusjonen: Det er ikke uvesentlig hva vi velger, men: Vi kan kjøre programvare på lisens på våre dataservere for sikker bruk av verktøyene.
Tidligere samme år kom det imidlertid en dom i EU-domstolen (kjent som Schrems 2).
Jeg var ikke fullt klar over hvilken betydning dette fikk for våre digitale verktøy, for:
Fra juli 2020 hadde vi etter GDPR ikke lov til å bruke noen amerikanske løsninger, deriblant Teams (som endte som min anbefaling for EURASIA-gruppa).
Når vi skriver høsten 2023 ser det hele litt lysere ut igjen.
Men før vi kommer dit:
Hvorfor er dette så vanskelig? Og viktig?
Hver gang du får en reklame-e-post fra et selskap du aldri har vært i kontakt med, er det kanskje fordi det ene verktøyet du testet ut gratis har solgt din unike e-postadresse videre. Kanskje sammen med opplysninger om hvordan du brukte «gratis»-verktøyet, og med alt annet de kan hente inn av data.
Reklameselskaper kjøper slik informasjon fra mange nettsteder, setter det sammen og lager profiler på oss. Slik at de tror de vet hva de bør prøve å selge oss.
Det finnes ingen gratis programvare.
Bruker du noe gratis, så betaler du med dine data.
Er det så farlig?
Vel, kanskje får du noen gode tips til ditt neste kjøp av gressklipper. Men disse aktørene er ikke ute etter på hjelpe deg.
De er ute etter å tjene penger på deg.
Dine opplysninger kan også selges i seg selv, som e-postadresser for spam, virus etc. Og de kan selges til andre land, les: etterretningsorganisasjoner.
Poenget er: Du gir fra deg kontrollen når du bruker gratis-versjonen.
Er alle like ille?
Helt sikkert ikke. Bruker du gratisversjonen av Kahoot selger de sannsynligvis ikke e-postadressen din til Putin.
Men er du sikker?
Har du lest alt med liten skrift?
Vet du hvor dataene dine blir av?
Google er for eksempel et gigantisk reklameselskap – er det noen som har logget seg inn noe sted med en Google-konto, uten å sjekke hvilke personopplysninger vi da sender fra oss?
Løsninger for oss
Vi kan ikke kreve at våre studenter og ansatte bruker programvare der de registrerer seg, og må godta ukontrollert deling av egne personopplysninger, for å få tilgang til læring.
Dette er GDPR.
Derfor må vi betale:
- Enten for å bruke produsentens sikre servere (skylagring)
- Eller for å kjøre programvaren på egne dataservere
- Og alltid: Vi forsikrer oss i databehandleravtaler at personopplysningene blir beskyttet, kan slettes og blir ikke sendt videre til tredjepartsleverandører uten kontroll.
Gamechanger 2020: Schrems 2
GDPR representerte ikke noe grunnleggende nytt da det kom i 2018.
Vi hadde sterke regelverk som beskyttet personopplysninger også før den tid.
Men i juli 2020 kom noe grunnleggende nytt.
I form av en dom i EU-domstolen, kjent som Schrems 2-dommen:
Terrorlover i USA gir myndighetene så inngripende muligheter til å kreve utlevert personopplysninger, at ingen verktøy tilknyttet USA er i tråd med GDPR. Det vil si at programvare utviklet i USA, eid av amerikanere, lagrer på servere i USA, lagrer på servere som ligger i Europa men er eid av amerikanske selskap (dem er det mange av), programmer der amerikanske selskaper driver support – alt bryter med GDPR.
I vår sektor førte dette til usikre tider: Hvor strenge vil Datatilsynet være om de kommer på kontroll?
Det ble stort sett stopp i innkjøp av nye verktøy som bryter med Schrems 2. Vi så forsiktig videre bruk av verktøy vi allerede har gjort oss helt avhengige av, som Office-programmene fra Microsoft og Canvas. Etter hvert kom noen nye innkjøp (for eksempel Panopto), etter lange prosesser med mye dokumentasjon om vurdering og minimering av risiko.
Gamechanger 2023? Data Privacy Framework
Så kom en ny mulig gamechanger sommeren 2023: Data Privacy Framework.
Data Privacy Framework er en avtale mellom USA og EU om regelverk som omfatter mange aktuelle amerikanske selskaper, blant dem Instructure (Canvas) og Microsoft. Personopplysninger kan nå overføres til/via disse selskapene uten at det bryter med GDPR.
Er alle bekymringer rundt amerikansk tech nå avblåst?
Det kommer sannsynligvis en Schrems 3-sak i EU-domstolen. Da gjenstår å se om det nye regelverket holder.
Enn så lenge har vi uansett et pusterom som åpner for bruk av amerikansk teknologi uten at det automatisk bryter GDPR.
Husk likevel: Sikker datalagring og databehandleravtaler må vi uansett fortsatt ha på plass!