Avtalsdjungeln kring molntjänster

posted in: övrigt | 1

Idag kom Datainspektionens beslut utifrån den granskning de genomfört gällande grundskolorna i Malmö och deras avtal med Google apps for education (GAFE). Trots gediget förarbete från Malmös sida får avtalet underkänt på en punkt och det gäller biträdesavtalet och instruktionerna om hur Google får behandla kundens data. Spontant känns det som att svensk skola dog lite.
Biträdesavtalet är Googles standardavtal och kan läsas här (länk).

Det som DI underkänner är att nedanstående punkter gällande databehandling är för otydliga och lämnar tolkningsmöjligheter. Framför allt punkt 5.2c

5.2 Scope of Processing. Customer instructs Google to process Customer Data for the following purposes: 

(a) to comply with Instructions, 
(b) to provide the Services (as selected by the Customer via the Admin 
Console); 
(c) to provide product features to facilitate Customer’s use of Services and tools for the Customer to create content; 
(d) to operate, maintain and support the infrastructure used to provide the Services; and 
(e) to respond to customer support requests. Google will only process Customer Data in accordance with this Agreement and will not process Customer Data for any other purpose.

Om ovanstående är otydligt eller inte kan man diskutera och det går inte att dra några slutsatser genom att bara titta på punkterna utan hela underlaget måste läsas samt avtalen.

Jag drar mig till minnes att Ale kommun fick underkänt i en utredning kring Office365 men att då gällde det andra saker än ju biträdesavtalet. Det innebär att deras biträdesavtal med Microsoft blev godkänt av DI. Beslutet kan läsas här (länk).
Vad skiljer deras biträdesavtal jämfört med Googles? Jag letade rätt på databehandlingsbiten och i Office365s standardavtal står det så här i avsnitt 2b(i):

Customer Data will be used only to provide Customer the Office 365 Services. This
may include troubleshooting aimed at preventing, detecting and repairing problems
affecting the operation of the Office 365 Services and the improvement of features that
involve the detection of, and protection against, emerging and evolving threats to the
user (such as malware or spam).

Känns första mening egentligen tydligare än i Googles fall ?

I fallet Ale kommun finns även ett tillägg till biträdesavtalet som påtalar var biträdet INTE får göra. Kan tyckas lite märkligt så biträdesavtalet redan skriver vad biträder FÅR göra och alltså inte får göra något annat. Tillägget är kort och lyder:

The Office 365 Services shall not capture, maintain, scan, index, share or use
Customer Data, or otherwise use any data-mining technology, for any activity
not authorized under the Agreement. Office 365 Services shall not use
Customer Data for any advertising or other commercial purpose of Microsoft
or any third party. Office 365 will be logically separate from Microsoft’s
consumer online services.

 

Detta är i princip exakt vad Google säger att de INTE gör i deras standardavtal. Det är skillnad på GAFE och ett vanligt privatkonto hos google för där vet vi ju att de tex scannar innehåll för att anpassa annonser etc. Detta sker alltså inte i GAFE.

Dessa båda ärenden har alltså fått underkänt av DI men på olika punkter och deras använningssyfte är likvärdiga. Då är det ju bara att synka avtalen och komplettera med det som saknas från en parten till den andra? Problemet är snarare att avtalstexterna INTE formuleras av kommunen utan av molntjänstleverantören, dvs Google eller Microsoft. De är olika bra på att formulera sig tydligen. Vad Malmö skulle kunna göra är att kopiera det som står i Ales biträdesavtal inkl tillägget och få Google att formulera ett liknande.

Klappat och klart eller ?

Hur kommer det sig att kommuner som bemödar sig att fixa avtal får underkänt medan de mängder av skolor som kör molntjänster utan avtal bara tuffar vidare?

Vi behöver kunna använda molntjänser MED korrekta avtal NU!
Lös problemen!

Leave a Reply