Införande av Google Apps for Education

TJÄNSTESKRIVELSE Handläggare Datum Ärendebeteckning Linus Hellman 2016-02-08 SKDN 2016/0013 52904 Södermöre kommundelsnämnd Införande av Google Apps for Education Förslag till beslut Södermöre kommundelsnämnd fattar inget beslut med anledning av informationen Bakgrund Skolorna i Södermöre kommundel och barn- och ungdomsförvaltningen har behov av att ta nästa steg i digitaliseringen. I dag saknas det i Kalmar kommuns grundskolor i hög grad digitala samarbetsytor. Vidare så saknar eleverna i våra skolor en skol-epost, sedan s-posten slutade användas. Delar av kommunens IKT-arbetsgrupp har sedan en tid tillbaka tittat på olika molntjänster, och i den processen kommit fram till att förorda Google Apps for Education. Med ett avtal om Google Apps for Education får vi tillgång till en helhetslösning för digitala tjänster kring utbildning, i form av samarbetsytor, ordbehandling, mailadress och återkoppling. Införandet av Google Apps for Education kräver i det här steget inga ytterligare satsningar eller förändringar. Införandet är i stort sett inte förenat med några kostnader, och den utrustning och infrastruktur som finns i dag är kompatibel med tjänsten. Linus Hellman Utvecklingsledare Mats Linde Förvaltningschef Bilagor Google Apps for Education - Risk- och sårbarhetsanalys Södermöre kommundelsförvaltning

Handläggare Datum Linus Hellman 2016-01-28 Närvarande Vasanätet Funkabonätet Barkestorpsnätet Falkenbergsnätet Kalmarsundsnätet Lindsdalsnätet Södermörenätet Serviceförvaltningen IT Lärarfacken Liz Långberg Ann Ståhlberg, Marie Horn, Anna Snöberg Camilla Widehall, Martin Westbrandt Daniel Falk Linnersjö Daniel Sylén Susanne Rosengren, Thomas Olsson, Cecilia Svensson, Jonas Lundqvist Peter Andersson, Linus Hellman Magnus Garp Christer Nilsfors IKT-arbetsgrupp om Google Apps for Education I Åkes frånvaro drog övriga i molntjänstarbetsgruppen Thomas, Daniel och Linus den riskanalys som gjorts och gruppens slutsatser. Riskanalys Riskerna med Google Apps for Education bedöms som begränsade och hanterbara. IKTarbetsgruppen delar den bedömningen. För detaljer, se bifogad riskanalys. Domännamn Det finns en del tekniska aspekter att ta hänsyn till. Magnus Garp beskrev dessa. En subdomän till kalmar.se skulle innebära en hel del problem. En fristående domän vore enklare, och gruppens åsikt är att vi ska välja det alternativet, och då specifikt domänen skolakalmar.se. Bedömningen är att de fulla aspekterna av domänfrågan inte behöver finnas med i det som tas i BOUN och SKDN, utan där bör det räcka att ha med en formulering om att förvaltningarna får i uppdrag att enas om lämplig domän och teknik. Utbildning och genomförande IKT-arbetsgruppens åsikt är, - Att det är viktigt att det utses en övergripande systemförvaltare. - Att det kommer att behövas lokala ansvariga ute på enheterna, som med Edwise. - Att IKT-arbetsgruppens medlemmar skulle kunna fungera som informationsambassadörer. - Att det inte behövs pilotskolor/-klasser, utan att det skulle äta tid. Enda risken är att alla inte drar igång samtidigt med att använda det de får tillgång till. De som vill måste få komma igång så snabbt som möjligt. - Att våra PUL-blanketter kommer att behöva uppdateras, anpassas till GAFE. Gärna också att det centralt tas fram versioner på olika språk. - Att vi bör ta hjälp av gymnasieförbundet i införande och utbildning. - Att kommunens IKT-pedagoger och gymnasieförbundet träffas och tar fram en införandeplan. - Att GAFE-frågan bör lyftas på ett chefsmöte så snart som möjligt. - Att det är viktigt att ta hänsyn till lärarnas arbetsbörda, särskilt i införandet där mycket tid i närtid redan är intecknad. Kostnader - GAFE kostar inget, i direkt mening. Indirekt kan det dock genereras kostnader, för fiber, trådlöst, utbildning, uppbyggnad, och så vidare. Södermöre kommundelsförvaltning Adress Harbyvägen 3, 388 32 LJUNGBYHOLM Tel 0480-45 00 00 v linus.hellman@kalmar.se

Handläggare Datum Thomas Olsson 2016-01-27 Ver. 1.0 0480-45 23 41 PuL-bedömning och riskanalys av Google apps for Education (GAFE) för användning inom Barn och ungdomsnämnden samt Södermöre kommundelsnämnd i Kalmar kommun Förvaltningskontoret Barn- och ungdomsförvaltningen Adress Besök Skeppsbrogatan 55, 5 tr Tel 0480-45 00 00 v thomas.olsson@kalmar.se

2 (16) 1. av användningen GAFE (Google Apps for Education) kommer att användas inom Barn och ungdomsförvaltningen och Södermöre kommundel i Kalmar kommun Informationsspridning av allmän karaktär mellan elever, pedagoger och övrig personal. Delning och samarbete kring pedagogiskt material och arbetsmaterial. Lagring av dokument och filer med möjlighet till samarbete och delning mellan elever, pedagoger och övrig personal. Tillgång till verktygsprogram för olika behov i skolarbetet, eempelvis: E-post för kommunikation och information Kalender för planering, struktur och informationsspridning Drive för att spara, dela och samarbeta kring dokument och filer samt tillgång till olika kontors- och verktygsprogram. Classroom som en pedagogisk samarbetsyta mellan lärare och elev Elever och personal kommer att få tillgång till ett personligt e-postkonto via GAFE. Personal har även ett e-postkonto i kommunens ordinarie e-postsystem, vilket är det officiella e-postkontot och ska användas för etern kommunikation. Förutom ovanstående beskrivning av elevers och lärares e-post och informationslagring kommer skolverksamheten även att ha tillgång till det skoladministrativa systemet ProCapita. Grundinformation om elever och medarbetare hämtas från skoladministrativt system för att skapa elev- och personalkonton i Google Apps for Education. För dokumentation av Individuella utvecklingsplaner (IUP) används lärplattformen edwise. 2. Behandling av personuppgifter 2.1 Ändamål med behandlingen Personuppgifterna kommer endast att behandlas för följande ändamål: GAFE är ett pedagogiskt arbetsverktyg som ska användas för digitalt samarbete mellan elever, pedagoger och övrig personal. 2.2 Typ av uppgifter Användaren får ett personligt konto där uppgifter om förnamn, efternamn, klass och skola finns med. Användaren ingår även i olika grupper baserat på, i huvudsak, skola, klass och undervisningsgrupp.

3 (16) Inga andra känsliga uppgifter som personnummer, kön, religiös tillhörighet eller etniskt ursprung registreras. Alla användare får en personlig e-postadress som går att använda eternt. Strukturerad dokumentation om eleverna, fördjupad information om elevers prestationer och lärares omdömen kommer inte att lagras i tjänsten. Inga känsliga personuppgifter kommer att behandlas. Detta säkerställs genom instruktioner och utbildning av användarna. 2.3 Tillåten behandling Personuppgifter behandlas av skolverksamheten för fullgörande av sina arbetsuppgifter, bland annat för genomförande av pedagogiskt arbete, kommunikation och lagring av pedagogiskt material. Innehållet är av okänslig karaktär. Enligt 10 PuL, får detta ske utan individens eller vårdnadshavares samtycke. 2.4 Information till registrerade Information om den planerade behandlingen kommer att lämnas till de registrerade medarbetarna och eleverna. Detta kommer att genomföras genom att ett informationsblad delas ut till varje elev och dess vårdnadshavare. Information till medarbetare delas ut via e-post. Information kommer även att finnas på intranät, webbplats och andra kanaler. Information om vilka uppgifter som lagras i GAFE finns även med i det dokument elever och personal får när de får tillgång till sina kontouppgifter. 2.5 Personsuppgiftbiträde Vid användning av GAFE kommer leverantören Google att fungera som personuppgiftsbiträde åt Kalmar kommuns båda skolnämnder (barn och ungdomsnämnden och Södermöre kommundelsnämnd). Mellan parterna finns ett personuppgiftsbiträdesavtal upprättat, som en del av standardavtalet för tjänsten. Genom avtalet kommer Google att ges mandat att anlita underleverantörer för att genomföra personuppgiftsbehandlingen. För underleverantörer gäller samma regler som för Google. Det är Googles ansvar att dessa regler efterföljs, vilket framgår av personuppgiftsbiträdesavtalet. 2.6 Överföra personuppgifter till tredje land Leverantören kan komma att överföra personuppgifter till tredje land (land som inte är medlemsland i EU). Vid personuppgiftsbearbetning och datalagring utanför EU krävs att tjänsteleverantören har tecknat särskilda avtal för reglering av bearbetningen. Ett särskilt tilläggsavtal skall finnas som säkerställer att sådan bearbetning sker i enlighet med gällande lagstiftning i Sverige och EU.

4 (16) 3. Avtalsvillkor för tjänsten 3.1 Standardavtal Vid användande av GAFE finns följande avtal som reglerar ansvarsfrågan och parternas åtagande: a) Google Apps for Education Enterprise Agreement b) Data Processing Amendment to Google Apps Enterprise Agreement version 1.3 (Personuppgiftsbiträdesavtal) c) Model Contract Clause (reglerar överföring av data till tredje land) 3.2 Några viktiga punkter a) Google kommer att tillämpa svensk lagstiftning när det gäller personuppgiftsbehandlingen. b) Google kommer att vidta lämpliga säkerhetsåtgärder enligt 31 PuL och i övrigt vara följsamma till PuL vilket har verifierats genom en separat juridisk analys. c) Google kommer att skyndsamt besvara personuppgiftsansvarige eventuella frågor om personuppgiftsbehandlingen. d) Google kommer att bistå med information och utredningsunderlag vid misstanke om obehörig åtkomst till personuppgifterna. e) Google har anslutit sig till Safe Harbor-principerna. f) De områden som beskrivs i avsnitten 3.3, 3.4 och 3.5 bedöms uppfyllas genom avtalet. 3.3 Ändamål med behandlingen Varken leverantören eller de underleverantörer som anlitas får behandla personuppgifterna för några andra ändamål än vad som krävs för att leverera GAFE eller vad som beskrivs av Kalmar kommun. Google får inte behandla personuppgifterna för egen eller annans del. Google får inte befatta sig med personuppgifterna under några andra omständigheter än som här anges. 3.4 Underleverantörer och kontroll Personuppgiftsbiträdet (Google) kommer att anlita underleverantörer vilka kommer att ta del av personuppgifter. Kalmar kommun kan vid varje givet tillfälle underrätta sig om vilka underleverantörer som för tillfället deltar i behandlingen av personuppgifterna genom att begära att Google skickar en aktuell lista. Google ansvarar för sina underleverantörer, som har samma skyldighet som Google att följa de instruktioner som lämnas av Kalmar kommun avseende behandling av personuppgifter.

3.5 Uppsägning av tjänsten Vid en uppsägning av tjänsten kommer data och metadata behöva flyttas till annan ikt-lösning för att viktig information ska kunna bevaras. Personuppgifter eller annan information kommer inte att finnas kvar hos Google eller dess underleverantörer. Radering av uppgifter kommer att genomföras i enlighet med beskrivningen i de styrande avtalen. 5 (16)

6 (16) 4. Risk- och sårbarhetsanalys Risk 1 Elevers arbetsmaterial i skolan går förlorad pga. systemfel i GAFE. Alla elevers arbete är förlorade för alltid. Sker i ett etremt känsligt läge t.e. slutet på ett läsår. Omarbete, förseningar, merarbete m m. Kan leda till att användare tappar förtroende för GAFE som verktyg. Kommentar: Dokumentation av elevs lärande och utveckling samt betygsättning sker i annat system, antingen på kommunens egna servrar eller i skolans administrativa system. Det ska finnas styrande dokument, kontrollfunktioner, instruktioner och rutinbeskrivningar samt utbildningar för att säkerställa att denna typ av information inte hanteras inom GAFE. Risk 2 Lärares arbetsmaterial går förlorad pga. systemfel i GAFE. Alla elevers arbete är förlorade för alltid. Sker i ett etremt känsligt läge t.e. slutet på ett läsår. Omarbete, förseningar, merarbete m m. Kan leda till att användare tappar förtroende för GAFE som verktyg. Kommentar: Betydelsefull data kan lagras både i molnet och lokalt på användarens dator för att minimera risken för dataförlust.

7 (16) Risk 3 Obehörig får del av personuppgifter och arbetsmaterial genom felaktig hantering av tjänsten. Oönskad spridning av informationen. Störningar i det pedagogiska arbetet. Osäkerhet när det gäller användares aktivitet om det finns oklarhet i identifieringen. Kan leda till att användare tappar förtroende för tjänsten. Kommentar: Vid delning utanför tjänsten varnas användaren och görs medveten om att information kommer att delas utanför Kalmar kommuns domän. Standarinställning för delning är satt till inom Kalmar kommuns domän. Uppdatering av namn, klass och skolenhet samt grupptillhörigheter sker automatiskt i realtid, vilket gör att delning med personer och grupper inom tjänsten kommer att hålla hög korrekthet. Det ska finnas styrande dokument, kontrollfunktioner, instruktioner och rutinbeskrivningar samt utbildningar för att säkerställa en korrekt hantering samt att känslig information inte hanteras inom tjänsten. Risk 4 Leverantören visar sig inte kunna etablera eller upprätthålla tillräcklig informationssäkerhet. Förlust av anseende för kommunen. Krav i lag och/eller förordning kan inte uppfyllas. Kan framtvinga hävning av avtal och/eller byte av leverantör. Risk för informationsförlust. Kommentar: Avtalet sägs upp och det upprättas en plan för hur data flyttas från molntjänsten till annat system för att snabbt kunna migreras om så skulle bli fallet.

8 (16) Risk 5 Leverantören går i konkurs, köps upp av intressent som inte respekterar ingånget avtal eller att tjänsten avvecklas. Kan framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust och/eller ekonomisk förlust för kommunen. Nedlagt arbete går till spillo, förseningar i produktionen, medarbetar tappar förtroende för sin arbetsmiljö. Kommentar: Avtalet sägs upp och det upprättas en plan för hur data flyttas från molntjänsten till annat system för att snabbt kunna migreras om så skulle bli fallet. Risk 6 Personal hos leverantör läser elevernas e-post (obehörig access). Obehörig får del av information av privat karaktär. Kan leda till att användare tappar förtroende för tjänsten. Kommentar: Leverantören garanterar i avtal att personuppgifter endast kommer att behandlas för de ändamål som leverantören anlitats för. I händelse ta sägs avtalet upp och ny leverantör anlitas.

9 (16) Risk 7 Leverantören förmår inte upprätthålla tillgängligheten av tjänsten. Störningar i lärandet, användarna tappar förtroende för sin arbetsmiljö. Ekonomiska konsekvenser vid förlorad arbetstid. Kommentar: Nivå på tillgänglighet ska regleras i avtalet. En rutin för att kontrollera efterlevnad skapas. Dessutom upprättas en plan för hur data flyttas från molntjänsten till annat system för att snabbt kunna migreras om så skulle bli fallet. (risk 4). Enligt avtalsteter har Google flera olika geografiskt åtskilda datahallar med replikering. Risk 8 Information och personuppgifter raderas inte efter att elever har slutat i verksamheten. Tjänsterna kan fortsätta användas trots att eleven inte tillhör skolan. Intern information kan spridas till utomstående. Personuppgifter kan bevaras längre än vad som är motiverat från verksamhetens behov. Kommentar: Avslutande av konton styrs av kommunen. Leverantören garanterar i avtal att personuppgifter raderas i enlighet med instruktioner från kommunen. Kontrollfunktion som säkerställer att detta görs kommer att införas.

10 (16) Risk 9 Virus eller annan fientlig kod kan via tjänsten hota kommunens övriga IT-miljö. Störningar i IT-leveransen. Ekonomiska konsekvenser. Kommentar: Kommunen själv och leverantören har väl etablerat skydd mot virus och fientlig kod. Rutiner för uppdatering av antivirusprogam och uppdatering av system verifieras. Risk 10 Leverantören behandlar personuppgifterna för egna ändamål. Kommunen kan anses bryta mot gällande lag. Kan framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust och/eller ekonomisk förlust för kommunen. Användares brist på förtroende och negativ påverkan på kommunens varumärke. Kommentar: Leverantören garanterar i avtal att personuppgifter endast kommer att behandlas för de ändamål som leverantören anlitats för. Kontrollfunktioner som säkerställer leverantörens efterlevnad kommer att införas.

11 (16) Risk 11 Leverantören förändrar innehållet i tjänsten (funktioner adderas eller förändras). Kommunen behöver utbilda/informera användarna om den nya eller förändrade tjänsten. X Kommentar: Risken möts genom att Point of Contact/Systemägaren gör en konsekvensanalys vid förändring. Rutin införs där IT-avdelningen får i uppgift att säkerställa att ev. förändringar inte påverkar användningen av tjänsten. Risk 12 Leverantören förändrar innehållet i tjänsten (funktioner tas bort som är vitala). Avtalet kan behöva förändras för att stämma med ny funktionalitet. Personuppgiftsbehandlingen kan förändras. Kan framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust. Kommentar: Risken möts genom att Point of Contact/Systemägaren gör en konsekvensanalys vid förändring.

12 (16) Risk 13 Data och metadata kan inte överföras till annan IT-lösning vid avslutande av tjänsten. Information som man vill behålla i verksamheten förloras och man måste börja om från noll varje gång man byter leverantör. Risk för inlåsning till befintlig leverantör. Kommentar: GAFE tillhandahåller verktyg för att flytta data från deras molntjänst. Data kan även flyttas till kommunens lokala IT-miljö via en hybridkoppling Risk 14 Lagar och regler förändras som gör att tjänsten inte får användas. Kommunen måste hitta en ny leverantör av likvärdiga tjänster, implementera denna och migrera data. Detta innebär även en kostnad och en arbetsinsats från kommunen. Kommentar: Nämndens personuppgiftsombud får i uppdrag att bevaka förändringar i PuL och andra lagar som kan hindra användning av tjänsten. En plan för hur data flyttas från molntjänsten till annat system tas fram för att snabbt kunna migrera om så skulle bli fallet i framtiden. (risk 4)

13 (16) Risk 15 Avbrott i tjänsten på grund av lokala driftstopp. Användarna riskerar att förlora arbetstid och kan få ett minskat förtroende för kommunens IT. Kommentar: Om kommunens internetförbindelse inte fungerar kommer molntjänsten inte att vara tillgänglig. Lokalt driftstopp i kommunens ADFS skulle göra att användare inte kan logga in till tjänsten. Redundans i den lokala IT-miljön minskar risken för att detta inträffar. Risk 16 Leverantör till kommunen följer inte PuL vilket påverkar användningen av GAFE. Kommunen tvingas byta till en annan leverantör som följer PuL. Kommentar: Avtalet sägs upp och det upprättas en plan för hur data flyttas från molntjänsten till annat system för att snabbt kunna migreras om så skulle bli fallet.

14 (16) Risk 17 Användaren lagrar otillåten data i GAFE (användaren hanterar information på ett felaktigt sätt). Kommunen riskerar att, vid en granskning, dömas för att inte PuL efterföljts i kommunen. Kommentar: Rutin och instruktioner till användarna vad som får lagras respektive inte får lagras tas fram. Risk 18 Användarna utnyttjar inte de möjligheter som GAFE erbjuder utan använder istället, på eget bevåg, andra system som inte är godkända av kommunen. Kommunen riskerar vid en granskning att dömas för att inte PuL efterföljts i kommunen. Kommentar: En plan för hur utbildning ska genomföras och hur lansering av tjänsten ska genomföras tas fram.

15 (16) Slutsats riskanalys risk Riskbedömning Åtgärd Prioritet 1. Elevers arbetsmaterial i skolan går förlorad pga. systemfel i GAFE. K: Krav på leverantören, att det finns backup av tjänsten, vilket säkerställs via avtalen. Kontroll av att det går att återställa material. LÅG 2. Lärares arbetsmaterial går förlorad pga. Systemfel i GAFE. K: Betydelsefull data lagras både i molnet och lokalt på användarens dator för att minimera risken för dataförlust. LÅG 3. Obehörig får del av personuppgifter och arbetsmaterial genom felaktig hantering av tjänsten K: Det ska finnas styrande dokument, kontrollfunktioner, instruktioner och rutinbeskrivningar samt utbildningar för att säkerställa korrekt hantering. Känslig/sekretessbelagd information hanteras inte i GAFE. LÅG 4. Leverantören visar sig inte kunna etablera eller upprätthålla tillräcklig informationssäkerhet. K: Leverantören ska etablera och upprätthålla en informationssäkerhet som kan kontrolleras och som fortlöpande prövas av kommunen. LÅG 5. Leverantören går i konkurs, köps upp av intressent som inte respekterar ingånget avtal eller att tjänsten avvecklas. K: Ytterligare granskning av avtalet ska utföras för att säkra den legala aspekten när den här risken aktualiseras. På detta görs sedan bedömning av ev. tillkommande åtgärder. LÅG 6. Personal hos leverantör läser elevernas e-post (obehörig access). K: Leverantören garanterar i avtal att personuppgifter endast kommer att behandlas för de ändamål som leverantören anlitats för. I händelse av detta sägs avtalet upp och ny leverantör anlitas. 7. Leverantören förmår inte upprätthålla tillgängligheten av tjänsten. K: Nivån på tillgänglighet skall regleras i avtal. Nivån ska vara konkret och mätbar. En intern rutin för att kontrollera tjänstens tillgänglighet. 8. Information och personuppgifter raderas inte efter att elever har slutat i verksamheten. K: 9. Virus eller annan fientlig kod kan via tjänsten hota kommunens övriga ITmiljö. K: Avslutande av konton styrs från kommunen. Leverantören garanterar att data raderas i enlighet med instruktioner från kommunen. Kontrollfunktioner som säkerställer leverantörens efterlevnad kommer att införas. Kommunen och leverantören har väl etablerade skydd mot virus och fientlig kod. GAFE kommer inte öka risken för spridning jämfört med övrig miljö.

16 (16) 10. Leverantören behandlar personuppgifterna för egna ändamål. K: Leverantören garanterar i avtal att personuppgifter endast kommer att behandlas för de ändamål som leverantören har anlitats för. Kontrollfunktioner som säkerställer leverantörens efterlevnad kommer att införas. 11. Leverantören förändrar innehållet i tjänsten (funktioner adderas eller förändras). S: Regelbundet K: Leverantören informerar löpande om förändringar. Kommunen inför rutiner för att granska förändringarna och ta ställning till konsekvens. Informationen till användare behöver ses över. LÅG 12. Leverantören förändrar innehållet i tjänsten (funktioner tas bort som är vitala). K: Leverantören informerar löpande om förändringar. Kommunen inför rutiner för att granska förändringarna och ta ställning till konsekvens. Informationen till användare behöver ses över 13. Data och metadata kan inte överföras till annan IT-lösning vid avslutande av tjänsten. S: Sällan K: Dokumentation för enskild och för systemet som helhet tas fram för att kunna hantera överföring av data. 14. Lagar och regler förändras som gör att tjänsten inte får användas. S: Sällan K: En plan för hur data flyttas från molntjänsten till annat system tas fram för att snabbt kunna migrera om så skulle bli fallet i framtiden. (risk 4) 15. Avbrott i tjänsten på grund av lokala driftstopp. S: Regelbundet K: Reservkapacitet och rutiner måste finnas i vår kommunala IT-miljö för att minska risken att detta inträffar. 16. Leverantör till kommunen följer inte PuL vilket påverkar användningen av GAFE. K: Avtalet sägs upp och det upprättas en plan för hur data flyttas från molntjänsten till annat system för att snabbt kunna migreras om så skulle bli fallet. 17. Användaren lagrar otillåten data i GAFE (användaren hanterar information på ett felaktigt sätt). S: Sällan K: Rutin och instruktioner till användarna vad som får lagras respektive inte får lagras tas fram. HÖG 18. Användarna utnyttjar inte de möjligheter som GAFE erbjuder utan använder istället, på eget bevåg, andra system som inte är godkända av kommunen. K: En plan för hur utbildning ska genomföras och hur lansering av tjänsten ska genomföras tas fram.