EU-dom gir personvern-hodebry for nytt datasystem

Du har kanskje hørt om at datagiganter som Google, Apple og Facebook har som ambisjon å følge brukerne «fra vugge til grav».

Når norske utdanningsinstitusjoner får på plass et nytt såkalt identitets- og tilgangssystem ligger et lignende postulat til grunn:

«Fra Samordna opptak til emeritus».

Det nye systemet forkortet IAM («identity and access management») har som mål å bedre datasikkerheten ved norske utdanningsinstitusjoner, ved at institusjonene får bedre kontroll på hvem som skal ha tilgang til systemer og ikke.

Samtidig er det mål om å leve opp til det som kalles livslang læring — at man kan vende tilbake til utdanningssystemet også senere i livet. Det skal ivaretas ved at bruker-ID-en som framtidige studenter får når de begynner å studere, skal være felles for alle universiteter og høgskoler — og ikke minst lagres slik at den følger deg enten du som student bytter studier eller studiesteder, eller går ut i arbeid for så å returnere til studiene etter flere år.

I januar i år skrev Khrono om dette IAM-systemet, som skal rulles ut for universiteter og høgskoler i hele landet.

Men i løpet av sommeren oppstod det usikkerhet rundt personvernet i løsningen.

I «rød sone»

Av en fersk risikovurdering fra Uninett, som står for anskaffelsen av det nye systemet, er flere risikomomenter plassert i «rød sone» for IAM-prosjektet. Slik ser risikomatrisen ut:

Er det så galt som det ser ut til?

Helt Texas etter ny EU-dom

Grunnen til de mange punktene i rød sone skyldes først og fremst en ny EU-dom fra i sommer. Dommen, som kalles Schrems II, berører all overføring av data som skjer mellom EU og land utenfor EU.

Det skapte trøbbel for Uninett, som har valgt det amerikanske selskapet Identity Automation, basert i Houston og Austin i Texas, som er leverandør.

Ifølge planen skulle persondataene som skal lagres i IAM-løsningen lagres på serverne til datagiganten Amazon i Stockholm. Amazon er en stor leverandør av datalagring internasjonalt.

Men med Schrems II-dommen ble det ulovlig å overføre data fra EU-land til andre land på det grunnlaget som til nå har blitt benyttet.

— Man måtte gå over til å bruke EU sine standardkontrakter for overføring til såkalt tredjeland, men i følge dommen er dette heller ikke tilstrekkelig. Man må sikre seg det samme personvernet som i EU selv om opplysningene blir behandlet i USA. Dette rammer ikke bare IAM, men alle dataoverføringer til USA. Det vi har gjort, siden det fortsatt er uklart hva dommen i praksis vil bety, er å lagre data midlertidig hos Universitetet i Bergen i Norge, fram til det kommer en løsning, sier Hildegunn Vada, avdelingsdirektør i Uninett til Khrono.

Må endre forskrifter for å lagre data om brukere

Det er først og fremst utfordringene i kjølvannet av dommen som har brakt deler av prosjektet inn i rød sone.

— Men det som er bra, er at det ser ut til at det blir en veldig liten forsinkelse. Det er kun snakk om 6-8 uker, forteller Vada.

— Hva slags persondata skal dere lagre?

— Det er først og fremst personidentifikatorer som brukernavn og digitale ID-er, men også andre personopplysninger som navn og e-post.

— Det heter at man er avhengig av juridiske vurderinger som gjøres av Unit, «mtp. lagring av UH-ID for å ivareta målet om at IAM skal understøtte livslang læring». Hva slags juridiske vurderinger må avklares?

— Poenget er at studenten skal beholde sin UH-ID fra vugge til grav. Slik at UH-ID-en kan vekkes til live når du eventuelt gjenopptar din studietilværelse senere i din karriere. Her er det vi trenger en forskriftsendring for å kunne beholde UH-ID til vedkommende trenger den neste gang, slik at den kan gjenåpnes av den samme personen når vedkommende blir student igjen. Dette er viktig for å støtte opp om livslang læring, hvor du skal kunne gå inn og ut av utdannings og jobb, svarer Vada.

IAM-prosjektet vil koste rundt 30 millioner årlig når det er i drift for fullt for alle 21 statlige høgskoler og universiteter.