Jesper Lund Stocholm bloghoved

Åbne skoledata

Jeg har en ven. Han har som mange andre skolesøgende børn. Som de fleste af sådan nogle forældre, bruger han SkoleIntra.

Det var han ærligt talt blevet en smule træt af, så han satte sig til at bruge nogle aftentimer på at lave en mobil-app til SkoleIntra. Han installerede iOS-app'en og hittede ud af, hvordan SkoleIntras API skulle kaldes, og så gik han ellers i gang.

Jeg fik lov til at prøve preview af denne app, og selvom den ikke implementerede hele forældre-brugerfladen, så var det en klar forbedring i forhold til, hvad jeg ellers har været vant til.

Der var selvfølgelig noget snak omkring, at det kun var et spørgsmål om tid, for itslearning (firmaet bag Skole/Forældre-intra) satte en stopper for det, men min ven var optimist og kløede på og fik den udgivet i app-butikken.

Jeg har KUN hørt om positive tilkendegivelser efterfølgende - de fleste var ret glade for det arbejde, han havde lagt i den.

Men ...

... for der er selvfølgelig et "men". Det endte jo ikke værre eller bedre end at itslearning (eller, dets advokater) skrev til ham og bad ham om at trække app'en tilbage.

Jeg kender faktisk ikke nogen forældre med børn i folkeskolen, der ikke bruger Skole/ForældreIntra. Så i virkeligheden har itslearning et defacto-monopol på "drifts-data" omkring vores børn i folkeskolen. I princippet er dette jo en naturlig - og positiv - konsekvens af et kapitalistisk samfund - itslearning har været på det rigtige tidspunkt med det "rigtige" produkt og har (heldigvis, for dem) fået en markant, dominant position på markedet for skole-intranets.

Men set fra et samfundsmæssigt synspunkt er monopoler sjældent nyttige. Enten resulterer disse i "fattigere" produkter eller i højere priser.

Set fra et forældresynspunkt holder itslearning ForældreIntra i et jerngrab. De har lavet web-frontend til den, og de har lavet apps til Android og iOS. Så hvis jeg vil have adgang til data om mine børn, så er det disse tre muligheder jeg har. Det er i øvrigt nøjagtig samme problematik med "Infoba", som bruges af daginstitutionerne i min kommune. Hvis jeg vil have adgang til data om mine børn, så er jeg tvunget til at bruge de grænseflader som firmaet bag Infoba har lavet til mig.

Der kan slet ingen tvivl være om, at både for Infoba og ForældreIntra, så betyder "monopolet" fattigere produkter. Jeg sad selv i en lokalbestyrelse i daginstitutionen, da Infoba blev lanceret, og jeg kan huske, at jeg på et evalueringsmøde sagde noget i retning af:

"Det er helt utroligt, at man vil være bekendt at tage penge for sådan noget lort".

Bevares - der er sket noget siden dengang - men jeg står stadig ved min kommentar.

Åbne data

I andre dele af vores samfund taler man om "åbne data". Man taler om, hvilken vækst det kan give at give data fri - og i nogle tilfælde vælger det offentlige sågar at købe data for at frigive dem, så alle kan bruge dem.

Men - med fare for at ramme en hysterisk tone - åbenbart ikke på området for den vigtigste ressource i vores samfund - vores børn.

Jeg har det helt fint med, at private firmaer udvikler løsninger, som behandler data omkring mine børn. Mit ærinde er ikke at foreslå al skole/daginstitutions-IT trukket tilbage til det offentlige. Men jeg har det dælme svært ved at acceptere, at jeg ikke kan tilgå data om mine børn på en måde, som jeg synes er den bedste.

  • Hvorfor er det ikke muligt for mig at tilgå et API for data om mine børn i ForældreIntra?
  • Hvorfor skal jeg acceptere, at jeg kun kan sende en email til børnehaven fra mobil-versionen af infobas hjemmeside?
  • Hvorfor skal jeg acceptere, at jeg ikke kan udvikle en app til fx Apple-TV eller en Roku-boks for at læse emails fra mine børns lærere - uden at få itslearnings advokater på nakken?

Kære Infoba Aps, kære itslearning - hvorfor stiller I ikke jeres API'er fri, så vi - der har evner og lyst til det - kan skabe endnu bedre løsninger på baggrund af jeres data? Jeg er sikker på, at I nok vil lire noget fis af omkring "vi tør ikke pga sikkerhedsproblemer med at en bruge skal afgive brugernavn og passwod til andre end os". Men helt ærligt - sådan noget kan løses på nøjagtig samme måde som Microsoft, Twitter, Google, Facebook og mange flere gør det allerede i dag (fx OAuth 2), så kunne I ikke finde på en ny forklaring? Jeg har vildt svært ved at se, hvordan I skulle tabe penge på det - snarere tværtimod.

PS: Jeg har linket til en artikel på politiken.dk ovenfor (pas på - kræver ingen brug af adblock'ere), men Morten Slott Hansen er ikke ham, som jeg omtaler som "min ven".

Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Torben Mogensen Blogger

Der kan være juridiske spidsfindigheder omkring brug af en ikke-offentlig API, som man slev har reverse-engineered, men der burde ikke være noget, der hindrede en app at simulere museklik og tekstindtastning på en webside og præsentere data på en anden måde overfor brugeren.

I givet fald kan det allerhøjest være overtrædelse af trademark og copyright, der kan være et problem, så app'en kan ikke bruge navnet SkoleIntra eller grafiske elementer fra denne, og heller ikke nævne navnet i sin beskrivelse. Men ellers kan jeg ikke se noget ulovligt. En browser på en mobiltelefon er jo også en app, så tilladelse til at lade en app bruge https-protokollen til at tilgå SkoleIntra er vel implicit givet.

  • 1
  • 0
Henrik Biering Blogger

Itslearning ville nok have sværere med at begå sig i USA, hvor åbne API'er har været default siden 2012 og visuelle brugergrænseflader er noget, alle skal kunne lave efter behov

Citat til inspiration for danske politikere (Burde være standard krav i udbudsbetingelser):

Information-Centric
The Federal Government must fundamentally shift how it thinks about digital information. Rather than thinking primarily about the final presentation – publishing web pages, mobile applications or brochures – an information-centric approach focuses on ensuring our data and content are accurate, available, and secure. We need to treat all content as data – turning any unstructured content into structured data – then ensure all structured data are associated with valid metadata. Providing this information through web APIs helps us architect for interoperability and openness, and makes data assets freely available for use within agencies, between agencies, in the private sector, or by citizens. This approach also supports device-agnostic security and privacy controls, as attributes can be applied directly to the data and monitored through metadata, enabling agencies to focus on securing the data and not the device.

In production, the information-centric approach ensures all agencies follow the same “rules of the road” by using open standards. It also guides how we present information, from mobile applications to websites, and allows for increased automation at the presentation layer. If done right, the information-centric approach will add reach and value to government services by helping to surface the best information and making it widely available through a variety of useful formats.

  • 0
  • 0
Jesper Lund Stocholm

API-adgangen må Kombit forventes at sikre i kravene til leverandør af den platform, der efter planen skal afløse SkoleIntra om et par år.


Det tror jeg ikke, at du bare sådan lige kan regne med. Et API, måske, men det er på ingen måde sikkert, at det vil være rettet imod privatpersoner og menige brugere af systemet.

Jeg har selv, da jeg var hos KMD, arbejdet med at implementere den integrationsplatform som KOMBIT lavede for at nedbryde KMDs monopol på sagsbehandling i kommunernen (KMDSag). API'et var rettet imod system-system kommunikation og ikke på nogen måde brugerrettet.

  • 0
  • 0
Henrik Høyer

Pas på Infoba!

            ......Nu kommer Famly!  

Famly skriver en del omkring deres sikkerhed, men 95% af denne beskrivelse omtaler hvordan sikkerhed i AWS fungerer:

https://d2ecw6ogt7xobl.cloudfront.net/wp-content/uploads/2016/01/Securit...

Der står intet omkring hvordan de sikrer sikkerheden i deres egen applikationer, og intet omkring deres procedurer ved brug på sikkerheden

  • 0
  • 0
Jan Gundtofte-Bruun

Nu kender jeg intet til de involverede firmaer, eller SkoleIntra (endnu), men jeg kender til Famly.

Den app, man skal benytte, er et meget tyndt app-lag henover noget der tydeligvis er web-baseret, og det er ikke særlig behageligt at arbejde med. Det er langsomt, skærmbilleder er gnidrede, de notifications man får skal man markere som læste flere steder, og de billeder man kan se kan man ikke selv gemme.

In a word: adrk.

  • 0
  • 0
Henrik Biering Blogger

Til de interesserede kan man se detailjerne i kapitel 6 her: http://docplayer.dk/18299992-Bilag-2-kravspecifikation-samarbejdsplatfor...


Tak for linket! Det er jo fint at der er adgang til kravspecifikationen.

Men hvis ikke jeg har overset noget, synes der kun at være krav om begrænset API funktionalitet af hensyn til Widgets, hvor man kan læse følgende, der er lidt nedslående i forhold til temaet for denne blogdebat:

Med Widgets kan Løsningen ikke kontrollere det indholdet der leveres. Dette vurderes dog ikke som et problem, da leverandørerne af Widgets er parter der er kontraktligt bundet til Kommunen/Institutionen jf. bilag 2.1.J.

  • 0
  • 0
Jakub Nielsen

Umiddelbart tænker jeg, at det følger af: kommunen er data ejer og er derfor forpligtet til at sikre, at der er sikret formålsbestemt tilgang til data, at leverandøren lever op til lovmæssige forpligtelser, audit af sikkerhed, ... Det vil være uanset om leverandøren i dette tilfælde er den relevante sagsaktør. Anvendelsen af widget'en er leverandørens udstillelse af data og tilgangen hertil er leverandørens ansvar. Går der noget galt her, f.eks. du kan se andre børns data, så kan kommunen blot henvise til sin databehandler aftale. Det bliver lidt ændret med implementeringen af den nye persondataforordning, men jeg tænker at effekten reelt ikke vil være meget mere end, at kommunernes kontrakt-afdelinger og it-sikkerhedsafdelinger laver lidt mere opsøgende arbejde i deres kontraktstyring og audits. Du, som i massen, hænger på hvad du kan se i widgets, da du er leverandørens ansvar og ikke kommunens. Som sagt så ved jeg godt, at det ændres lidt på papiret.

Hvis du vitterlig gerne vil lave din egne widgets til dashboardet, så lav en leverandøraftale - det er trods alt en forbedring.

  • 0
  • 0
Henrik Biering Blogger

Hvis du vitterlig gerne vil lave din egne widgets til dashboardet, så lav en leverandøraftale - det er trods alt en forbedring.


Jeg skal ikke lave nogen widget til skoledata - det er mere de principielle aspekter ved problematikken, der bekymrer mig - såvel den manglende direkte, men autentificerede adgang til data (blogpostens emne), som at ansvaret for sikkerheden mod uberettiget datatilgang åbenbart er uddelegeret til hver eneste person med API-adgang. Hvis jeg eller tolker citatet fra kravspecifikationen korrekt.

  • 0
  • 0
Jakub Nielsen

Jeg gætter på at man har ikke fundet det nødvendige grundlag for at inkludere et API til slutbrugere foruden de standard widgets som leverandøren skal levere. Man skal jo i sidste ende kunne forsvare et par millioner oven i prisen (driftsudgifter og vedligeholdelse i kontaktperioden) samtidig med at man skal kunne godtgøre at man ikke kan levere gode widgets som vil være brugervenlige, hvilket jo er et udgangspunkt for API adgang. Det er kommunens data, så de skal styre igennem deres angangsprocesser at leverandøren ikke får adgang til mere data end de må. Det gøres så vidt jeg ved via den fælleskommunale sikkerhedsmodel

  • 0
  • 0
Gert Madsen

"I princippet er dette jo en naturlig - og positiv - konsekvens af et kapitalistisk samfund - itslearning har været på det rigtige tidspunkt med det "rigtige" produkt og har (heldigvis, for dem) fået en markant, dominant position på markedet for skole-intranets."

Skoleintra kommer fra UNI-C, og var et monopol inden det blev overtaget af Itslearning.
Så vi har fået et privat monopol, uden at vi har fået den forbedring og optimering, som vi hylder konkurrencen for at give.

Og så må jeg erklære mig uening i din påstand. Der er ikke noget positivt over et privat monopol. Det er faktisk værre end et offentligt monopol.
Senest har vi set det i de øretæveindbydende arrogante meldinger, der er kommet fra chefen for det firma, som står bag Lectio. Lectio er så vidt jeg ved, opstået uden monopolbeskyttelse.

Når vores data af forskellige årsager skal gemmes, bør det være under forhold, så man kan konkurrencesætte de applikationer, som bruges til at tilgå disse data. Ansvaret for data skal ligge hos dem, som kræver indsamlingen. Dvs. skole, kommune, eller hvem det nu er, som står bag. Ansvaret kan aldrig udliciteres, kun opgaven. Og så skal der være personlige sanktioner, hvis de ansvarlige for opbevaringen, ikke sikrer data. Dette uanset om det drejer sig om en privat, eller en offentlig institution.

  • 0
  • 0
Jonas Thomsen

Jespers pointe omkring Forældreintra er spot on, men denne applikation er kun spidsen af toppen af isbjerget. Der findes mange andre IT-systemet, som er privatejede, der indeholder "mine" data. Et par eksempler er bankerne, e-boks og Storebox. På samme måde som Jesper har beskrevet det, kan man også reverse-engineer disse apps API'er og dermed få adgang til sine egne data, men man får ikke lov til at udgive noget, som gør brug af disse API'er. Yderligere er API'erne ikke dokumenterede, så man netop skal reverse-engineer dem. Vi burde stille krav om, at vores data kan tilgås via åbne API, så vi kan lave nogle bedre løsninger eller integrationer, end dem som leverandørerne laver.

  • 0
  • 0
Log ind eller Opret konto for at kommentere