Datatilsynet fastholder forbud i Chromebook-sag

Datatilsynet fastholder det behandlingsforbud mod Helsingør Kommunes om brugen af Google Workspace, som tilsynet nedlagde tilbage i juli måned.

Forbuddet fastholdes efter at Datatilsynet har lavet en nøje gennemgang af det omfattende materiale, som Helsingør Kommune har sendt til tilsynet i starten af august. Konklusionen fra Datatilsynets er fortsat, at Kommunen ikke har dokumentereret, at den har nedbragt de høje risici, der er for børnene i kommunens skoler. 

Datatilsynet udtaler

"Lærere og elever står lige nu i en svær situation, hvor de ikke kan benytte de redskaber, de plejer. Vores afgørelse forbyder på ingen måde brug af it i skolerne - men den konkrete brug af nogle bestemte redskaber i kommunen er ikke forsvarlig over for børnenes oplysninger. Og lidt firkantet sagt er det en konsekvens af kommunens valg og fravalg gennem flere år," siger Allan Frank, som er it-sikkerhedsspecialist og jurist i Datatilsynet, og fortsætter:

"Målet her er ikke at leve op til noget uigennemskueligt bureaukrati, men at passe på elevernes oplysninger. Børn har ifølge GDPR krav på en særlig beskyttelse. Vi kan hver især som voksne mennesker frit vælge, hvilke digitale tjenester vi har lyst til at bruge, men børn skal nu engang benytte de redskaber, som folkeskolerne stiller til rådighed for dem. Og derfor er det vigtigt, at kommunerne sikrer sig, at børnenes oplysninger ikke bliver brugt til andre formål end dem, folkeskoleloven giver mulighed for - eksempelvis markedsføring, profilering eller produktudvikling."

Forbuddet vedrører - ligesom i den tidligere afgørelse - kun Helsingør Kommune.

Hovedpunkter i Datatilsynets nye afgørelse

• Datatilsynet lægger - ligesom Helsingør Kommune - til grund, at flere af behandlingerne indebærer en høj risiko for de personer, der bruger Google Workspace.
• Helsingør Kommune er af den opfattelse, at alle de relevante risici er identificeret og håndteret, men Datatilsynet vurderer, at dette ikke er tilfældet. Kommunen har i Datatilsynets øjne ikke vurderet de relevante risici, der fremgår af selve kontrakten med leverandøren, og andre offentligt kendte risikoproblemstillinger i den teknologi, de har valgt. Herudover er de risici, som kommunen har identificeret, ikke tilstrækkeligt nedbragt.
• Helsingør Kommune har vurderet, at Google alene optræder som databehandler, men efter Datatilsynets opfattelse agerer Google på flere områder som selvstændig dataansvarlig, der behandler personoplysninger til egne formål. Dette bygger blandt andet på, at Google ifølge kommunens materiale selv opfatter sig som dataansvarlig på en række områder.
• Datatilsynet konstaterer, at materialet fra Helsingør Kommune ikke lever op til indholdskravene til en konsekvensanalyse. Kommunen har eksempelvis ikke vurderet de relevante risici - selv ikke for de behandlinger, der er beskrevet - og har kun delvist beskrevet fornødne sikkerhedsforanstaltninger.
• Datatilsynet har ikke kunnet konstatere, at Helsingør Kommunes databeskyttelsesrådgiver har angivet at have bemærkninger til konsekvensanalysen.  
• Sammenfattende er det Datatilsynets vurdering, at Helsingør Kommune ikke kan nedbringe risikoen til et acceptabelt niveau uden ændringer i kontraktsgrundlaget og den teknologi, kommunen har valgt at bruge.
  

I kølvandet på afgørelsen har Datatilsynet nu indledt en konstruktiv drøftelse af sagen med deltagelse af Helsingør Kommune, KL, Datatilsynet og Styrelsen for It og Læring. Formålet er at nå frem til en fælles forståelse af, hvordan parterne sammen kan finde en løsning, så skolerne hurtigst muligt kan tage elevernes vante arbejdsredskaber i brug igen på en lovlig måde.

Vi følger sagen nøje og vender tilbage, når der er nyt.