“Hvad den dataansvarlige skal være opmærksom på FØR man begynder at behandle oplysninger.” Det er, hvad Chromebook-sagen handler om ifølge Datatilsynets Allan Frank. Han har set en positiv udvikling i sagen, men den 30. januar gav han alligevel 53 kommuner besked om at gøre deres behandlinger lovlige inden 1. august.
Hvis du vil se hele interviewet med Allan Frank, kan du bestille det her.
Chromebook-sagen, som tidligere hed Helsingør-sagen, er allerede lidt af en saga, som begyndte for snart 5 år siden, da en far til en skoleelev i Helsingør klagede over hans børns skoles brug af Chromebooks,
Skolerne i Helsingør havde købt billige Chromebooks til eleverne, som derfor skulle bruge Google Workspace. Google indhenter forskellige personoplysninger om eleverne og bruger dem til alt fra forbedring af sikkerheden til at videreudvikle deres produkter.
Spørgsmålet er: Kan man finde en hjemmel til den videregivelse af oplysninger i Folkeskoleloven?
Hvis man ikke kan, skal skolerne holde op med at videregive oplysningerne til Google.
Nu, næsten 5 år senere, siger Datatilsynet, at oplysningerne ikke lovligt kan videregives til Google, når Google bruger dem til at forbedre og udvikle deres produkter.
Intet overblik over data flows
I teorien burde det være ret enkelt. Helsingør kommune skulle “blot” skabe overblik over data flows i systemerne - og så vurdere, om Folkeskoleloven indeholdt en hjemmel.
Skolerne og kommunen havde imidlertid ikke overblik over disse data flows, risici og konsekvenserne af de behandlinger, der blev foretaget i bla. Google Workspace. De havde ikke gennemført en konsekvensanalyse, også kaldet en DPIA,
Det tog faktisk 4,5 år, før man havde det nødvendig overblik over de komplekse data flows, som skoleeleverne var en del af.
"Vi har sprættet dyret op, og nu kan vi se ned i indvoldene. Så må vi jo se på, om der er noget, der skal opereres ud eller gøres på en anden måde," siger Allan Frank fra Datatilsynet og fortsætter:
“Vi har nu en ansvarlig beskrivelse af data flows i systemet. Nu kan vi vurdere de risici, der er, og se hvilke behandlinger, der faktisk finder sted.”
Allan Frank er den medarbejder hos Datatilsynet, som i hele forløbet har været ansvarlig for Chromebook-sagen.Jeg spurgte ham, hvorfor det har taget så lang tid at få et overblik over data flowsene.
“Det kan være, at de respektive organisationer - både i kommunerne og hos leverandøren - har kendt delelementer. Men alle de delelementer har ikke været til stede på én gang, og det er det den her øvelse har tilvejebragt. Nu kan vi se, hvad der foregår i forhold til de behandlinger, der rent faktisk foregår i disse produkter,” siger Allan Frank.
Afgørelsen
Nu, hvor data flowsene er beskrevet, et det muligt for Allan Frank og Datatilsynet at vurdere, om der er hjemmel i Folkeskoleloven til at videregive oplysningerne til Google.
Datatilsynet skriver, “at folkeskoleloven ikke tilstrækkeligt klart hjemler, at kommunerne videregiver elevernes oplysninger til vedligeholdelse og forbedring af Google Workspace for Education-tjenesten, ChromeOS og Chrome-browseren, eller til måling af ydeevnen og udvikling af nye funktioner og tjenester i ChromeOS og Chrome-browseren.”
I Danmark har vi tradition for at have en meget restriktiv tilgang til at overgive personlige oplysninger. Selv mellem to offentlige myndigheder er det ofte ikke tilladt.
"Hvad skal der egentlig til at levere IT? For eksempel; så får vi nok ikke leveret meget it uden en IP adresse for eksempel.Og så kan man sige, at jo tættere tilknytning det har på det, jo større er sandsynligheden for, at Datatilsynet kan finde en hjemmel. Jo længere væk det kommer fra det jo sværere bliver det for Datatilsynet at finde den fornødne hjemmel,” siger Allan Frank
Nu har Helsingør og 52 andre kommuner, der bruger Google, indtil 1. august til at lovliggøre deres behandlinger.
Når man spørger, hvorfor det har taget så lang tid at komme frem til en afgørelse, siger Allan Frank: “Jeg synes, man må have respekt for, at her er der faktisk nogen, der forsøger at løse et problem for 53 forskellige dataansvarlige. Det, synes jeg, der skal være plads til. Men ja. Det har taget lang tid.”
