Bag kulissen i Chromebook-kampen: Datatilsynet ser på sagen »med ekstrem alvor«

15. august kl. 03:4522
Kronborg i Helsingør
Illustration: Helsingør Kommune.
Bølgerne gik højt mellem Helsingør Kommune, KL og Datatilsynet, da tilsynet afviste at udskyde fristen for Chromebook-forbuddet, fordi der er tale om en ekstremt alvorlig sag.
Artiklen er ældre end 30 dage

»Det er sort det her. Har lige skændtes med Allan.«

Sådan skriver Lars Rich, it-ansvarlig i Helsingør Kommune i en mail til flere kollegaer og medarbejdere i Kommunernes Landsforening (KL) onsdag den 20. juli.

Torsdagen forinden har Datatilsynet offentliggjort en afgørelse, der suspenderer Chromebook-computere i kommunens folkeskoler, og sagsbehandleren bag hedder Allan Frank, jurist og it-specialist i tilsynsmyndigheden.

Helsingørsagen kort fortalt

I slutningen af 2019 klagede Jesper Graugaard til Datatilsynet over Helsingør Kommune, som havde oprettet en Google-konto til hans søn uden forældresamtykke. Senere endte sønnens oplysninger utilsigtet på videoplatformen Youtube.

Men Helsingør er langt fra den eneste kommune, der bruger Googles tjenester i undervisningen. Derfor valgte Datatilsynet i 2020 at starte sager af egen drift for at undersøge flere kommuners brug af Chromebooks og programmet Google Workspace for Education. Det har vist sig at sjusk med børnenes persondata er et generelt problem.

I vinteren 2021 afslørede Version2 nemlig, at 24 ud af 45 Google-kommuner mangler at lave en risikovurdering for børnenes databeskyttelse. Det samme gælder for mindst 13 kommuner, der som alternativ bruger Microsofts Office 365 med datalagring i Onedrive.

Datatilsynets første afgørelse i Helsingørsagen kom i september 2021, hvor man gav kommunen en frist på omkring to måneder til at få lavet en risikovurdering (og en konsekvensanalyse hvis nødvendigt) som dokumentation for en lovlig behandling af børnenes persondata.

Helsingør kom i mål med en risikovurdering, men mente ikke, der var behov for en konsekvensanalyse, og fortsatte med at bruge Chromebooks i folkeskolerne.

Den 14. juli i år offentliggjorde Datatilsynet sin anden afgørelse i sagen med et påbud til Helsingør Kommune om at suspendere brugen af Googles værktøj i skolerne. Beskeden har ikke mindst skabt panik i Helsingør, men også i flere andre Google-kommuner, Datatilsynet stadig undersøger.

Den 3. august meldte Helsingør Kommune ud, at man har sendt en konsekvensanalyse til Datatilsynet som bevis på en lovlig behandling, og derfor har man tænkt sig at fortsætte med Chromebooks, når børnene starter i skole den 8. august.

Dog trak Helsingør Kommune delvist i land dagen før skolestart, og derfor er det kun lærerne, der i den første skoleuge efter sommerferien bruger Chromebooks. Børnenes enheder må blive derhjemme.

Afgørelsen har skabt panik i Helsingør, hvor samtlige skoleelever bruger Googles pc’er. Datatilsynets forbud trådte nemlig i kraft med det samme, afgørelsen blev offentliggjort, og det har betydet, at eleverne er startet i skole efter sommerferien sidste mandag, uden Chromebooks i tasken.

Artiklen fortsætter efter annoncen

Det er ifølge Lars Rich en urimelig kort frist, man har fået fra tilsynsmyndigheden, og derfor havde han også bedt Allan Frank om at udskyde fristen til den 1. november, efter kommunen, KL og Datatilsynet mødtes om mandagen den 18. juli for at få klarlagt, hvad Helsingør skal gøre for at få ophævet forbuddet.

Et par dage senere, om onsdagen, tikker der en mail ind i Lars Richs indbakke, med et afslag fra juristen, som it-chefen en halv time senere kalder ‘helt sort’.

Udover afslaget har Allan Frank skrevet, at Datatilsynet ser på sagen ‘med ekstrem alvor', fordi det handler om en overtrædelse af GDPRs grundlæggende principper. Han henviser til, at kommunen allerede sidste år fik besked på at lave den dokumentation, som skal vise, at Helsingør-børnene bruger programmet lovligt, og som man stadig ikke har sendt til Datatilsynet.

»Der er med andre ord tale om en væsentlig retssikkerhedsmæssig garanti for borgernes rettigheder. Hvis man tilsidesætter den, underminerer man Datatilsynets muligheder for at få kendskab til og kontrollere lovligheden af behandlinger, der indebærer en stor risiko for de personer, hvis oplysninger bliver behandlet,« understreger han overfor Lars Rich.

Går til chefen

Lars Rich er langt fra tilfreds med afslaget, og derfor sender han en mail til Allan Franks chef, Cristina Gulisano, direktør i Datatilsynet, et par timer senere.

»Man kan vel næsten sige, at eleverne bliver gidsler i en bureaukratisk diskussion mellem to offentlige myndigheder – hvilket jeg syntes er rigtig ærgerligt og i ingens interesse.«

Han spørger, om direktøren kan deltage i et nyt møde med ham selv, Pia Færch, kontorchef for Digitalisering og Teknologi hos KL, og Christian Harsløf, direktør i KL, dagen efter.

Endnu et par timer senere svarer Cristina Gulisano, at hun godt forstår, at Helsingør Kommune er »kede af hele sagen.«

»Det er fuldt ud forståeligt – det er således en meget alvorlig sag – og den var allerede alvorlig i september sidste år, da I fik et påbud fra vores side,« understreger direktøren og fortsætter:

»Det er nu længe siden, så jeg synes faktisk, at vi i Datatilsynet har udvist rigtig meget tålmodighed, ligesom vi har været løbende i kontakt med jer og forklaret, hvad der videre skulle ske.«

Hun afslår selv at deltage i et møde dagen efter, men tilbyder, at Allan Frank og Birgit Kleis, medarbejder i Datatilsynet, kan deltage i stedet for.

Den besked får Christian Harsløf på banen, der om aftenen svarer direktøren:

»Med al respekt – denne sag har sat store dele af kommunedanmark i bevægelse, og det få uger før skolestart. I har selv valgt tidspunktet, og Helsingør Kommune har samarbejdet hele vejen. Vi er mange, der har fået forstyrret vores ferie. Jeg synes det vil være rimeligt, om du selv stillede op til et møde.«

Havde ingen ide om krav til konsekvensanalyse

Morgenen efter sender Lars Rich endnu en mail til Cristina Gulisano med en række spørgsmål, som han havde planlagt at høre hende om til det møde, hun afslog at deltage i.

Men først henviser han til, at kommunens centerchef Kristjan Gundsø har holdt flere møder med Allan Frank siden kommunen afleverede sin risikovurdering den 10. november året forinden, og hver gang han har spurgt juristen, om Helsingør manglede at aflevere noget, har svaret været ‘nej’. Derfor vil Lars Rich gerne have direktørens svar på:

»1. Hvornår er det, du syntes, vi skulle have reageret ift at udarbejde konsekvensanalyse set i lyset af denne tidslinje med vores konklusion af 10. november, som fremgår tydeligt af vores svar?«

»2. Syntes du så fortsat, det er rimeligt at fremsende afgørelsen 7,5 måneder senere uden anden aktivitet end forskellige faglige møder i den mellemliggende periode?«

»3. Og syntes du så fortsat, det er rimeligt, at vi får en frist på under 3 uger midt i en sommerferien, der med stor sandsynlighed vil betyde, at eleverne ikke kan anvende CB ved skoleårets start?«

Det er uvist, om Cristina Gulisano har svaret it-chefen.

Glem tredjelandsoverførsler for nu

Før konflikten eskalerede om onsdagen, havde Lars Rich planlagt at sende en mail til Allan Frank med en opsummering af konklusioner fra mandagsmødet. Først har han dog indhentet input fra Pia Færch fra KL og Pernille Jørgensen, chefkonsulent for Digitalisering og Teknologi hos KL.

I udkastet står der blandt andet, at Helsingør Kommune har forstået på Datatilsynets afgørelse, at man skal suspendere alle overførsler til tredjelande. Hertil kommentere konsulenterne:

»Jeg hørte på mødet, at problemstillingen omkring 3. landsoverførsler ikke har indflydelse på forbuddet, som kommunen har fået. Allan Frank sagde også, at han var ‘villig til at skubbe det (problemstillingen omkring 3. landsoverførsler) så langt som muligt« og, at Datatilsynet ikke har nedlagt forbud mod det’.»

I brevet skriver kommunen også, at man har forstået på Datatilsynet, at Helsingør skal kontakte Google for at få fjernet muligheden for support fra tredjelande. Men det er et ‘ikke nu-og-her-problem', mener konsulenterne. På samme måde konkluderer kommunen i brevet, at man skal fjerne fokus fra problemet med tredjelandsoverførsler:

»Problemstillingen omkring 3. landsoverførsler ikke har indflydelse på forbuddet, som kommunen har fået. Der er derfor ikke behov for at finde en løsning herpå på den korte bane.«

Ærgerligt, at børnene risikerer at blive profileret

Det helt store problem er ifølge Datatilsynet risikoen for, at børnene kan blive profileret af Google. Og derfor er Lars Rich også ærgerlig over, at kommunen har identificeret det som en risiko.

»Hold da op hvor er jeg ærgerlig over at vi har skrevet denne linje…..det går mere og mere op for mig, at det er den AF (Allan Frank, red.) hænger hele sin argumentation på…..« skriver han i en mail til kollegaer i Helsingør og KL og henviser til denne sætning fra risikovurderingen:

»Det ikke fuldstændigt kan udelukkes, at Google bryder de kontraktuelle forpligtelser og alligevel anvender personoplysninger til markedsføring eller andre utilsigtede formål, som Helsingør Kommune ikke har givet instruks til jf. databehandleraftalen.«

Kommunen har dog fortsat mulighed for at lære af sine fejl, for sagen er endnu ikke afsluttet, og der venter stadig mere compliance-arbejde i Helsingørs fremtid.

Men derfor er der jo ‘ikke nogen grund til at lægge et pres på jer selv,« mener konsulenterne fra KL, da de i Lars Richs brev til Datatilsynet opfordrer til, at han bør fjerne vendingen "hurtigst muligt’ de steder i beskrivelsen over manglende compliance-opgaver, hvor tilsynsmyndigheden ikke direkte dikterer det.

På mandag planlægger byrådet i Helsingør Kommune at holde et hastemøde, hvis ikke man har hørt yderligere fra Datatilsynet.

22 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
22
18. august kl. 15:27

Hvorfor hører man ikke noget om de øvrige +40 kommuner, som overholder loven? De kommuners skoler må - ifølge Helsingørs og KL's argumentation - producere ekstremt dumme børn, netop fordi disse elever er gået glip af Google. Jeg mener, "honningkrukken" Version 2's dækning er vigtig: Hvis man ikke kan lave god systemarkitektur uden at stjæle data fra børn, bør man holde sig væk fra branchen. Men måske er Chromebook-sagen kimen til en kulturkamp i V2 og ING.

19
18. august kl. 12:09

Ubegribeligt som V2 er honningkrukke for privacy aktivister, som foretrækker et DK tilbage til skifertavler.

21
18. august kl. 13:38

Ubegribeligt som V2 er honningkrukke for privacy aktivister, som foretrækker et DK tilbage til skifertavler.

Siden hvornår er IT der ikke er i en amerikansk cloud eller hvor data på anden måde er udenfor slutbruger/organisationen som brugeren tilhører's kontrol = skifertavler?

20
18. august kl. 12:13

Dejlig saglig kommentar ;-)

Jeg går ud fra, at du så ikke går ind for privacy?

12
17. august kl. 12:02

Det er for let, bare at skyde på at der mangler kompetencer. Der mangler kompetencer alle steder, og de fleste i job, er også i en læringsproces.

Særligt jurister og sagsbehandlere, har en forpligtelse til at vejlede borgerne, så de ikke mister rettigheder mm. pga. fodfejl. Det burde også gælde mellem myndigheder.

Google leverer nok det bedste produkt, for få penge. Skolerne, Kommunerne og IT afdelingen har fokus på deres spids-kompetencer, i dette tilfælde omkring læring. Så det er det de skal være gode til, inden for de overordnede rammer, som bestem ikke er tydelige. Det sagt går jeg helt ind for beskyttelse af borgerrettigheder, også selvom det er bøvlet, og at tidligere og nuværende politikere, har travlt med at sælge ud, af borrettighedsværdierne.

Så vidt jeg kan se, handler alle parter, ud fra gode motiver og mangler:

  • Lars Rich burde have søgt og fået juridisk bistand i kommunen - hvis den da haves.
  • Datatilsynet burde have et langt større budget.
  • Cristina Gulisano burde optræde som en slags leder, og sikre hjælp til Allan Frank med at kommunikerer, så ikke jurister forstår meningen, rammerne og prioriteterne.
14
17. august kl. 15:20

Lars Rich burde have søgt og fået juridisk bistand i kommunen - hvis den da haves.

Lars Rich og Helsingør burde i det hele taget have søgt mere uafhængig juridisk bistand. Bech-Bruun har også Microsoft og Samsung som kunder, hvilket nok kan give visse interessekonflikter ift. at rådgive imod tech-giganters interesser. Og i følge artikel i Radarmedia.dk har de vist ikke ydet Helsingør god rådgivning. Hvorfor mon ikke? Interessekonflikter?

Og en aktindsigt fortæller, at Google - også Google Europa, så sagen giver genlyd - flere gange har tilbudt Helsingør møder, og at bidrage med advokat og rådgivning. Og der har været udveksling af svar og materialer fra Google under NDA. Hvorfor det? Betyder det, at heller ikke Datatilsynet kan se disse svar?

Det fremgår ikke, hvad Helsingør har svaret til Googles tilbud, men jeg håber ved Gud, at de har sagt nej tak til advokatbistand fra Google - helt nej tak! - for det ville jeg anse som en form for korruption!

I mine øjne har Helsingør i den grad dummet sig, og nu sidder de i saksen. Jeg kan godt få ondt af de ansvarlige, for de kæmper nok - i overført betydning - for deres liv. Men det ændrer ikke ved, at de i den grad har dummet sig, og nu er ansvarlige.

15
17. august kl. 19:39

@Anne-Marie Krogsbøll.. Har du denne akt indsigt og kan dokumentere, at google har tilbudt kommunen advokat bistand og rådgivning i sagen ? Lyder interessant.

16
17. august kl. 19:49

Hej Jesper.

Ja, jeg har en aktliste, hvoraf det fremgår, at Google har henvendt sig med det tilbud - det er en advokat Plesner, som i et eller andet omfang er/har været inde over, i hvert fald på Googles side - jeg ved ikke, hvad hans rolle er ift. Helsingør. Jeg har ikke fået søgt om aktindsigt i selve henvendelsen endnu. Jeg kan se, at Helsingør har svaret, men ikke hvad de har svaret. Google har svaret flere gange med noget NGA-belagt - og nogle forklaringer om, hvad det så dækker.

Jeg går ikke ud fra, at man kan lægge filer ind her, men hvis du lægger en mailadresse, kan jeg sende aktlisten til dig. Der er mange andre potentielt spændende ting på, men det er svært at se kun ud fra overskrifterne.

17
18. august kl. 10:38

Det er Michael Hopp, som Google tilbyder hjælp fra. Uden tvivl en kapacitet på persondata-området, men om ham kan man bl.a. læse:

"På markedsføringsområdet har Michael omfattende viden om datadrevet markedsføring og særligt de kommercielle gevinster ved brugen af datadrevet markedsføring. Michael er en værdiskabende rådgiver særligt i forhold til den dynamiske fortolkning af lovgivningen relateret til udbredelsen af nye teknologier."

"Den dynamiske fortolkning af lovgivningen".... Er det bare mig, der synes, at det, set i sammenhæng med den øvrige beskrivelse at værdiskabende speciale på markedsføringsområdet, kunne lyde lidt af "smuthuller og fiflerier" - Googles speciale?

13
17. august kl. 14:11

Der mangler ikke reelle kompetencer i denne sag! Der mangler ledelse i form af at Lars Rich, som direktør og ansvarlig for området i Helsingør Kommune, tager ansvar for det job han er sat til at varetage.

Det er ikke Datatilsynets opgave at være babysitter for dem som de kontrollerer, især ikke andre offentlige myndigheder, som ved og bør som minimum vide hvad lovgivning og juridiske afgørelser betyder.

Allan Frank har gjort sit arbejde helt korrekt. Det har Lars Rich ikke!

Skylden ligger alene et sted: Hos Lars Rich. Du kan ikke være ansvarlig leder på det niveau og ikke være fuldt vidende om hvad og hvordan du skal reagere når Datatilsynet sender en afgørelse eller anmoder om oplysninger.

Alle kommuner har jurister ansat og der er også ansat en Data Protection Officer (DPO) i Helsingør Kommune, som reelt burde kunne svare på alle juridiske spørgsmål, som Lars Rich har været i tvivl om ift. Datatilsynets anmodninger og afgørelser.

Datatilsynet og Allan Frank gør som de gør fordi det er sådan offentlig administration skal være og fordi Datatilsynet er omfattet af regler, som de overholder. Så ja, Datatilsynet kan godt bruge flere ressourcer, men Allan Frank gør helt korrekt det han skal gøre: Lave afgørelser som baserer sig på den lovgivning, som han og Datatilsynet er sat til at administrere og det medfører juridiske afgørelser, som Helsingør Kommune må fortolke og reagere på.

11
15. august kl. 18:01

Jeg syntes egentlig at de byrådspolitikkere der sidder og træffer afgørelsen om at stoppe for brugen af google produkter midlertidigt gør det ganske godt og stiller nogle gode spørgsmål. Især taget i betragtning af den meget ensidede udlægning de får. For hold da kaje de har sovet i timen... Tjek evt lige dette punkt under redegørelsen hvor de totalt udviser mangel på viden omkring FISA og schrems IIhttps://youtu.be/yozx0mIUNyw?t=5660

10
15. august kl. 14:51

Den her sætning giver mig myrekryb: »Man kan vel næsten sige, at eleverne bliver gidsler i en bureaukratisk diskussion mellem to offentlige myndigheder – hvilket jeg syntes er rigtig ærgerligt og i ingens interesse.«

Manden nægter jo at tage et ansvar, men så skal jeg nok hjælpe ham med at fixe det for ham: Man kan nærmest sige, at eleverne bliver gidsler af en situation, hvor vi som kommune ikke har gjort vores job godt nok, og sikret at alle data blev behandlet efter loven.

Manden er sikkert et godt menneske, men lige her udviser han seriøs mangel på overblik over hvem der egentligt har ansvaret her. Totalt ansvarssvigt!

8
15. august kl. 12:31

Jeg synes alle bør se det byrådsmøde fra d. 07 aug. hvor sagen håndteres. Særligt ca. d 1 time, hvor embedsmanden fremlægger sagen for byrådet, så de har et "grundlag" for at tage beslutningen. Beslutningen om at stoppe brugen af Chromebooks tages jv. min mening, ikke hensyn til data og børns beskyttelse. Og der fejler byrådet stort. Se selv og vurdér/ kommentér:https://youtu.be/yozx0mIUNyw

9
15. august kl. 13:26

Meget relevant spørgsmål fra SF: Hvorfor er Datatilsynet ikke inviteret (med til byrådsmødet)? Lars Rich svar: Tjaa, det har jeg ikke sådan lige svar på. Det havde jeg ikke lige tænkt over. Jeg tror ikke de havde takket jeg til at deltage... Jeg synes det ville have været meget relevant at have datatilsynet med, så sagen også kunne blive belyst af dem og ikke kun forvaltningen.

7
15. august kl. 11:47

Bekymret? Nej, det er for lidt!Jeg mener bare, at med de problemer, der bliver ud af at droppe Chromebooks (eller computere) til undervisning, så rejser det spørgsmål hos mig: Hvor bevidst håndterer skolerne den computer-hjulpne undervisning? Er computeren blevet en spilstyrer frem for et redskab i undervisningen? Sætter skolerne nogen grænser for, hvad computeren kan anvendes til i undervisningen, og er undervisningen tilrettelagt så den computer-understøttede del faktisk udnytter at der er it-teknologi involveret? Og hvornår kommer der lige så konkrete vurderinger af de øvrige spillere på markedet?

5
15. august kl. 11:28

Wow ... det udstiller jo virkeligt, at Lars Rich ikke har læst Datatilsynets vejledninger - eller har hørt om Schrems II. Han har i hvert fald slet ikke fattet det fundamentale problem. En IT-ansvarlig med så lidt føling med tendenser og nyheder på sit ansvarsområde er chokerende.

Man sætter vel heller ikke en landkrabbe uden relevant erfaring til at være kaptajn på krydstogtskib?

4
15. august kl. 11:24

»Hold da op hvor er jeg ærgerlig over at vi har skrevet denne linje…. …..«

Oversat til dansk for ærlige borgere: "Næste gang undlader vi at oplyse om de risici, vi finder i vore risikovurderinger"

3
15. august kl. 11:16

»Med al respekt – denne sag har sat store dele af kommunedanmark i bevægelse, og det få uger før skolestart. ...«

Det var da også på høje tid at komme i gang, lovgivningen har været gældende i flere år.

2
15. august kl. 07:54

»Hold da op hvor er jeg ærgerlig over at vi har skrevet denne linje…..det går mere og mere op for mig, at det er den AF (Allan Frank, red.) hænger hele sin argumentation på…..« skriver han i en mail til kollegaer i Helsingør og KL og henviser til denne sætning fra risikovurderingen:

»Det ikke fuldstændigt kan udelukkes, at Google bryder de kontraktuelle forpligtelser og alligevel anvender personoplysninger til markedsføring eller andre utilsigtede formål, som Helsingør Kommune ikke har givet instruks til jf. databehandleraftalen.«

Havde man fulgt med i afgørelser i andre EU lande kunne man tydeligt se at 'det ikke kan udelukkes' ikke er godt nok for GDPR. Der er et krav om datasikkerhed som it-ansvarlig og dette krav indebærer at man MEGET nøje ved hvad der sker med dataene. Det er VIRKELIG inkompetent at forkaste sit ansvar ved blot at sige "vi går ud fra at Google er søde og flinke, for det har de jo altid været! Men nej, vi har overhovedet ikke noget overblik over hvad der sker med vores data når det rammer skyen, vi håber bare på det bedste."

Jeg har ledt i alle kroge og jeg har simpelthen ikke kunne finde noget medlidenhed for Lars Rich og co. for den position de har placeret sig selv i. De har haft flere år til at se at det er GDPR-stridigt hvad de har gang i. Det mindste de kan gøre nu er at makke ret og erkende nederlag så vi ikke spilder flere skattekroner på at køre en proxy-krig med Google's jurister om retten til vores data.

1
15. august kl. 07:53

Hmmmm....

Hvor har Version2 sine oplysninger fra? Aktindsigt? Whistleblower? Snak med de involverede?

Gad vide, om der findes referater fra de møder? Har Datatilsynet virkeligt givet udtryk for det, som hævdes - f. eks. at 3. lands-overførsler ikke er et problem (i så fald er det meget skuffende)? Eller er Helsingør og KL bare ude af stand til at forstå, hvad Datatilsynet siger? Det er jo lidt påstand mod påstand lige nu.

"Han henviser til, at kommunen allerede sidste år fik besked på at lave den dokumentation, som skal vise, at Helsingør-børnene bruger programmet lovligt, og som man stadig ikke har sendt til Datatilsynet."

Gælder det stadig? I givet fald: Hvorfor?

Og det fremgår jo tydeligt, at KL's og Helsingørs tilgang er bare at sløjfe den famøse - men sandfærdige - sætning om, at man ikke kan garantere for, hvad Google gør. Det viser i mine øjne, at man stadig simpelthen ikke har fattet GDPR - eller ikke regner GDPR for noget. Man regner det for jurist-spilfægteri og magtkamp - ikke menneskerettigheder.

"»Problemstillingen omkring 3. landsoverførsler ikke har indflydelse på forbuddet, som kommunen har fået. Der er derfor ikke behov for at finde en løsning herpå på den korte bane.«"

Her siges det jo direkte: Helsingør og KL handler ikke, før de får forbud og påbud! Og det er måske det, Datatilsynet efterhånden har opdaget, og taget konsekvensen af.

"»Man kan vel næsten sige, at eleverne bliver gidsler i en bureaukratisk diskussion mellem to offentlige myndigheder – hvilket jeg syntes er rigtig ærgerligt og i ingens interesse.«"

Og det er Helsingør og KL, der tager børnene som gidsler. De kan bare rette ind, og ikke opfatte sagen som et emne til forhandling og forhaling, sådan som de tydeligvis har gjort i årevis.

Men ja - hvis påstandene om Datatilsynets udtalelser undervejs står til troende (jeg tvivler), så er det ikke så heldigt. Det ændrer bare ikke på kravene i GDPR, og børnenes ret til privatliv - de skal overholdes, uanset om Helsingør og KL i perioder lykkes med at gøre Allan Frank snotforvirret, så han ikke ved, hvad han siger. Og jeg mistænker, at det har været en helt bevidst strategi - Google-style.

Stakkels Allan Frank - jeg begynder at få ondt af ham, selv om jeg tit har været utilfreds med hans i mine øjne ofte lidt for udglattende udtalelser.