»Det er sort det her. Har lige skændtes med Allan.«
Sådan skriver Lars Rich, it-ansvarlig i Helsingør Kommune i en mail til flere kollegaer og medarbejdere i Kommunernes Landsforening (KL) onsdag den 20. juli.
Torsdagen forinden har Datatilsynet offentliggjort en afgørelse, der suspenderer Chromebook-computere i kommunens folkeskoler, og sagsbehandleren bag hedder Allan Frank, jurist og it-specialist i tilsynsmyndigheden.
I slutningen af 2019 klagede Jesper Graugaard til Datatilsynet over Helsingør Kommune, som havde oprettet en Google-konto til hans søn uden forældresamtykke. Senere endte sønnens oplysninger utilsigtet på videoplatformen Youtube.
Men Helsingør er langt fra den eneste kommune, der bruger Googles tjenester i undervisningen. Derfor valgte Datatilsynet i 2020 at starte sager af egen drift for at undersøge flere kommuners brug af Chromebooks og programmet Google Workspace for Education. Det har vist sig at sjusk med børnenes persondata er et generelt problem.
I vinteren 2021 afslørede Version2 nemlig, at 24 ud af 45 Google-kommuner mangler at lave en risikovurdering for børnenes databeskyttelse. Det samme gælder for mindst 13 kommuner, der som alternativ bruger Microsofts Office 365 med datalagring i Onedrive.
Datatilsynets første afgørelse i Helsingørsagen kom i september 2021, hvor man gav kommunen en frist på omkring to måneder til at få lavet en risikovurdering (og en konsekvensanalyse hvis nødvendigt) som dokumentation for en lovlig behandling af børnenes persondata.
Helsingør kom i mål med en risikovurdering, men mente ikke, der var behov for en konsekvensanalyse, og fortsatte med at bruge Chromebooks i folkeskolerne.
Den 14. juli i år offentliggjorde Datatilsynet sin anden afgørelse i sagen med et påbud til Helsingør Kommune om at suspendere brugen af Googles værktøj i skolerne. Beskeden har ikke mindst skabt panik i Helsingør, men også i flere andre Google-kommuner, Datatilsynet stadig undersøger.
Den 3. august meldte Helsingør Kommune ud, at man har sendt en konsekvensanalyse til Datatilsynet som bevis på en lovlig behandling, og derfor har man tænkt sig at fortsætte med Chromebooks, når børnene starter i skole den 8. august.
Dog trak Helsingør Kommune delvist i land dagen før skolestart, og derfor er det kun lærerne, der i den første skoleuge efter sommerferien bruger Chromebooks. Børnenes enheder må blive derhjemme.
Afgørelsen har skabt panik i Helsingør, hvor samtlige skoleelever bruger Googles pc’er. Datatilsynets forbud trådte nemlig i kraft med det samme, afgørelsen blev offentliggjort, og det har betydet, at eleverne er startet i skole efter sommerferien sidste mandag, uden Chromebooks i tasken.
Det er ifølge Lars Rich en urimelig kort frist, man har fået fra tilsynsmyndigheden, og derfor havde han også bedt Allan Frank om at udskyde fristen til den 1. november, efter kommunen, KL og Datatilsynet mødtes om mandagen den 18. juli for at få klarlagt, hvad Helsingør skal gøre for at få ophævet forbuddet.
Et par dage senere, om onsdagen, tikker der en mail ind i Lars Richs indbakke, med et afslag fra juristen, som it-chefen en halv time senere kalder ‘helt sort’.
Udover afslaget har Allan Frank skrevet, at Datatilsynet ser på sagen ‘med ekstrem alvor', fordi det handler om en overtrædelse af GDPRs grundlæggende principper. Han henviser til, at kommunen allerede sidste år fik besked på at lave den dokumentation, som skal vise, at Helsingør-børnene bruger programmet lovligt, og som man stadig ikke har sendt til Datatilsynet.
»Der er med andre ord tale om en væsentlig retssikkerhedsmæssig garanti for borgernes rettigheder. Hvis man tilsidesætter den, underminerer man Datatilsynets muligheder for at få kendskab til og kontrollere lovligheden af behandlinger, der indebærer en stor risiko for de personer, hvis oplysninger bliver behandlet,« understreger han overfor Lars Rich.
Går til chefen
Lars Rich er langt fra tilfreds med afslaget, og derfor sender han en mail til Allan Franks chef, Cristina Gulisano, direktør i Datatilsynet, et par timer senere.
»Man kan vel næsten sige, at eleverne bliver gidsler i en bureaukratisk diskussion mellem to offentlige myndigheder – hvilket jeg syntes er rigtig ærgerligt og i ingens interesse.«
Han spørger, om direktøren kan deltage i et nyt møde med ham selv, Pia Færch, kontorchef for Digitalisering og Teknologi hos KL, og Christian Harsløf, direktør i KL, dagen efter.
Endnu et par timer senere svarer Cristina Gulisano, at hun godt forstår, at Helsingør Kommune er »kede af hele sagen.«
»Det er fuldt ud forståeligt – det er således en meget alvorlig sag – og den var allerede alvorlig i september sidste år, da I fik et påbud fra vores side,« understreger direktøren og fortsætter:
»Det er nu længe siden, så jeg synes faktisk, at vi i Datatilsynet har udvist rigtig meget tålmodighed, ligesom vi har været løbende i kontakt med jer og forklaret, hvad der videre skulle ske.«
Hun afslår selv at deltage i et møde dagen efter, men tilbyder, at Allan Frank og Birgit Kleis, medarbejder i Datatilsynet, kan deltage i stedet for.
Den besked får Christian Harsløf på banen, der om aftenen svarer direktøren:
»Med al respekt – denne sag har sat store dele af kommunedanmark i bevægelse, og det få uger før skolestart. I har selv valgt tidspunktet, og Helsingør Kommune har samarbejdet hele vejen. Vi er mange, der har fået forstyrret vores ferie. Jeg synes det vil være rimeligt, om du selv stillede op til et møde.«
Havde ingen ide om krav til konsekvensanalyse
Morgenen efter sender Lars Rich endnu en mail til Cristina Gulisano med en række spørgsmål, som han havde planlagt at høre hende om til det møde, hun afslog at deltage i.
Men først henviser han til, at kommunens centerchef Kristjan Gundsø har holdt flere møder med Allan Frank siden kommunen afleverede sin risikovurdering den 10. november året forinden, og hver gang han har spurgt juristen, om Helsingør manglede at aflevere noget, har svaret været ‘nej’. Derfor vil Lars Rich gerne have direktørens svar på:
»1. Hvornår er det, du syntes, vi skulle have reageret ift at udarbejde konsekvensanalyse set i lyset af denne tidslinje med vores konklusion af 10. november, som fremgår tydeligt af vores svar?«
»2. Syntes du så fortsat, det er rimeligt at fremsende afgørelsen 7,5 måneder senere uden anden aktivitet end forskellige faglige møder i den mellemliggende periode?«
»3. Og syntes du så fortsat, det er rimeligt, at vi får en frist på under 3 uger midt i en sommerferien, der med stor sandsynlighed vil betyde, at eleverne ikke kan anvende CB ved skoleårets start?«
Det er uvist, om Cristina Gulisano har svaret it-chefen.
Glem tredjelandsoverførsler for nu
Før konflikten eskalerede om onsdagen, havde Lars Rich planlagt at sende en mail til Allan Frank med en opsummering af konklusioner fra mandagsmødet. Først har han dog indhentet input fra Pia Færch fra KL og Pernille Jørgensen, chefkonsulent for Digitalisering og Teknologi hos KL.
I udkastet står der blandt andet, at Helsingør Kommune har forstået på Datatilsynets afgørelse, at man skal suspendere alle overførsler til tredjelande. Hertil kommentere konsulenterne:
»Jeg hørte på mødet, at problemstillingen omkring 3. landsoverførsler ikke har indflydelse på forbuddet, som kommunen har fået. Allan Frank sagde også, at han var ‘villig til at skubbe det (problemstillingen omkring 3. landsoverførsler) så langt som muligt« og, at Datatilsynet ikke har nedlagt forbud mod det’.»
I brevet skriver kommunen også, at man har forstået på Datatilsynet, at Helsingør skal kontakte Google for at få fjernet muligheden for support fra tredjelande. Men det er et ‘ikke nu-og-her-problem', mener konsulenterne. På samme måde konkluderer kommunen i brevet, at man skal fjerne fokus fra problemet med tredjelandsoverførsler:
»Problemstillingen omkring 3. landsoverførsler ikke har indflydelse på forbuddet, som kommunen har fået. Der er derfor ikke behov for at finde en løsning herpå på den korte bane.«
Ærgerligt, at børnene risikerer at blive profileret
Det helt store problem er ifølge Datatilsynet risikoen for, at børnene kan blive profileret af Google. Og derfor er Lars Rich også ærgerlig over, at kommunen har identificeret det som en risiko.
»Hold da op hvor er jeg ærgerlig over at vi har skrevet denne linje…..det går mere og mere op for mig, at det er den AF (Allan Frank, red.) hænger hele sin argumentation på…..« skriver han i en mail til kollegaer i Helsingør og KL og henviser til denne sætning fra risikovurderingen:
»Det ikke fuldstændigt kan udelukkes, at Google bryder de kontraktuelle forpligtelser og alligevel anvender personoplysninger til markedsføring eller andre utilsigtede formål, som Helsingør Kommune ikke har givet instruks til jf. databehandleraftalen.«
Kommunen har dog fortsat mulighed for at lære af sine fejl, for sagen er endnu ikke afsluttet, og der venter stadig mere compliance-arbejde i Helsingørs fremtid.
Men derfor er der jo ‘ikke nogen grund til at lægge et pres på jer selv,« mener konsulenterne fra KL, da de i Lars Richs brev til Datatilsynet opfordrer til, at han bør fjerne vendingen "hurtigst muligt’ de steder i beskrivelsen over manglende compliance-opgaver, hvor tilsynsmyndigheden ikke direkte dikterer det.
På mandag planlægger byrådet i Helsingør Kommune at holde et hastemøde, hvis ikke man har hørt yderligere fra Datatilsynet.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
