Datatilsynet slår fast: Google kan køre lovligt i danske folkeskoler

46 kommentarer.  Hop til debatten
Datatilsynet slår fast: Google kan køre lovligt i danske folkeskoler
Illustration: Irena_Geo, BigStock.
Selvom Google er kendt for indsamling af persondata og profilering, kan Datatilsynet ikke diskvalificere tech-giganten i Folkeskolen. Virksomheden lover nemlig en GDPR-compliant løsning i den dokumentation, jurist og it-sikkerhedsspecialist Allan Frank har undersøgt i forbindelse med Helsingør-sagen.
28. september 2021 kl. 03:45
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Børn i den danske folkeskole kan lovligt bruge G Suite for Education i undervisningen, hvis bare kommunerne sørger for at konfigurere systemet på en måde, der sikrer, at de overholder GDPR – eksempelvis ved at lukke for Googles adgang til elevernes persondata.

Det vurderer Allan Frank, jurist og it-sikkerhedsspecialist i Datatilsynet, der står bag afgørelsen i Helsingør-sagen, som tilsynet offentliggjorde i starten af september.

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
46 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
45
1. oktober 2021 kl. 00:09

Men det er rigtigt at der også er gået farvelade og Nintendo i folkeskolens afleveringer. Men det er teksten, som afgør om stilen er god. Ikke fine fonte og billeder.

Enig. Måske er det vigtigste, at forklage ungerne (og politikerne på alle planer) hvorfor deres personlige data er vigtige for dem.

Stile er mig bekendt stadig personlige afleveringer, men jeg er nok bare gammeldavs?

44
30. september 2021 kl. 23:03

Så skal man "bare" være enige om at bruge samme layout; så flere dokumenter (let) kan skrives sammen til sidst; for 6-10 år siden virkede det so-so på uni, så folkeskoleelever kan nok klare det i dag?

Det går nok, hvis man holder sig til det faglige.

Men det er rigtigt at der også er gået farvelade og Nintendo i folkeskolens afleveringer. Men det er teksten, som afgør om stilen er god. Ikke fine fonte og billeder.

43
30. september 2021 kl. 22:23

Som jeg læser det, lagrer man så data på skolernes egne filservere, og man vil sandsynligvis ikke kunne bruge samtidige opdateringer af dokumenter

Samtidig redigering kræver disciplin!

Der er så ikke så meget grund til at vælge Google, fremfor ex. Libreoffice, hvor man har noget bedre styr på hvad der foregår.

Så skal man "bare" være enige om at bruge samme layout; så flere dokumenter (let) kan skrives sammen til sidst; for 6-10 år siden virkede det so-so på uni, så folkeskoleelever kan nok klare det i dag?

Man kan håbe på valg af LibreOffice frem for MS-Word (som hurtigt bringer rod/råd i den).

42
30. september 2021 kl. 16:45

Er der der i en klar, enkel og lettilgængelig guide til, hvordan en sådan konfiguration skal gøres? For det er det norske datatilsyns krav - at det skal være enkelt! Det er ikke nok, at det er muligt - det skal være enkelt!!!

Lige denne detalje, kan man nok godt forsvare.

Det er jo ikke en gudgiven ting at skolernes administratorer skal være glade amatører. Jeg ved godt at det sjældent er tilfældet, men jeg mener altså ikke det er urimeligt at forvente at kommunerne sætter nogle professionelle til at håndtere den opsætning, som man tvinger eleverne til at bruge.

Som jeg læser det, lagrer man så data på skolernes egne filservere, og man vil sandsynligvis ikke kunne bruge samtidige opdateringer af dokumenter.

Der er heller ikke så galt. Det har jo fungeret i mange år.

Der er så ikke så meget grund til at vælge Google, fremfor ex. Libreoffice, hvor man har noget bedre styr på hvad der foregår.

40
30. september 2021 kl. 15:50

Vurderingen, der fortsat ikke giver mening.... Jeg har svært ved at komme mig over det galimatis

"Derefter skal Helsingør overveje, om man kan gøre noget for at mitigere risikoen, så behandlingen overholder GDPR. Det kan lade sig gøre, er Allan Frank kommet frem til, efter han har undersøgt Googles betingelser og databehandleraftalen: »Reelt set, kan man faktisk lave sådan en konfiguration, så den kan køre helt lokalt på skolens egen computer. Så er man sikker på, at de ikke kan blande sig i noget som helst.« Hvad, hvis der er en supportmedarbejder, der skal have adgang? »Man kan frasige sig alle supportmuligheder, der vil være overførsler til USA. Men det kræver jo, at man laver hele setuppet – også service/support – på en ordentlig måde fra starten af. Man skal vide, hvad ens aftaler indebærer.«"

Frank siger, at han har undersøgt Googles betingelser og databehandlingsaftalen. Er der der i en klar, enkel og lettilgængelig guide til, hvordan en sådan konfiguration skal gøres? For det er det norske datatilsyns krav - at det skal være enkelt! Det er ikke nok, at det er muligt - det skal være enkelt!!! Det burde også være det danske datatilsyns udgangspunkt. Og hvordan undgår man, at denne konfiguration ændres ved første opdateringstilfælde? Min erfaring er, at privatlivskonfigurationer har det med at forsvinde som dug for solen i løbet af kort tid.

"Kommunen har nemlig pligt til at holde øje med, om Google holder det, virksomheden lover i databehandleraftalen. Og en af måderne, man kan gøre det på, er, at kommunen med jævne mellemrum beder Google om at få en oversigt over, hvilke data er læst eller kopieret af administrative rettigheder. "

Er det Franks ramme alvor, at diverse skoler og dataansvarlige faktisk har en chance for at vurdere, om Google siger sandheden om, hvem der har hentet data? Det forekommer mig naivt grænsende til det dumme. Læs Shoshana Zuboff.... det er grundpensum!

"»Man kan frasige sig alle supportmuligheder, der vil være overførsler til USA. Men det kræver jo, at man laver hele setuppet – også service/support – på en ordentlig måde fra starten af. Man skal vide, hvad ens aftaler indebærer.«"

Står der ikke indirekte her, at Frank vurderer/nærmest er sikker på, at børnenes data i øjeblikket ryger over dammen til support? For han har vel undersøgt, hvordan Helsingørs aftale ser ud på det punkt, ikke? Hvis han er vidende om, at supportfunktionen medfører en tur over dammen for data, hvordan i alverden kan Datatilsynet så lade være med at gribe ind?

Hvis Google virkelig ønsker (det tror jeg ikke på) at overholde GDPR i danske skoler, hvorfor mon Google så ikke tilbyder en "GDRP-sikker" pakke, hvor alt på forhånd er konfigureret, så ingen data ryger nogen steder hen? Og en troværdig måde at kontrollere dette fremover? Det ville da være det enkleste, ikke? Hvorfor skal ukyndige dataansvarlige forventes at kunne gennemskue Google - noget af verdens mest uigennemskuelige? Igen: Læs din Zuboff, Frank.

Datatilsynet ser - sådan ser det ud for mig - igennem fingre med, at børnenes privatliv er blevet systematisk krænket i flere år, og fortsat bliver det.

Tager de overhovedet deres opgave alvorligt? Betragter de tech-industrien eller de danske borgere som deres egentlige bagland/soulmates - der, hvor man forstår hinanden?

Det spørgsmål Datatilsynet bør tage stilling er: "Forekommer det sandsynligt, at dansk skolevæsen og danske skoler vil være i stand tidl at konfigurere Googles produkter og tablets/computere korrekt ift. GDPR, selv med en instruktion i hånden? Forekommer det sandsynligt, at de vil være i stand til at vedligeholde denne konfiguration korrekt over tid? "

Det forekommer mig - baseret på års erfaringer med Google i verden og samfundet - at svaret må være et rungende "NEJ". Og det er det, Frank burde give klart og tydeligt udtryk for: "Hold jer væk fra Googles produkter, for det er i praksis usandsynligt, at I kan bruge dem GDPR-lovligt, uanset om de i teorien kan konfigureres til ikke at lække data de forkerte steder hen! Det er et Google-insideerjob, som I ikke ahr råd til, og ikke vil kunne gennemskue, om de faktisk gør ordentligt, selv hvis I aftaler det med dem. "

Datatilsynet vælger side for Google mod børnene. De lader tvivlen komme Google til gode - bestemt ikke børnene, som de skulle beskytte.

Hvorfor mon?

39
29. september 2021 kl. 17:05

"Men som dataansvarlig er man nødt til at stole på, at tech-giganten vil holde sit løfte om at overholde EU-loven."

Men hvad skal man så overhovedet lave en risikovurdering for? Man kan jo bare spørge Google, om de har i sinde at stjæle børnenes data og profilere dem, og videregive dem til uvedkommende?

Siger Google "Nej, på spejderære, det kunne vi aldrig finde på", så både kan og skal man jo som dataansvarlig (og Datatilsynsjurist og -it-sikkerhedsspecialist) bare klappe hælene sammen og sige "Yes, Sir"?

Ikke?

Oder?

Hvorfor er det ikke konsekvensen af det, Frank påstår?

(PS: Hvis man er "Nødt til" det, så har man jo aldrig nogen gyldig grund til at sige nej til Google, vel?)

37
29. september 2021 kl. 16:42

Det er bare uforståeligt, når de vælter ansvaret over på f.eks. kommunerne.

Øh.

Kommunerne sætter et system op, som indsamler data. De vælger hvilket system, og hvilke data der lægges ind. Hvordan kan det være andres ansvar om de er sikret korrekt?

Det er jo ikke bare hvad der står i GDPR, men hvilke data man fylder i hvilket produkt.

Overvej en gang, hvordan datatilsynet skulle agere, når Google ændrer sine betingelser, eller når en skole begynder at hælde andre typer data ind i et værktøj.

36
29. september 2021 kl. 15:53

...hvis/når Helsingør indenfor en ukendt tidshorisont (skal overtrædelserne være stoppet, eller skal der bare foreligge en konsekvensanalyse om 1 1/2 måned?) vender tilbage til Tilsynet med en risikovurdering, der siger sådan ca: "Vi har vurderet sagen, og vi vurderer, at der ikke er risiko for børnenes data, da Google har lovet os, at man vil overholde GDPR:"? (Det argument har Tilsynet jo lige gjort gyldigt).

Går Tilsynet så igang med at dissekere liget, og pille den søforklaring fra hinanden i alle led (det er der ikke noget, der tyder på, at de har åndsevner til), eller vil Tilsynet igen bruge argumentet: "Vi må gå ud fra, at Google overholder GDPR, når de lover det."?

35
29. september 2021 kl. 15:48

Men er det forkert?

Ja, hvis man antyder at der er muligheder for at sende borgernes personoplysninger til amerikanske selskaber, så må en jurist have gjort sig skyldig i bevidst vildledning. EU domstolen er krystalklar på det område - amerikanske firmaer må ikke bruges, med mindre de ikke kan læse data.

30
29. september 2021 kl. 14:32

Så Datatilsynet laver en ulden godkendelse. Og kommuner m.v. står med ansvaret, hvis de ikke kan overskue det. Lyder "rimeligt".

29
29. september 2021 kl. 11:04

Er jeg den eneste der ser samme 'logik' i Allans forhold til lovligheden af skolernes brug af Googles gratis suite, som Østre Landsret forhold til lovligheden af logningsbekendtgørelsen ift. EU-retten?

Logikken er "ja, det er med meget stor sandsynlighed ulovligt, men hvis ikke der er nogen der rent faktisk får det prøvet ved retten, så går den nok, vi har ihvertfald ikke tænkt os at handle proaktivt, men vil bruge alle tænkelige juridiske kneb til at fortsætte status quo, for det sparer os for kroner og ører lige nu og i den indeværende valgperiode?

Hvis ikke det var så sindssygt deprimerende at læse om hvordan et officielt tilsyn rider på ryggen af tech-giganterne, samtidig med at de foregiver at være borgernes vagtværn, ville det være komisk.

Det er jo for helvede lige til Rokokoposten.

28
29. september 2021 kl. 08:15

Og hvor er Datatilsynet (og vore politikere)? De griber ikke ind, så man må formode, at det sker med deres fulde velsignelse - at man i hvert fald ikke anser det for så alvorligt, at man gider gribe ind og stoppe ulovlighederne?</p>
<p>Gør det ikke Datatilsynet (og vore politikere) medskyldige? De ved, det foregår, men de vender det blinde øje til. De fraterniserer oven i købet gang på gang med de skyldige.</p>
<p>Hvis det havde været politiforretninger, ville man begynde at tænke i mulige forklaringer på, at man ikke griber ind - ville man ikke? Og hvilke tanker får man om det?</p>
<p>Har de ansvarlige i skoler og kommuner og regioner aldrig stille sig selv spørgsmålet: Hvorfor vil dette firma ledere alle disse gratis programmer til vores skoler? Hvad får de ud af det?

Lige nøjagtig!

Men hvis befolkningen tror, at vores ledere griber ind, så trænger befolkningen (også på dette område) at vågne op af deres tornerosesøvn. For her forholder det sig (naturligvis) på samme måde som i rigtig mange andre tilfælde: når lederne i privat regi er medlemmer af samme klub, hvor man sværger dødelig troskab til hinanden, så bliver medlemmerne af denne klub altid vinderne. Og den jævne befolkning bliver altid taberne; og lider typisk også deraf. Og det gør naturligvis ikke sagen bedre for den jævne befolkning, at det er et krav for at få sin toppost, at man skal være medlem af føromtalte private klub.

Befolkningen er til grin!

Og det bliver den ved med at være, så længe den (bevidst) fortsætter med at sove.

27
28. september 2021 kl. 18:13

Og for mig virker det også nederdrægtigt, at når nu sagen har været igennem det ophøjede tilsyns hænder, ja så er det også (indirekte) at regne for en blåstempling.

Ja, det virker dybest set som om, Datatilsynet siger til kommuner, regioner og skoler: "Det må I selv ligge og rode med - vi vasker vore hænder".

Men hvad skal vi dog med et sådant tilsyn?

"Men med sådan en løsning, kan Google så stadig blive bedt om at udlevere data? »Ja – efter CLOUD Act. Den lovgivning gælder jo efter amerikansk ret, og det kan parterne jo ikke lave om på. Men den eventualitet må man tage efterfølgende. Det er ikke nok til, at man siger, at Google aldrig kan levere én eneste tjeneste til hele det europæiske marked.«"

"Eventualitet"? Sikke et spin-udtryk.

Det svarer til, at man lovliggør salg af automatvåben med begrundelsen, at folk lover ikke at bruge dem.

Hvor mange møder har Datatilsynet holdt med Google?

Og hvor er de blevet holdt?

Eller er det regereingen, man har holdt møder med? Jeg har lige hørt en bid af Mette F's tale på DI's årsmøde - og i følge hende skal der ikke herske tvivl om, at regeringen er 100 % erhvervslivets regering - og der skal fuld fart på digitaliseringen....

Så måske har Datatilsynet det ikke fra fremmede, den der modvilje mod at implementere GDPR og passe på privatlivet.

26
28. september 2021 kl. 17:47

Man er målløs...

Og for mig virker det også nederdrægtigt, at når nu sagen har været igennem det ophøjede tilsyns hænder, ja så er det også (indirekte) at regne for en blåstempling.

25
28. september 2021 kl. 17:36

Så lad mig omformulere det:</p>
<p>Det er myndighedernes forpligtelse at få lovene ned på jorden, og få udmøntet en praksis der er til at forstå, således at der er et klart og tydeligt sæt retningslinjer for f.eks.:</p>
<p>Børnehaver</p>
<p>Frivillige organisation</p>
<p>Handelsvirksomheder osv.</p>
<p>Multinationale virksomheder.</p>
<p>Etc, etc.</p>
<p>Det kan ikke være meningen at f.eks. børnehavelederen (for nu at holde fast ved det) skal traske 88 sider tætskreven kancellisprog fra EU (plus alt det danske patchværk som du selv skriver) igennem, for at ekstrahere de måske 20 linjer der reelt er gældende for det område.</p>
<p>Det er deprimerende at (igen) børnehavelederen skal slås med frustration, frygt og trusler, når myndighederne og de asociale medier mv. er bedøvende ligeglade.

Se det er vi helt enig om. Det vigtige her er Roller og Ansvar, og der har man fejlet big time i Danmark efter min mening. Det kan ikke være meningen, at det skal være helt ude i kommuner, skoler, børnehaver mv. decentralt at det her skal løses.

Persondata er så godt nok kommunernes core business, men det er jo hul i hovedet at små 100 kommuner, hver skal løse de nøjagtig samme problemer helt alene på herrens mark.

Så der er nogle institutioner, der har fejlet.. jeg vil sige KL, Regionerne, og de sidste mange års regeringer.

// jesper

24
28. september 2021 kl. 17:35

Jeg synes, Allan på en interessant måde får sagt: Det er teknisk set lovligt, men du skal virkelig slå knuder på dig selv, for at få det til at være det, og:

»Hvis man ikke kan overskue konsekvenserne af det, man har købt, så skal man have ladet være med at købe det. Så nemt er det.«

Jeg synes også dette svar er interessant:

Så hvis man har indgået en aftale med Google, som har lovet, at man overholder GDPR, så har man som dataansvarlig gjort alt, hvad man kan?

»Ja, hvis man ellers er betrygget i, at Google vil overholde GDPR. «

De, som er betrygget i, at Google vil overholde GDPR og som har kendskab til CLOUD Act, Snowdens afsløringer og Lavabit’s historie, vil jeg meget gerne spørge: Hvis ikke CLOUD Act, Snowdens afsløringer og Lavabit’s historie er nok til at gøre, at I ikke længere er betrygget, hvad skal der så til?

23
28. september 2021 kl. 14:55

Det er jeg sku' ikke helt enig i. Du kan ikke skrive en lov, i det mindste ikke med det lov paradigme vi har nu, der i en lov kan håndtere alt lige fra Børnehaver til Multinationale virksomheder på tværs af alle EU lande i den detaljegrad du efterlyser der. Man er nødt til at bruge den store pensel, og GDPR som den er skrevet i EU regi, er sku til at forstå hvis man læser den og bruger lidt tid til at tænke over tingene.

Så lad mig omformulere det:

Det er myndighedernes forpligtelse at få lovene ned på jorden, og få udmøntet en praksis der er til at forstå, således at der er et klart og tydeligt sæt retningslinjer for f.eks.:

Børnehaver

Frivillige organisation

Handelsvirksomheder osv.

Multinationale virksomheder.

Etc, etc.

Det kan ikke være meningen at f.eks. børnehavelederen (for nu at holde fast ved det) skal traske 88 sider tætskreven kancellisprog fra EU (plus alt det danske patchværk som du selv skriver) igennem, for at ekstrahere de måske 20 linjer der reelt er gældende for det område.

Det er deprimerende at (igen) børnehavelederen skal slås med frustration, frygt og trusler, når myndighederne og de asociale medier mv. er bedøvende ligeglade.

22
28. september 2021 kl. 13:52

Det er jo desværre et generelt problem omkring GDPR, nemlig at man i stedet for at lave et håndgribeligt og håndfast reglement, der præcis beskriver hvad man må og hvad man ikke må, og hvad man skal gøre, så er det hele sovset ind i hyldemeter juridisk mumbo-jumbo, som det så er op til den enkelte aktør at forholde sig til (primært ud fra en CMA betragtning, ikke så meget fordi man har en ægte interesse i at passe på data) - tit og ofte med en giftig advokatregning til følge.</p>
<p>Tænk hvis de ti bud var blevet udfærdiget af jurister .......

Det er jeg sku' ikke helt enig i. Du kan ikke skrive en lov, i det mindste ikke med det lov paradigme vi har nu, der i en lov kan håndtere alt lige fra Børnehaver til Multinationale virksomheder på tværs af alle EU lande i den detaljegrad du efterlyser der. Man er nødt til at bruge den store pensel, og GDPR som den er skrevet i EU regi, er sku til at forstå hvis man læser den og bruger lidt tid til at tænke over tingene. Der eksisterer nogle ENISA vejledninger til mindre virksomhedder i hvordan man efterlever GDPR, som går spadestikket dybere.

Problemet i Danmark er at man for det første patcher al anden lovgivning, istedet for 'bare' at inkludere EU lovene, og det gør det ikke nemmere (se f.eks. retsagen vdr. logning ). Og det kommer der så 3000 sider betænkninger ud af.... så ja. g så mangler der klart vejledninger mv. fra 'nogen'. Og der mangler også f.eks. løsninger fra KOMBIT eller... nogen andre, hvor man har lavet arbejdet (risikovurderinger konsekvensvurderinger) og lavedet de designs der gør at skolerne kunne bruge "noget IT", til f.eks. skolebrug.

Så det er IMHO i høj grad Danmarks ambitions niveau med at følge lovgivningen, set i forthold til manglende tagen ansvar fra centralt hold og producere det der skal til for at f.eks. kommunerne kan følge loven, uden at skulle spare på kerneydelser for at lave papirarbejde decentralt.

// Jesper

21
28. september 2021 kl. 13:37

Vi bliver nødt til at blive selvforsynende med cloudbaserede produkter her i EU og her i Danmark iøvrigt. Det er kritisk infrastruktur.

20
28. september 2021 kl. 13:28

https://www.nrk.no/vestfoldogtelemark/frykter-datasenter-stopper-gront-skifte-1.15665993

Snyltere! Vampyrer! Trifitter! Skadedyr!

Igen: Det er ufatteligt, at vi har ladet nogen sælge os som slagtekvæg til de blodsugere. Det burde være ansvarspådragende.

Er der virkeligt nogen, som i deres inderste har troet på alle de gyldne løfter om mange arbejdspladser og klimaansvarlighed ved disse centre? Eller lod de bare som om?

Jeg er overbevist om, at hele denne udvikling er drevet af korruption. Jeg kan ikke sige, præcist hvem og hvor i systemet - der er garanteret mange ærlige og naive medarbejdere, som bare af et ærligt hjerte har forsøgt at gøre deres arbejde bedst muligt. Men tech-giganternes overtagelse af samfundet via diverse trojanske hest-projekter er/må have været drevet af udgaver af (måske statsautoriseret, dvs lovliggjort) korruption. Ellers giver det ingen mening,

19
28. september 2021 kl. 12:44

Google sagsøger Datatilsynet og den danske stat for at forhindre dem i at konkurrere frit på det danske marked ...</p>
<p>... Dansk Industri m.fl. starter massive kampagner for at fortælle at vi taber konkurrencekraft når vi ikke længere kan benytte samme værktøjer som vores konkurrenter ( ... og ikke selv har evnet at udvikle konkurrencedygtige alternativer) ...</p>
<p>... Folkeskolen fortæller, at de sagtens kan benytte andre værktøjer, hvis de altså bare får flere penge til at ansætte nogen der kender til dem ...</p>
<p>... alle med Android telefoner stiller krav om at få byttet deres telefoner til noget med samme specs men uden Android ...</p>
<p>... alle med biler der styres med/af Android Auto forlanger at få byttet det hele til noget andet med samme specs. og uden beregning ...</p>
<p>... danske medier vil bringe helsides opslag hver dag i en uge og takker for at få annoncekronerne tilbage igen ...

Kort sagt: Armageddon...

Så Datatilsynet er ikke andet end en smokescreen, som ikke reelt afgør noget som helst. Vi styrer ikke mere vores eget land. Vi er i lommen på giganterne og deres betalte håndlangere. Vi/de lader bare som om, vi har noget at skulle have sagt.

Det er ufatteligt, at der ikke er flere af vore folkevalgte, som endnu har fattet alvoren af dette: At de - på deres vagt - har ladet lobbyister og pengemænd og landsforrædere overtage magten i landet - under radaren. Forskermafiaen, topembedsmændene, toplobbyisterne - det er landets sande herskere. Og nu gælder det bare om at holde bedrageriet - landsforræderiet - usynligt for borgerne med diverse tricks og tryllekunster - som Datatilsynet er en af. Skueprocesser, spil for galleriet.

"Take back control" - ikke fra udlændingene eller EU, eller hvor det slogan nu har været brugt - men fra tech -giganterne!

18
28. september 2021 kl. 12:29

Tør nogen bygge videre på det tankeeksperiment?

... nemt ...

... Google sagsøger Datatilsynet og den danske stat for at forhindre dem i at konkurrere frit på det danske marked ...

... Dansk Industri m.fl. starter massive kampagner for at fortælle at vi taber konkurrencekraft når vi ikke længere kan benytte samme værktøjer som vores konkurrenter ( ... og ikke selv har evnet at udvikle konkurrencedygtige alternativer) ...

... Folkeskolen fortæller, at de sagtens kan benytte andre værktøjer, hvis de altså bare får flere penge til at ansætte nogen der kender til dem ...

... alle med Android telefoner stiller krav om at få byttet deres telefoner til noget med samme specs men uden Android ...

... alle med biler der styres med/af Android Auto forlanger at få byttet det hele til noget andet med samme specs. og uden beregning ...

... danske medier vil bringe helsides opslag hver dag i en uge og takker for at få annoncekronerne tilbage igen ...

17
28. september 2021 kl. 12:22

Det slipper de formentlig aldrig ud af. Det, der én gang er registreret, bliver nok ikke slettet uden videre. Og selv hvis det lukker ned en dag, kan kommunerne / staten vælge at købe data fra Google.

Hvis de da ikke allerede gør det.

15
28. september 2021 kl. 12:09

Altså i stedet for at fortælle, at det kan klade sig gøre at benytte Googles G suite for education, så ville det være mere nyttigt, hvis Datatilsynet og hr. Frank fortalte os, hvad der eksakt skal til, før anvendelse af pakken falder indenfor GDPR's regler. I stedet for at bede hver enkelt kommune, hver enkelt skole eller hver enkelt klasse om at genopfinde den dybe tallerken. Men det ville vel ikke være særlig godt, specielt ikke hvis "Lotte" og hendes forældre påklagede den anbefalede løsning - og vandt.

Det er jo desværre et generelt problem omkring GDPR, nemlig at man i stedet for at lave et håndgribeligt og håndfast reglement, der præcis beskriver hvad man må og hvad man ikke må, og hvad man skal gøre, så er det hele sovset ind i hyldemeter juridisk mumbo-jumbo, som det så er op til den enkelte aktør at forholde sig til (primært ud fra en CMA betragtning, ikke så meget fordi man har en ægte interesse i at passe på data) - tit og ofte med en giftig advokatregning til følge.

Tænk hvis de ti bud var blevet udfærdiget af jurister .......

13
28. september 2021 kl. 11:50

" Man har nemlig ikke lavet risikovurderinger for elevernes databeskyttelse, som er det noget af det første, man som dataansvarlig skal have styr på, inden Derfor har mange kommuner heller ikke indført foranstaltninger, der sikrer børnene mod profilering hos Google, og mod at deres data ikke ender i hænderne på for eksempel amerikanske efterretningstjenester (NSA)."

Så hvor bliver disse data så af? Lige nu, i dette sekund? Man må vel formode, at data i dette sekund stjæles fra vore børn, og sælges til diverse skumle formål, for det er jo selve Goggles forretningsmodel, ikke?

Og hvor er Datatilsynet (og vore politikere)? De griber ikke ind, så man må formode, at det sker med deres fulde velsignelse - at man i hvert fald ikke anser det for så alvorligt, at man gider gribe ind og stoppe ulovlighederne?

Gør det ikke Datatilsynet (og vore politikere) medskyldige? De ved, det foregår, men de vender det blinde øje til. De fraterniserer oven i købet gang på gang med de skyldige.

Hvis det havde været politiforretninger, ville man begynde at tænke i mulige forklaringer på, at man ikke griber ind - ville man ikke? Og hvilke tanker får man om det?

Har de ansvarlige i skoler og kommuner og regioner aldrig stille sig selv spørgsmålet: Hvorfor vil dette firma ledere alle disse gratis programmer til vores skoler? Hvad får de ud af det?

12
28. september 2021 kl. 10:43

Altså i stedet for at fortælle, at det kan klade sig gøre at benytte Googles G suite for education, så ville det være mere nyttigt, hvis Datatilsynet og hr. Frank fortalte os, hvad der eksakt skal til, før anvendelse af pakken falder indenfor GDPR's regler. I stedet for at bede hver enkelt kommune, hver enkelt skole eller hver enkelt klasse om at genopfinde den dybe tallerken. Men det ville vel ikke være særlig godt, specielt ikke hvis "Lotte" og hendes forældre påklagede den anbefalede løsning - og vandt.

10
28. september 2021 kl. 09:15

... tankeeksperiment:

"Datatilsynet vurderer, at det ikke er praktisk muligt at anvende Googles produkter i undervisningssektoren uden at overtræde GDPR. Googles produkter udgør en overhængende fare for brugernes/børnenes ret til privatliv. Brugen bør derfor stoppes."....

Tør nogen bygge videre på det tankeeksperiment?

9
28. september 2021 kl. 08:50

Der er jo intet teknisk juridisk forkert i det, som Datatilsynet (man må formode at manden udtaler sig officielt) siger her.

Problemet er bare at Kommunerne slet slet ikke (enkeltvis) er klædt på til at kunne det som beskrives, forstået på den måde, at de ikke hverken juridisk eller teknisk kan lave risiko, konsekvens vurderinger, gode nok kontrakter og kontraktuel opfølgning, der involverer en Multinational virksomhed og børns data. De er heller ikke enkeltvis kompetente til at lave en governance, både teknisk og procedure mæssigt, der ville kunne beskytte børnene.

Vi ser så i samme åndedrag, at konsekvensen for kommunerne at bryde persondataforordningen er ... ja ... en løftet pegefinger af administrativ art. Altså ikke en skid.

Så det er fra Datatilsynet lidt en gratis omgang, der bare lader stå til, og det er IMHO rigtig dårlig vejledning.

Men selvfølgelig.. hvis man er for besværlig som myndighed.. så får man skåret i budgetterne fra centralt hold.. hvilket så Datatilsynet har fået gjort. Så måske skulle man pege mere på 'politikerne' end på tilsynet.

// Jesper

8
28. september 2021 kl. 08:39

Lidt OT, og så dog.

Har Datatilsynet overvejet at se nærmere på Rambølls ulækre (og mig bekendt umulig for børnene nogensinde at slippe ud af) profileringsmaskine "Hjernen & hjertet"?

7
28. september 2021 kl. 08:34

Datatilsynet vælger at ignorere en væsentlig faktor i Schrems-2 dommen, nemligt at de amerikanske selskaber FRIVILLIGT giver de amerikanske myndigheder adgang til alle data.

De venter ikke på at blive præsenteret for en stævning, men udleverer data frivilligt. Dommen nævner specifikt de programmer hos efterretningstjenesten som de deltager i, f.eks. PRISM.

Det kunne være interessant at høre Frank forklare den beslutning.

6
28. september 2021 kl. 08:09

En mere provokerende måde at gøre dette på, ville være at lovgiver (Folketinget/EU) siger, vi dømmer som udgangspunkt alle Amerikanske Cloud leverandører ude på baggrund af CLOUD act. Så bliver det Cloud leverandørenes opgave at bevise at de har og kan designe en løsning som ikke strider mod GDPR.

Ja, jeg ved ikke, hvor frie hænder Datatilsynet har til at foretage disse vurderinger - om deres hænder er bundne af politikere, eller om de bare grundlæggende er alt for erhvervs- og techvenlige. Men det samlede indtryk, når jeg læser artiklen, er i hvert fald, at man forsørger at få det til at se ud som om, man er vældig skrap, og at nu gør en målrettet indsats, mens man i virkeligheden gør hvad man kan for fortsat at holde døren åben for Google - uanset om det er GDPR-mæssigt forsvarligt!!

Indtrykket er, at det vigtigste er, at konlussionen bare under ingen omstændigheder må blive, at Google må ud af skolerne.

DET MÅ BARE IKKE SKE !!!! - i Datatilsynets optik.

Og det kommer ikke til at ske!!! Vi er for meget vasalstat, Google har for mange indflydelsesrige personer på lønningslisten herhjemme. Lobbyistvældet træffer beslutningerne.

Frank brokker sig - meget afdæmpet - over, at kommunerne ikke allerede har gjort disse ting. Men hvorfor har Datatilsynet ikke i tide gjort sit arbejde, og forhindret i nuværende lovløse tilstande? Er det ikke deres opgave? Jeg sidder tilbage med indtrykket, at man faktisk ikke ønsker at forhindre lovovertrædelserne, men bare at sløre dem.

4
28. september 2021 kl. 07:54

er intet nyt... den har du allerede i kommunalfuldmagten.... så kan man jo så spørge sig selv hvor gode kommunerne har været til at administrere den og derefter spørge sig selv hvor gode de vil være til at administere elastikken i forhold til gdpr... jeg personligt er glad for at mine børn ikke er i skolealderen mere.

3
28. september 2021 kl. 07:52

Datatilsynet ved udmærket, at man ikke kan bruge Googles evt. løfter til noget som helst i denne sammenhæng

Det kan være, men man kan ikke dømme en virksomhed for noget før der er beviser, hverken kommune eller Google.

En mere provokerende måde at gøre dette på, ville være at lovgiver (Folketinget/EU) siger, vi dømmer som udgangspunkt alle Amerikanske Cloud leverandører ude på baggrund af CLOUD act. Så bliver det Cloud leverandørenes opgave at bevise at de har og kan designe en løsning som ikke strider mod GDPR.

2
28. september 2021 kl. 07:44

Hvis man så finder ud af, at oplysningerne alligevel er videregivet, må kommunen stoppe med at sende børnenes data til Google

Så har jeg bare et spørgsmål, hvordan skal kommunen finde ud af det og hvor mange kræfter skal de ligge i det arbejde?

De finder ikke ud af det med mindre at personer som Snowden fortæller om det eller at NSA mf./google dummer sig og selv lækker oplysningerne.

1
28. september 2021 kl. 07:25

.... ikke 5 flade ører for Datatilsyne. Alt, hvad man kan finde af kattelemme, bliver taget i brug for ikke at fornærme Google. Er man under politisk pres?

Datatilsynet ved udmærket, at man ikke kan bruge Googles evt. løfter til noget som helst i denne sammenhæng, og at ingen kommuner kan overskue den opgave, de her bliver pålagt. Det vil komme til at gå på bedste beskub som sædvanligt, og når det går galt - hvis vi overhovedet opdager det, for det er jo ikke nemt - så vil man/Datatilsynet udstøde et højlydt "Fy", og så vil man gå i tænkeboks i årevis med opsættende virkning - for den danske folkeskole har i den grad fedtet sig ind og ladet sig bestikke af Google, så ingen tør pille ved det herre-slave-forhold.

Hvor mange lækre møder, konferencer, spændende rejser, hyggelige golfture og lignende har Google mon sponseret/arrangeret for danske politikere, embedsmænd og andre involverede - eller i hvert fald deltaget i?

Hvordan foregår møder mellem Google og Datatilsynet?

Hvor mange gratis/næsten gratis tablets og påstået smarte læringsprogrammer har Google bestukket Danmark med? Hvad har vi i den forbindelse lovet dem - kan vi få kontrakterne frem i lyset?

Hvor er jeg bare efterhånden led ved, hvad der er foregået i Danmark - en vasalstat til Silicon Valley og Singularity University - de seneste 15 år. For nogle år tilbage var store grupper af topembedsmænd herhjemmefra på luksusrejser til "Dalen", herunder med møder med alle tech-koryfæerne. Der blev brugt mange millioner på det - plus det, som techgiganterne evt. trakterede med under besøgende.

Der var stor begejstring. Det var ikke forgæves.

Var Datatilsynet med?

I Norge har man endnu ikke deponeret hjerne og vilje i lommen på Google og Kurzweil, og hvad de nu hedder alle sammen. Det har vi herhjemme.

"Etter vår vurdering vil en behandling av personopplysninger i skolen ved bruk av Chromebook og Google sine øvrige tjenester innebære en høy risiko for de registrertes rettigheter og friheter, og vil følgelig kreve at det gjennomføres en vurdering av personvernkonsekvenser, jf. personvernforordningen artikkel 35."

"Kommunene har plikt til å sikre at alle løsninger de benytter til behandling av personopplysninger, har innebygd personvern og personvern som standardinnstilling. Dette betyr blant annet at løsningene skal være utviklet på en måte som gjør at det er praktisk mulig å ivareta personvernet til brukerne (på en enkel måte). I tillegg skal alle innstillinger i løsningen som kan påvirke personvernet være innstilt på det mest personvernvennlige alternativet. Kommunene må kunne demonstrere at kravet til innebygd personvern etterleves i løsninger de pålegger elevene å bruke."https://www.datatilsynet.no/personvern-pa-ulike-omrader/skole-barn-unge/bruk-av-google-chromebook-og-g-suite-for-education-og-andre-skytjenester-i-grunnskolen/krav-om-innebygget-personvern-og-personvern-som-standardinnstilling/

Der er intet enkelt ved de krav, der stilles op.

Det ser ikke ud til, at Norge - endnu - direkte har forbudt brugen. Men deres vurdering ser for mig ud til at være mindre fyldt med kattelemme som:

"På den her måde, udbedres eller forhindres den ulovlige tilstand fra om halvanden måned, og på den måde er dette det effektive middel. "

Jeg forstår ikke helt - får de halvanden måned til at starte vurderingen? I givet fald: Hvornår skal de så være færdige?

Og hvad sker der, hvis de vurderer, at der ikke er et problem? Hvor mange års sagsbehandling skal vi så igennem, og hvad vil Datatilsynet gøre?

Hvad er Datatilsynets tidshorisont for at få styr på børnenes private data? 5 år? 10 år?

Måske er det min fejl, men det lyder for mig som mange ruller elastik i metermål.

"Den høje risiko betyder, at den dataansvarlige skal lave en konsekvensanalyse, og behandlingen skal – hvis ikke den høje risiko kan nedbringes – vurderes hos Datatilsynet. Men ifølge Allan Frank er der måske en mulighed for, at kommunen kan beholde tillægsprogrammerne: »Man kan muligvis konfigurere sig ud af det, så man kan undgå, at data bliver brugt til markedsføring. Men jeg ved nu godt, at Google lever af det her. Så jeg tænker, at sandsynligheden for, at det kan gå galt, er relativt stor.«"

Ja, man kan også være heldig at snegle sig helskindet hjem i bil i en ordentlig brandert - men risikoen for, at det går galt, er forholdvis stor, og derfor er det forbudt - også af hensyn til andre mennesker. Men sådan tænker Datatilsynet ikke - næ nej, vi kan jo altid komme efter dem med et fuldtonet "Fy", når det går galt, så slipper vi for at skulle tage klart stilling. Og hvad mener Frank med "muligvis"? Har Datatilsynet ikke selv vurderet, om det kan lade sig gøre? For hvis det ikke kan, kan man jo ligeså godt slå det fast med det samme, ikke?

Kig til Norge:https://www.personvernbloggen.no/2021/09/27/data-er-det-nye-oljesolet/