Datatilsynet strammer nettet om Chromebooks: »Jeg tror ikke, det her ender lykkeligt for Helsingør Kommune«
Da Datatilsynet i sommers kom med et forbud mod Chromebooks i Helsingørsagen, så det sort ud for de populære Google-computeres fremtid i kommunen.
Panikken spredte sig, og Helsingør fremtryllede hurtigt et løsningsforslag i form af en konsekvensanalyse, som man sendte til Datatilsynet den 3. august.
Derfor har tilsynsmyndighedens sagsbehandler Allan Frank de seneste par under undersøgt det 1700-siders lange dokument for at vurdere, om indholdet er nok til at overbevise ham om, at Googles computere kan køre lovligt i folkeskolerne.
I går kom meldingen så, at Datatilsynet fastholder forbuddet, og det betyder, at kommunen igen skal i arbejdstøjet, vurderer Ayo Næsborg-Andersen, lektor i persondataret og menneskerettigheder ved Syddansk Universitet:
»Helsingør Kommune er stort set blevet sendt tilbage til skrivebordet. Men det, Datatilsynet også siger, er, at nu vil de gerne have Kommunernes Landsforening ind i kampen. Datatilsynet vil tage et møde med Helsingør for at få klarlagt, hvad der skal ske,« siger hun.
Kommunen behøver ikke smide pc’erne i skraldespanden lige med det samme, men ifølge afgørelsen er der både noget galt med kommunens risikovurdering og konsekvensanalyse, understreger lektoren:
»Det, Datatilsynet helt konkret siger, er, at den konsekvensanalyse, Helsingør har lavet, ikke er god nok. Når den ikke er god nok, så kan de ikke garantere sikkerheden, og derfor må de ikke bruge Chromebooks.«
Ender ikke lykkeligt
Selvom sagen ikke er endeligt afsluttet endnu, så kan Jesper Langemark, advokat hos Bird & Bird, ikke forestille sig, at Chromebooks kommer tilbage i Helsingørs skoler, efter kommunen trak stikket den 8. august.
»Jeg tror ikke, det her ender lykkeligt for Helsingør Kommune, medmindre Google gør et eller andet drastisk. Og det tror jeg ikke, Google kommer til at gøre på baggrund af en afgørelse om Helsingør Kommune,« siger han og tilføjer:
»Uanset hvor meget Helsingør gerne vil, så tror jeg, der er nogle ting, som de ikke kan reparere på. De kan godt lave en ny konsekvensanalyse, altså en udvidet risikovurdering, men de kan ikke ændre på, at Google har sine standardvilkår og i visse tilfælde indsamler og behandler oplysninger til egne formål.«
Læs også: Google idømmes 300 millioner kroner i bøde: Indsamlede lokationsdata uden brugernes vidende
En mulig løsning kan være, hvis Helsingør kan få Google til at ændre databehandleraftalen, så der står, at Google udelukkende behandler oplysninger i henhold til kommunens instruks – uden undtagelser. Det går ikke, at Google forbeholder sig retten til at behandle oplysningerne selvstændigt, vurderer advokaten, og så skal der være en garanti for, at der ikke sker nogle ulovlige tredjelandsoverførsler:
»De skal sige, at de kun bruger oplysninger til de formål, Google er blevet instrueret i af kommunerne, det vil sige til undervisningsbrug, og der ikke er nogle ulovlige overførsler til usikre tredjelande af nogen som helst art i nogen som helst sammenhænge – så ville det nok kunne føre til en ændret vurdering hos Datatilsynet, men det tror jeg bare ikke på kommer til at ske.«
Mangelfuld risikovurdering og konsekvensanalyse
Selvom det ser svært ud på sigt, så opfordrer Datatilsynet til et kommunalt samarbejde – gerne med Kommunernes landsforening og relevante ministerier for at få løst udfordringerne.
Det er nemlig ikke noget, den enkelte kommune kan klare alene, og det stemmer overens med Helsingørs hidtidige compliance-indsats. I afgørelsen skriver tilsynsmyndigheden, at kommunen fortsat mangler at identificere risici for børnenes databeskyttelse, selvom kommunen mener, man er kommet i mål.
»De har ikke vurderet alle risici – heller ikke for dem, de selv har beskrevet. De har kun delvist beskrevet, hvilke sikkerhedsforanstaltninger, der er nødvendigt, og så bliver de også kritiseret for, at databeskyttelsesrådgiverens bemærkninger ikke er med,« forklarer Ayo Næsborg-Andersen, og tilføjer, at det således er svært at lave en tilfredsstillende konsekvensanalyse, der også halter:
»Der er mange ting galt med den konsekvensanalyse. De har identificeret nogle risici, men de har ikke analyseret dem nærmere, og de har heller ikke fundet ud af, hvordan man kan modvirke dem.«
Andre kommuner står for skud
Afgørelsen har ikke kun betydning for Helsingør Kommune. Lige nu undersøger Datatilsynet nemlig 20 andre kommuner for deres brug af samme værktøj, og ifølge Ayo Næsborg-Andersen skal de nu også kigge nærmere på deres løsning:
»Her og nu betyder den ikke, at de skal lukke for deres Chromebooks, for det har de ikke fået et forbud mod. Men de skal også tilbage til skrivebordet.«
Jesper Langemark vurderer dog, at det formentligt bliver lige så svært for de andre kommuner at løse udfordringen med Chromebooks, som det har været – og fortsat er – for Helsingør.
»Selvom man teoretisk kan forestille sig, at andre kommuner kan lave et bedre hjemmearbejde og tage ved lære af den her afgørelse, så tror jeg, der er en stor risiko for, vi ender det samme sted.«
»Hvis Helsingør Kommune har et problem i forhold til at bruge Googles Chromebooks, så tror jeg, det er meget sandsynligt, at alle andre kommuner også har.«

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.