Eksperter med skarp kritik af 18 Chromebook-kommuner: »Vi har digitaliseret med hovedet under armen«
Midt i Helsingør-dramaet, undersøger Datatilsynet lige nu 20 andre kommuners brug af de samme værktøjer fra Google i folkeskolerne, nemlig Chromebooks og Google Workspace for Education.
Ifølge Datatilsynet kommer der afgørelser i sagerne i løbet af de næste par måneder, og det kan komme til at se meget grimt ud. I starten af året sendte tilsynet en række spørgsmål til kommunerne omkring Chromebooks og deres arbejde med børnenes databeskyttelse – eksempelvis, om de har lavet en konsekvensanalyse.
Version2 har fået aktindsigt i svarene, og ifølge Jesper Løffler Nielsen, advokat hos Focus Advokater, er de ret overfladiske:
»Der er overraskende mange, som har lavet meget, meget overfladiske og tangerende til useriøse besvarelser,« fortæller han og kritiserer over en bred kam det materiale, kommunerne leverer til Datatilsynet:
»Jeg har forståelse for, at en kommune har mange opgaver og få ressourcer, men lige præcis valg af system til at behandle oplysninger, herunder potentielt fortrolige og følsomme, om folkeskoleelever, ville jeg have forventet, at der blev lagt betydelige ressourcer i at behandle meget grundigt, også fra et GDPR-perspektiv. At det er så varierende, hvad de svarer, og at niveauet for besvarelserne generelt er så lavt – det kommer faktisk lidt bag på mig.«
I slutningen af 2019 klagede Jesper Graugaard til Datatilsynet over Helsingør Kommune, som havde oprettet en Google-konto til hans søn uden forældresamtykke. Senere endte sønnens oplysninger utilsigtet på videoplatformen Youtube.
Men Helsingør er langt fra den eneste kommune, der bruger Googles tjenester i undervisningen. Derfor valgte Datatilsynet i 2020 at starte sager af egen drift for at undersøge flere kommuners brug af Chromebooks og programmet Google Workspace for Education. Det har vist sig at sjusk med børnenes persondata er et generelt problem.
I vinteren 2021 afslørede Version2 nemlig, at 24 ud af 45 Google-kommuner mangler at lave en risikovurdering for børnenes databeskyttelse. Det samme gælder for mindst 13 kommuner, der som alternativ bruger Microsofts Office 365 med datalagring i Onedrive.
Datatilsynets første afgørelse i Helsingørsagen kom i september 2021, hvor man gav kommunen en frist på omkring to måneder til at få lavet en risikovurdering (og en konsekvensanalyse hvis nødvendigt) som dokumentation for en lovlig behandling af børnenes persondata.
Helsingør kom i mål med en risikovurdering, men mente ikke, der var behov for en konsekvensanalyse, og fortsatte med at bruge Chromebooks i folkeskolerne.
Den 14. juli i år offentliggjorde Datatilsynet sin anden afgørelse i sagen med et påbud til Helsingør Kommune om at suspendere brugen af Googles værktøj i skolerne. Beskeden har ikke mindst skabt panik i Helsingør, men også i flere andre Google-kommuner, Datatilsynet stadig undersøger.
Den 3. august meldte Helsingør Kommune ud, at man har sendt en konsekvensanalyse til Datatilsynet som bevis på en lovlig behandling, og derfor har man tænkt sig at fortsætte med Chromebooks, når børnene starter i skole den 8. august.
Dog trak Helsingør Kommune delvist i land dagen før skolestart, og derfor er det kun lærerne, der i den første skoleuge efter sommerferien bruger Chromebooks. Børnenes enheder må blive derhjemme.
Vidt forskellige tilgange
Selvom Datatilsynet lige nu undersøger 20 kommuner, har Furesø i mellemtiden skiftet Google ud med Microsoft i skolerne. Derfor har det ikke været relevant for kommunen at svare på Datatilsynets spørgsmål, og de fremgår ikke af statistikken herunder. Det gør Aarhus heller ikke, da Datatilsynet ikke har sendt spørgsmål til kommunen.
Svarene fra de resterende 18 kommuner er fra foråret, men alle på nær Hørsholm Kommune, der endnu ikke er vendt tilbage på Version2s henvendelse, har forrige fredag faktatjekket oplysningerne i diagrammet og skemaet i dette afsnit.
De kommuner, som endnu ikke har lavet en dokumenteret risikovurdering er Skanderborg, som kun bruger Chromebooks og ikke Workspace, og Odder, som kun bruger Workspace, men ikke Chromebooks.
Også Faxe mangler at dokumentere risici, for selvom man ifølge kommunens svar risikovurderer løbende, har man ikke kunnet aflevere en samlet risikovurdering, da Datatilsynet efterspurgte den.
Det er ikke til at vide, hvordan det står til i Langeland, for da Datatilsynet spørger, om man har lavet en risikovurdering og/eller en konsekvensanalyse, svarer kommunens it-sikkerhedskoordinator »Ikke hvad jeg ved af«. Kommunen afviser at svare på samme spørgsmål overfor Version2.
Skemaet herunder viser, hvordan kommunerne på forskellig vis har vurderet Googles løsning, og hvad det kræver at lade folkeskoleelever bruge den.
Skuffede eksperter
Ifølge Ayo Næsborg-Andersen, lektor i persondataret og menneskerettigheder ved Syddansk Universitet, viser dokumentationen desværre en tendens, hun havde forventet:
»Jeg ville ønske, jeg blev overrasket. Men det blev jeg ikke, for det passer meget godt med mit indtryk, som er, at der er enormt stor forskel på, hvor gode de forskellige kommuner er til at håndtere de her problemstillinger,« siger hun.
Med så forskellige vurderinger, kan de ikke alle sammen have ret, påpeger lektoren. Der må være nogen, der ikke har styr på compliance, og det er både skidt for borgerne, der ligger under for en dårligere databeskyttelse. Men det kan også gå ud over tilliden til kommunerne, som tilmed risikerer bøder fra Datatilsynet.
Også Jesper Løffler Nielsen er skuffet over, hvordan det står til i Chromebook-kommunerne:
»Jeg får bekræftet nogle fordomme om, hvordan det står til ude i kommunerne, og så lykkedes det mig alligevel at blive negativt overrasket over, hvor lidt seriøst nogle kommuner tager det her, selv når der er blevet en sag ud af det,« siger han.
Blandt andet Langeland skiller sig ud. I besvarelsen til Datatilsynet kan kommunen hverken svare på, om man mener, der kan ske tredjelandsoverførsler af børnenes persondata, eller om man har et overførselsgrundlag.
»Jeg synes, det er iøjnefaldende, at de (Langeland, red.) har fået et brev fra Datatilsynet med nogle spørgsmål, som relaterer sig til en sag, der har kørt i et stykke tid. Alligevel svarer de useriøst overfladisk på spørgsmålene,« siger Jesper Løffler Nielsen og fortsætter:
»For eksempel ‘ikke hvad jeg ved af’. Enten er der, eller også er der ikke. Det synes jeg er et meget useriøst svar på et spørgsmål fra en myndighed,« siger han og henviser til kommunens svar på Datatilsynets spørgsmål om risikovurderingen.
Version2 har forelagt kritikken for Langeland Kommune, der afviser at kommentere.
Mangler samarbejde
Begge eksperter håber, kommunerne vil samarbejde mere fremover, for »der er enorm stor forskel på, hvad de har gjort,« understreger Ayo Næsborg-Andersen og tilføjer:
»Der er simpelthen ikke nogen grund til, at hver kommune skal sidde og opfinde den dybe tallerken. Det er et ressourcespild af en anden verden. Det er godt nok spild af embedsmandstimer.«
Ved at samarbejde får de også styrket deres forhandlingsposition overfor Google. Det har eksempelvis undervisningsministeriet i Holland gjort ved at hyre konsulenter til at risikovurdere, konsekvensanalysere og forhandle med de amerikanske tech-giganter på vegne af skolevæsenet. Myndigheden har fået lavet en konsekvensanalyse for brugen af Googles produkter i skolerne og kom frem til, at det ikke kan gøres lovligt med en standardaftale.
Det kunne Danmark godt lære noget af, påpeger Jesper Løffler Nielsen, for han synes det er »helt vildt«, når 18 kommuner, der bruger samme værktøj baseret på en standardaftale med Google, kan have så forskellige opfattelser af, om der sker tredjelandsoverførsler af persondata, og om det er nødvendigt at tilkøbe ‘plus’-pakken af Google Workspace for Education for at sikre tilstrækkelig privatlivsbeskyttelse.
Et samarbejde er dog også på vej, fortalte Pia Færch, kontorchef for Digitalisering og Teknologi hos Kommunernes Landsforening (KL), til Version2 i forrige uge, efter Chromebook-kommunerne havde holdt møde med Datatilsynet og KL. Det blev gentaget i sidste uge, efter Datatilsynet fortalte, at man fastholder forbuddet i sagen.
Sådan et samarbejde burde KL have foreslået kommunerne fra starten, mener Ayo Næsborg-Andersen. Men i forrige uge vurderede Pia Færch, at der ikke tidligere har været behov for et kommunalt samarbejde om Googles værktøj, fordi »det har ikke været Datatilsynets oplæg, at der var brug for en samlet, central vurdering«.
Det svar overrasker dog lektoren:
»Så er de blinde. Det er helt absurd,« siger hun og fortsætter:
»Det passer jo ikke, for alle, der har lyttet til, hvad der foregår på databeskyttelsesområdet ved, at det her har kommunerne svært ved, og KL ved det også, for det har de råbt og skreget om.«
Hun henviser til, at KL for flere år siden sendte en liste over kommunale GDPR-benspænd til Datatilsynet, herunder at det er et ressourcespild, når de selv skal løse GDPR-problematikker. Dengang opfordrede Datatilsynet kommunerne til at gå sammen om arbejdet.
»Groft sagt virker det som om, at KL’s mission siden GDPR trådte i kraft har været at få afskaffet GDPR, fordi kommunerne har svært ved at håndtere det. Så det passer simpelthen ikke, at de ikke har vidst det.«
Version2 har forelagt kritikken for KL og Pia Færch, der afviser at kommentere.
Hovedet under armen
Selvom kommunerne har arbejdet vidt forskelligt med GDPR-opgaven, er 13 af dem dog enige om, at der ikke har været behov for en konsekvensanalyse. Flere fortæller dog, at de har analyser på vej, men kan ikke give et tidsperspektiv på, hvornår de er færdige.
Ifølge Ayo Næsborg-Andersen burde kommunerne have kigget mod eksempelvis Holland og allerede have lavet analysen – især når der er tale om børn, som i GDPR defineres som ‘sårbare registrerede’.
Det er positivt, at de nu går sammen om opgaven, mener hun, for krisen, der er opstået på baggrund af Helsingørafgørelsen taget i betragtning, så virker det ikke til, at skolerne kan fungere uden Chromebooks.
»Sagen illustrerer meget godt, hvor afhængige vi er af amerikanske virksomheder. Den illustrerer også meget godt, at vi har digitaliseret med hovedet under armen. Ej, hvor har vi ikke tænkt os om – man har bare digitaliseret, fordi det var effektivt, og man har ikke overvejet de større konsekvenser ved at gøre det,« understreger hun.
Version2 har forelagt eksperternes kritik for alle kommunerne, der enten ikke er vendt tilbage eller afviser at svare på kritikken.
Version2 har forsøgt at få aktindsigt i kommunernes risikovurderinger, men Datatilsynet har givet afslag på næsten alle anmodninger efter ønske fra kommunerne, da dokumenterne er interne. Her henviser man til en betænkning fra Justitsministeriet, der vurderer, at et dokument ikke mister sin interne værdi, når det udleveres i en tilsynssag.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
