Helsingørs borgmester angriber Datatilsynet: »Det er ikke i orden!«

4. august kl. 10:0023
Benedikte Kiær
Illustration: Thinkalike.
I et LinkedIn-opslag skriver Helsingørs borgmester, Benedikte Kiær (KF), at kommunen har leveret alt, hvad Datatilsynet har efterspurgt i forbindelse med sagen om kommunens brug af blandt andet Google Chromebooks. »Den behandling Helsingør Kommune – og dermed medarbejdere, skoleelever og forældre - har været udsat for denne sommer, er ikke i orden,« skriver hun.
Artiklen er ældre end 30 dage

Helsingørs borgmester Benedikte Kiær (KF) kritiserer i skarpe vendinger Datatilsynets ageren i Helsingør-sagen, der drejer sig om risikoen for, at kommunens skolebørns persondata i strid med GDPR overføres til Googles cloud.

Det skriver Computerworld på baggrund af et LinkedIn-opslag fra Benedikte Kiær.

Læs også: Ransomwaren Luna bekræfter ny cross-platform-trend blandt hackere

»Datatilsynets afgørelse sendte chokbølger gennem det kommunale Danmark. Bølgerne blev så høje, at Datatilsynet meldte ud, at der kun var tale om et Helsingør Kommune-problem, og efterfølgende bliver vi hængt ud som en kommune, der ikke har taget sagen alvorligt. Det er ikke i orden! For vi har leveret alt det, som Datatilsynet har efterspurgt,« skriver Benedikte Kiær blandt andet i opslaget.

Artiklen fortsætter efter annoncen

Læs hele Version2's gennemgang af Helsingør-sagen her, der 14. juli i år foreløbigt endte med et forbud til kommunen om at bruge Google Workspace for Education fra den 3. august i år. Benedikte Kiær forventer, at forbuddet bliver ophævet.

»Men jeg synes også det er alvorligt, at Datatilsynet hænger en kommune ud, ligesom jeg finder det kritisabelt, at Datatilsynet glemmer sin rådgivende rolle. Hvis tilsynet havde efterspurgt en konsekvensvurdering, så havde vi leveret det! Vi overvejer nu næste skridt, for den behandling Helsingør Kommune – og dermed medarbejdere, skoleelever og forældre - har været udsat for denne sommer, er ikke i orden,« slutter opslaget.

23 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
16
5. august kl. 10:20

Der er netop kommet en ny artikel på Version2 om et hemmeligt møde mellem Datatilsynet og landets kommuner omkring denne sag. Mødet er så hemmeligt, at jeg mødes med denne besked, når jeg forsøger at kommentere på det:

"Debatten Din e-mail skal bekræftes inden du kan deltage i debatten."

Så må jeg jo forsøge her i stedet, for det møde skal der altså kommenteres rasende på:

Hemmeligt? Hvad i alverden er meningen. Det viser da til fulde, hvordan BigTech har taget kvælertag på vores demokrati, og har vore beslutningstagere i deres lommer. Det møde er jo ikke militærhemmeligheder, så hvordan kan man tillade sig at mørklægge det?

Mon der skrives et referat? Bliver det mon mørklagt med vores korrupte mørklægningslov?

Er repræsentanter for Google mon med til mødet? Er det mon Google, som har krævet, at mødet mørklægges? Forretningshemmeligheder?

Hvornår går det op for alle, at vi er blevet overtaget og voldtaget af BigTech - med vore egne beslutningstagere som (bestukne?) villige og nyttige idioter, som nu ihærdigt modarbejder vore egne tilsynsmyndigheder.

Der må altså snart rulle hoveder - der er ingen løsning, så længe de samme nyttige idioter sidder med ved bordet.

11
4. august kl. 16:12

Det er pudsigt som retssikkerhed for Konservative ikke gælder for kommunens børn. Derimod fremstilles de af borgmesteren som ofre for Datatilsynet.

6
4. august kl. 13:07

Fra artikel på kommunen.dk:

"- Det vi generelt prøver at sige til kommunerne og helt konkret til Helsingør i den konkrete sag, er, at inden man går igang med behandle data, og det gælder også hvis en services ændrer sig, skal man foretage en risikovurdering, og hvis resultatet af den vurdering er høj, så skal man lave en konsekvensanalyse. Hvis der så er udfordringer, må de skrive til Datatilsynet og udlægge, hvordan man vil forsøge at løse den udfordring. Det er det, der mangler i Helsingørs sag. De mangler at fortælle os, hvordan de vil undgå at de her ting sker. Det kan man reelt kun gøre, hvis man laver en konsekvensanalyse, som også er et minimumskrav hvis risikoen for børnenes rettigheder er høj. Allan Frank påpeger, at nogle af de ting, som Datatilsynet nu peger på, skulle kommunerne have forholdt sig til tidligere, både da man indgik kontrakten med leverandøren, men særligt alle de gange leverandøren laver om i den service, man benytter. ""- Det er som om, at man undervejs ikke er stoppet op og har genovervejet brugen af servicen. Uanset at man har købt givet produkt, skal man så længe man vælger at bruge det, være i stand til at dokumentere, at man kan bruge det indenfor reglerne."https://www.kommunen.dk/artikel/afgoerelse-hos-datatilsyn-spredte-kortvarig-panik-og-langsigtet-bekymring

Tænk, er det virkeligt nødvendigt, at nogen skal skære ud i pap for Helsingør (og andre kommuner), at love og regler skal overholdes hele tiden, også når aftalerne ændrer sig? Det virker som bevidst spillen dum: "Den går nok..."

Har Helsingør simpelthen slet ikke allieret sig med kommunens jurister, inden man gik i fælden og underskrev nye aftaler? Eller har man netop ladet Google diktere?

I mine øjne lyder det af nærmest forbryderisk dumhed.

7
4. august kl. 13:22

Se nu i øjnene, at Helsingør er udvalgt som syndebuk. Problemstillingerne er de samme i stort set alle kommuner, der benytter en af de tre US-udbydere af disse services. Og Helsingør kommune er hverken fagligt ringere stillet eller - dummere end de øvrige primærkommuner.

13
4. august kl. 16:19

hvor ved du det fra? at DT har en syndebuk? ingen kommuner har fundet løsningen endnu. alle de andre ligger i bunken hos Datatilsynet. Helsingør opfører sig arrogant overfor en myndighed der gør sit arbekde (endelig :-)

8
4. august kl. 13:29

Se nu i øjnene, at Helsingør er udvalgt som syndebuk.

De har i mine øjne selv valgt rollen som syndebuk. En forælder anmeldte dem (heldigvis, tak for det) til Datatilsynet, som så er nødt til at reagere. De har udmærket vidst, at de var på gyngende grund. De valgte helt bevidst at lade som ingenting. 100 % selvforskyldt ulykke!

5
4. august kl. 12:55

Skal vi forvente, at Helsingør hyrer advokater for at sagsøge Datatilsynet? Datatilsynet har jo angiveligt fremsat injurier. Eller kan man i kommunen se, at det slipper man ikke afsted med?

Det ser nu ud som om, kommunens strategi er at angribe. Alene de 1000 siders omsvøb, man kunne fremskaffe på ingen tid, ligner et tæppebombardement. Skræm og drukn fjenden.

4
4. august kl. 12:33

"efterfølgende bliver vi hængt ud som en kommune, der ikke har taget sagen alvorligt. "

Det er fordi, I er en kommune, der ikke har taget sagen alvorligt.

I har tvært imod ageret Googles allierede mod Datatilsynet, og spillet Googles nyttige idioter.

I har jo selv vurderet, at I ikke kan garantere for, hvad der sker med data, så hvordan kan det komme bag på jer, at løsningen så ikke er lovlig? Troede I, at I nok kunne få tilgivelse for/dispensation til at bryde reglerne - oven i købet efter at I har brudt dem?

Gå hjem og læs jeres Shoshana Zuboff! Det burde være pligtlæsning for alle IT-beslutningstagere, så vi andre kan slippe for at bruge tid på gang på gang på gang at skulle forklare jer, hvorfor Google ikke skal have adgang til børnenes (eller nogen andres) data, og hvorfor I ikke skal bruge Google som juridiske konsulenter (hvis I har gjort det). Det er simpelthen for dumt.

I kaster et skummelt lys på jer selv, for så dumme kan ingen være, uden at det giver mistanke om, at der stikker et eller andet under.

Jeg vil gerne have en dybdeborende analyse af Helsingør Kommunes forhold til Google, for det virker lidt for "kærligt".

17
5. august kl. 10:55

Hej Anne-Marie Hvorfor mener du, at Shoshana Zuboff burde være pligtlæsning? – det er ikke alle, som er bekendte med hende ;)

18
5. august kl. 11:03

det er ikke alle, som er bekendte med hende ;)

Nej, det er netop derfor, det burde være pligtlæsning, Jens Jensen (jeg antager, at det er et pseudonym oprettet til lejligheden?). De burde være bekendte med hende.

Shoshana Zuboff: "Overvågningskapitalismens tidsalder" Når man har læst den (den er lang, men spændende), så ved man, hvorfor vi ikke kan lade techgiganter som Google komme alt for langt ind i vores samfund, og da slet ikke ind i vore børns livsverden og privatliv, for det er organiserede forbrydere. Der er alt for mange magtfulde beslutningstagere, som endnu ikke har forstået det.

Læs den!

20
5. august kl. 11:40

Tak for svaret Anne-Marie

Nej, det er ikke oprettet til lejligheden. Navnet Jens Jensen er nu ikke så usædvanligt, som man skulle tro. Ifølge dansk statisik, så hedder ca. 3.000 mænd det (https://www.dst.dk/da/Statistik/emner/borgere/navne/HvorMange ) – hvilket faktisk nogenlunde er det samme, som alene hedder "Anne-Marie" til fornavn.

Det er jo altid rart, at udvide sin horisont. Jeg læste for et par år siden en kommentar her inde, hvor "Mørkelygten" (af Jesper Tynell) blev anbefalet – det var både god og skræmmende læsning. Jeg vil da lige se om den bog, som du anbefaler vil fange min interesse :-)

21
5. august kl. 11:45

Ok, Jens Jensen. Beklager min mistanke.

Ja, jeg håber, at du vil finde Zuboff lige så fantastisk spændende og vigtig, som jeg og millioner andre har gjort. Hun afdækker præcist og yderst veldokumenteret, hvad det er Google er i gang med. Det firma er ikke til at stole på. Nogen sinde!

3
4. august kl. 11:58

Man kan vel med rette spørge Benedikte Kiær, hvorfor kommunen har brugt så meget energi på, at argumentere for hvorfor deres løsning ikke er ulovlig, på trods af den selv på overfladen fremstår rigid og i modstrid med gældendende regler (hvilket de af flere omgange bl.a. af tilsynet er blevet fortalt). Havde de brugt samme energi på at stable en ny løsning på benene, som de så kunne dele erfaringerne omkring med de øvrige kommuner, som fra start er udarbejdet efter GDPR m.v., så var de måske allerede i mål.

Men det er måske bedre at spendere millioner på at argumentere for at beholde en løsning, som der blev set skeptisk på fra start af, end at bruge de samme millioner på at komme videre med en ny løsning?

2
4. august kl. 11:44

Den måde borgmesteren forsøger at ændre narativ sender tankerne til det amerikanske valg, hvor man forsøger at undergrave sandheden. Datatilsynet er en myndighed, der udfører sit arbejde. Helsingør kommune udstiller sig selv, det er ikke Datatilsynet der hænger kommunen ud.

1
4. august kl. 11:13

Som jeg har forstået Schrems II-dommen og de efterfølgende afgørelser i bl.a. Frankrig samt Datatilsynets vejledning på baggrund af disse, så er problemstillingen ret simpel:

Ingen personhenførbare data må overføres til amerikanskejede virksomheder, medmindre man har krypteret data lokalt inden overførslen.

Så det er grundliggende mig helt uforståeligt, at KL og kommunerne forsøger alle mulige juridiske krumspring for at fortsætte med at benytte en amerikansk cloud-løsning - og derefter beskylder Datatilsynet for urimelig behandling.

Schrems II-dommen faldt i sensommeren 2020, så de har jo haft næsten to år til at finde en løsning. Men det lader til, at man har brugt alt tiden på, at skrive hvorfor man ikke mener, at det lige gælder for dem.

22
5. august kl. 18:59

Ingen personhenførbare data må overføres til amerikanskejede virksomheder, medmindre man har krypteret data lokalt inden overførslen.

Det stopper jo stort set alt brug af cloud services ... farvel moderne infrastruktur :'-( Jeg gætter på at det max vil være 10% af virksomhederne i DK (offentlige som private) der overholder Schrems II dommen, hvis den er som du beskriver. Du har jo ingen mulighed for at kunne autentikere med fx. AzureAD.

23
5. august kl. 20:21

Ja ... Schrems II-dommen gjorde med et snuptag USA til et usikkert land og gjorde Privacy Shield ugyldig.

Det har været debatteret hyppigt på Version 2, men det lader ikke til at beslutningslagene i virksomheder og det offentlige læser med her.

Datatilsynet har lavet denne Q&A:https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2020/aug/qandas-om-konsekvenserne-af-schrems-ii-dommen

Den er udgivet d. 10.08.2020 - og der står bl.a.:

"Hvis dine undersøgelser viser, at du ikke kan sikre et tilstrækkeligt beskyttelsesniveau ved brug af overførselsværktøjerne i GDPR – og undtagelserne i artikel 49 heller ikke kan anvendes - skal du stoppe med at overføre oplysninger til USA."

Supplementary Meassures, som der nævnes som et krav for overførsel til USA har været prøvet ved den franske forvaltningsdomstol i april 2021.

Version 2 skrev om det d. 2. april 2021:https://www.version2.dk/artikel/vigtig-schrems-ii-afgoerelse-i-frankrig-blaastempler-omstridt-aws-garanti

I artiklen står der: "Så selvom retten medgav, at AWS luxemburgske datterselskab kunne blive tvunget til at udlevere data til de amerikanske myndigheder, så var der udarbejdet en teknisk løsning, der umuliggjorde udleveringen.

Data er nemlig ikke bare krypterede. Krypteringsnøglen bliver opbevaret hos en betroet fransk tredjepart og ikke af amerikanske AWS. Dermed er døren til data ikke bare låst - nøglen er også gemt væk, og det vurderede retten var vigtigt i denne sammenhæng."

Og selvom EU og USA har indgået en ny principaftale, har Datatilsynet meldt ud, at den endnu ikke vil kunne bruges i praksis:https://www.datatilsynet.dk/internationalt/internationalt-nyt/2022/mar/ny-aftale-om-udveksling-af-personoplysninger-mellem-eu-og-usa

Datatilsynet har i øvrigt udarbejdet en vejledning om cloud-løsninger:https://www.datatilsynet.dk/Media/637824109172292652/Vejledning%20om%20cloud.pdf

Siderne 19-31 handler om overførsler til tredje-lande generelt og USA specielt. Her findes flere eksempler, som belyser, hvordan man kan benytte tjenester eller ej.

Der står bl.a.: "Idet en dansk organisation normalt vil behandle oplysninger om non-USP’s, er det derfor Datatilsynets umiddelbare opfattelse, at en dansk organisations brug af cloudleverandører i USA normalt vil være inden for anvendelsesområdet af FISA 702 – og dermed omfattet af såkaldt ”problematisk” lovgivning. Du har herefter to muligheder, hvis du fortsat ønsker at benytte den pågældende cloudleve- randør og dermed overføre personoplysninger til USA. Du skal enten (i) træffe supplerende foranstaltninger, der imødegår denne problematiske lovgivning, eller (ii) vurdere, om den på- gældende lovgivning vil blive anvendt i praksis med hensyn til de oplysninger, du ønsker at overføre til leverandøren."

Derefter en lang tekst, der viser, hvor vanskeligt det er at manøvrere i ovennævnte punkt ii i forhold til USA, da FISA 702 pålægger virksomhederne at bevare og udlevere data til de amerikanske myndigheder.

Vi skal selvfølgeligt se flere afgørelser, for at kende grænselandet, men det tegner ikke godt for fortsat brug. Og det kan nok vise sig mere vanskeligt/tidskrævende/dyrt at forsøge at dokumentere et fortsat brug - og med usikkerheden om en modstridende afgørelse og eventuel bod hængende over hovedet. Man kan måske endda forestille sig, at det vil være billigere at finde alternative løsninger, europæiske leverandører eller måske ligefrem en hjemtagelse af cloud-løsinger.

9
4. august kl. 13:30

God pointe. Lad os smide et sådanne system i udbud og få ATEA/Netcompany/M.fl. til at udvikle et custom system der både er on time og on budget...

Eller?

10
4. august kl. 13:47

God pointe. Lad os smide et sådanne system i udbud og få ATEA/Netcompany/M.fl. til at udvikle et custom system der både er on time og on budget...

Eller?

Ellers danner nogle af kommunerne et projekt under OS2 (https://os2.eu) hvor de sammen med en eller flere leverandører bygger en PoC på opensource komponenter.

14
5. august kl. 03:07

Ellers danner nogle af kommunerne et projekt under OS2 (https://os2.eu) hvor de sammen med en eller flere leverandører bygger en PoC på opensource komponenter.

Præcis, det burde ikke være svært i og med at der allerede findes PoC derude til skolebrug.https://www.opensourcefeed.org/1-it-at-school-linux-18.04/https://en.wikipedia.org/wiki/KITE_Kerala#IT@School_GNU/LinuxDet er bare om at tilpasse det til danske forhold.

Det er bare om at gå i gang og huske at gøre det efter Public Money, Public Code principperne.https://download.fsfe.org/campaigns/pmpc/PMPC-Modernising-with-Free-Software.pdf

15
5. august kl. 09:21

Det er bare om at gå i gang og huske at gøre det efter Public Money, Public Code principperne.https://download.fsfe.org/campaigns/pmpc/PMPC-Modernising-with-Free-Software.pdf

Sådan er det vist med de fleste af OS2's projekter. Nogle kræver at en enkelte kommune smider nogle penge i kassen til videreudvikling og vedligeholdelse for at kunne være med, men det er jo sådan set også ret meget fair. Penge der giver værdi til det specifikke open source projekt.