Kommuner sylter risikovurderinger og sender blindt børne-data til Microsoft

Claus det er rigtigt. Min pointe er, at det gjorde de heller ikke før (papirstilene) og besynderligt nok interesserer det vist ikke nogen af V2 debattørerne sønderligt.

Papirstilene måtte kommunen/skolen heller ikke bare smække op på nærmeste plakatsøjle.

Men nu handler det om risikovurdering, og det giver sig selv at der er mindre risiko for, at der sidder nogen i en bunker i USA, og laver analyse på de papirstile, som står i en kasse i skolens kælder.

Det er jo digitaliseringen, som gør at den slags snageri kan automatiseres, hvor det kræver en helt anderledes fysisk indsats at gøre det samme med papir.

Der er mange ting, som tidligere har begrænset sig selv, simpelthen fordi det har krævet meget reel arbejdskraft at udføre. Efter digitalisering kan man sætte en maskine til at gennemtrawle det samme på en time, som en hær før skulle bruge et år på.

Det giver ikke rigtig nogen mening at sammenligne den beskyttelse, som skal lægges for dagen for papirstile, med den der skal være for elektroniske, placeret i et datacenter er eller andet sted.

Hej Jesper.

Du har naturligvis ret og på nuværende tidspunkt, hvor kommunerne har gravet sig ned i et hul, så bliver det svært. Man kan håbe at der i kommunerne sidder folk som er villige til at indrømme deres fejl og til at bringe sagerne i orden.

Hvis EU vælger at følge deres eget Charter, så bliver der ikke lavet en ny aftale og så tvinges kommunerne til at stoppe snyderiet. Skulle der komme en ny aftale og efterfølgende Schrems III, så vil det være direkte tåbeligt for en kommune at hoppe med på endnu et par års snyderi. Uansvarligt, mener jeg.

Lad os håbe at 2021 bliver året hvor alle vælger at respektere borgernes, ikke mindst børnenes, rettigheder og får bragt data i sikkerhed i EU. Helst frivilligt.

Forening? Ja, måske. Lad os se om ikke Dataret.dk kan udvikle sig i den retning.

Vi står overfor en slags paradigme-skifte, af de grunde du påpeger, men hvis ikke de amerikanske leverandører vil tilpasse sig, så er der jo ingen anden vej. Og måske er springet til nye økosystemer ikke så stort som man frygter. Nogen skal jo bare gå foran.

Det man bare skal huske på er, at det ikke udelukkende er en teknisk beslutning at skifte - fra fx GSuite til etellerandet alternativ. Teknikken er faktisk den mindste udfordring.

Man er nødt til at overbevise sin kommune om, at

1. det ikke er dyrere med den nye platform (TCO)
2. det ikke er sværere med den nye platform
3. at det er bedre (fx ift GDPR) med den nye platform

For hver af ovenstående punkter er der nok 100 specifikke hensyn at tage stilling til, og det er en vigtig del af forståelse af, hvorfor "alle ikke bare skifter".

Ligesom man i 80'erne sagde, at "ingen er blevet fyret for at købe IBM", så køber man også i dag tryghed ved at vælge fx en samlet løsning fra Google eller Microsoft. Den tryghed er primært funderet i en opfattelse af, at "alle andre bruger det også, og alle andre er glade".

Alle danske kommuner er pressede på pengepungen, så der er INGEN, der køber services fra fx Google fordi de er idioter. De gør det fordi de har en forventning om, at det "bare virker".

Og uanset, hvordan man ser på det, så "virker det bare" at bruge GSuite til kommunens skoler ... i alt overvejende grad, i hvert fald :-).

Du har ret i, at "nogen skal jo gå forrest" - spørgsmålet er jo så bare, hvordan man får en kommune "til at gå forrest".

Jeg tror ikke en skid på, at den opgave kan løftes herindefra eller af noget enkelt firma, og så længe der ikke er et lovmæssigt forbud imod at bruge GSuite eller Office365, så kommer INGEN til at vælge noget andet.

Nogen i denne tråd foreslog "en forening" og jeg kan ikke se andre måder at gøre det på. Jeg ved ikke, hvilken forening (eller brancheorganisation) det skulle være, men man er nødt til at tænke stort.

..og i det spil hjælper dine udmeldinger sandelig ikke, de er tværtom med til at forgifte debatklimaet endnu mere.

og

fordi en eller anden dum gås(m/k) ingen vilje har til forandring.

Er dobbeltmoralsk i mine øjne.

Ligesom man som lille firma godt kan glemme alt om at få offentlige kunder, dels fordi de er sovset ind i (overpris)aftaler med The Usual Suspects, dels fordi der lever et dogme i det offentlige om at en løsning per definition skal være dyr, så kommer man med et forslag som er mange faktorer billigere og er væsentligt bedre, så bliver man blankt afvist, fordi sådan noget jo skal koste så og så meget.</p>
<p>Og det bliver man helt ærligt så træt af i længden...

Taler sit tydelige sprog om frustration over måden dele af systemet er skuer sammen på, men det retfærdiggør ikke at forgifte debatten.

Det har du naturligvis ret i, men både tyskere og franskmænd deltager jo i vid udstrækning i de samme økosystemer som du gør. Det er ikke sådan at de lever på en lille ø.

Jeg får hosted ting både i Tyskland og Frankrig og da mine evner i begge sprog ikke er hvad de har været, så ender det som regel på engelsk pga. tekniske termer, men det går fint!

Vi står overfor en slags paradigme-skifte, af de grunde du påpeger, men hvis ikke de amerikanske leverandører vil tilpasse sig, så er der jo ingen anden vej. Og måske er springet til nye økosystemer ikke så stort som man frygter. Nogen skal jo bare gå foran.

Fransk håber jeg da de bliver ved med at tale i Frankrig ;)

Min pointe er nu også mere generelt på adgang til hjælp og support. Her er væsentlige parametre ofte 1) adgang til support lokalt og 2) mulighed for sparring/erfaringsudveksling med andre lignende brugere.

Det er i for sig fornuftige parametre men har så den slagside at der søges mod leverandører med lokal tilstedeværelse som andre også bruger. Sagt lidt højtragende er det ikke altid kun teknologi vs. teknologi men også økosystem vs. økosystem der tæller.

Blev der virkelig skrevet dum gås?!? I et debatforum?

Og hvis jeg skal skære det ud i pap, så er problemet at en beslutning om en ændring ikke sjældent bliver blokeret at den med den mindste kompetence (på det felt!).

Kan det tænkes at valget af dem der bliver kaldt the usual suspects ikke sker af ond vilje?

Medmindre man er skarp udi det franske ønsker man nok næppe at ringe til en 100% fransktalende supportafdeling - der så kan levere hjælp om 2 uger (4 uger hvis den skal være på engelsk).

Snurre, det er MANGE år siden at franskmænd kun talte fransk :-)

Blev der virkelig skrevet dum gås?!? I et debatforum?

Kan det tænkes at valget af dem der bliver kaldt the usual suspects ikke sker af ond vilje?

En overvejelse der oftest gøres er at tage stilling til 1) hvem kan jeg ringe til når noget fejler, 2) hvordan får jeg hjælp og 3) hvor længe skal jeg vente indtil hjælpen kommer?

Medmindre man er skarp udi det franske ønsker man nok næppe at ringe til en 100% fransktalende supportafdeling - der så kan levere hjælp om 2 uger (4 uger hvis den skal være på engelsk).

I min optik viser det mest af alt, at det i debatten her handler om at få lov til at hade nogen ... i dette tilfælde Microsoft og Google

Problemet er at der blindt vælges fra de stores hylder, ud fra en 50 billion flies betragtning.

Så kan man komme med nok så gode løsninger, som kan være både bedre og billigere, man kommer ikke igennem, fordi en eller anden dum gås(m/k) ingen vilje har til forandring.

Ligesom man som lille firma godt kan glemme alt om at få offentlige kunder, dels fordi de er sovset ind i (overpris)aftaler med The Usual Suspects, dels fordi der lever et dogme i det offentlige om at en løsning per definition skal være dyr, så kommer man med et forslag som er mange faktorer billigere og er væsentligt bedre, så bliver man blankt afvist, fordi sådan noget jo skal koste så og så meget.

Og det bliver man helt ærligt så træt af i længden, og i det spil hjælper dine udmeldinger sandelig ikke, de er tværtom med til at forgifte debatklimaet endnu mere.

V2 debatten er i min optik blevet holdeplads for et lille kor af hellige korsfarere og konspirationsteoretikere som står for 90% af indlæggene og som afholder mere moderate debattører fra at blande sig. Dét synes jeg er en trist udvikling.

Det lyder præcis som i nullerne, hvor vi der gjorde opmærksom på hvad amerikansk lovgivning gjorde muligt, blev kaldt sølvpapirshatte.

Henrik, efter to domme fra EU Domstolen, plus NSA-offentliggørelserne i 2013, som gav sølvpapirshattene medhold, så mener du stadig at det vi siger (og kan dokumentere), er konspirationsteorier?

Det virker mest som om din mission er at miskreditere alle der vover at fremføre fakta, som stiller den amerikanske regering og selskaber der er underlagt amerikansk lovgivning, i et dårligt lys. Så hvem er det der er korsfarer?

Jeg formoder at du med "konspirationsteorier" mener noget der er faktuelt forkert, så kan du redegøre for præcist hvad du mener er konspirationsteorier?

Problemet er som overskriften antyder, kommunerne gennemføre IKKE en risikovurdering

Claus det er rigtigt. Min pointe er, at det gjorde de heller ikke før (papirstilene) og besynderligt nok interesserer det vist ikke nogen af V2 debattørerne sønderligt.

I min optik viser det mest af alt, at det i debatten her handler om at få lov til at hade nogen ... i dette tilfælde Microsoft og Google ... privacy er blot et bekvemt emne.

At det er nået dertil er lidt trist men ikke overraskende.

For år tilbage rasede den samme type debat over Windows vs. Linux og Windowsbrugerne var nærmest landsforræddere i Linux brugernes øjne mens Windowsbrugerne kiggede uforstående tilbage og konstaterede at de da trods alt fik deres arbejde gjort selvom de åbenbart brugte det helt forkerte værktøj som lige om lidt ville springe i luften og ødelægge alt liv på jord.

Personligt synes jeg at det er trist at debatklimaet er så polariseret ... det er efterhånden sjældent at det beriger nogen. Jeg holder meget af en god debat og lærer gerne af andres synspunkter, men der er ikke meget åndelig føde at hente i V2 længere.

V2 debatten er i min optik blevet holdeplads for et lille kor af hellige korsfarere og konspirationsteoretikere som står for 90% af indlæggene og som afholder mere moderate debattører fra at blande sig. Dét synes jeg er en trist udvikling.

Du har ret i det hele Claus og jeg tror at kommunerne, ligesom mange private virksomheder, bare søger efter et alibi til at snyde. Og når så KL og andre jurister, kommer med deres blåstempling, af det alle ved er forkert, så har de deres alibi og kan gå i gang med snyderiet, uden risikovurdering.

Der må være basis for an ordentlig omgang erstatningssager mod rådgivere som har sendt det offentliges data i armene på amerikanske efterretningstjenester!

Forøvrigt en god pointe med Anders Kjærulff! Det vi også ser i stigende grad, er shadowbanning (skjult censur) på sociale medier. Det sker muligvis også på baggrund af indsamlede data om dig.

Ift kontakt til kommunerne tror jeg det er svært på individniveau. En forening derimod....

Jeg må indrømme at jeg ikke har erfaring med at få afvist tilbud om gratis hjælp. Det afhænger selvfølgelig af framingen:

1. "Hej. Jeg har xx års erfaring med IT - bl.a. indenfor risikovurderinger relateret til data og IT systemer. Da jeg ved kommunerne ofte er presset økonomisk vil jeg gerne tilbyde min hjælp kvit og frit - selvfølgelig indenfor rimelighedens grænser"
2. "Hej. Er du ligesom jeg godt grundigt træt af at blive udnyttet af kapitalistiske tech-virksomheder der er ligeglade med den lille mand? Så vil jeg gerne komme forbi og fortælle dig og dine kollegaer hvordan I samler nok skyts til at smide dem på porten. Hvornår skal jeg komme?"

Hvad med at stille jeres ekspertise til rådighed kvit og frit på de enkelte skoler? Hjælpe dem lidt i jeres fritid?

Det ville være mig en fornøjelse!

Udfordringen er jo bare at i sidste ende er det Kommunens IT-chef som skal købe ind, og han/hun har jo allede lovet [indsæt vilkårlig amerikansk tech-leverandør her] at købe deres løsning. Og det kan man jo roligt gøre for selvom situation er "utroligt kompleks" (Nej!), så har KL's hær af jurister, jo blåstemplet det hele.

Og forøvrigt siger kommunaldirektøren at hans venner i VL-gruppen, alle sammen bruger [indsæt vilkårlig amerikansk tech-leverandør her]'s løsning og det er super godt, så det skal vi have!

Men, skulle der være en kommune derude som ønsker uvildig og ordentlig rådgivning, så er jeg klar anytime!

(Jeg har henvendt mig til min egen kommune og de gad ikke engang at svare!)

Jeg kommer til at få på puklen for det her....og jeg ved godt at dette er et forum med teknologiske færdigheder lidt over gennemsnittet.

Men måske man for et kort øjeblik kunne sætte sig i andres sted.

F.eks. en lokalpolitiker der har følgende andre emner der skal prioriteres:

• Nedslidte plejehjem
• Ældre der kun bliver vasket hver 14. dag
• Syge folkeskoleelever pga. dårligt indeklima i skolerne
• Stigende ungdomskriminalitet pga. manglende fritidstilbud
• etc.

Så kan man komme rendende nok så meget med at det der privatliv er en menneskeret.

Et fremadrettet forslag til alle de teknisk kyndige der brænder for det. Hvad med at stille jeres ekspertise til rådighed kvit og frit på de enkelte skoler? Hjælpe dem lidt i jeres fritid? På mine ungers skole tænker jeg at IT-afdelingen der består af 1 person til 900 elever + lærere ville tage imod det med kyshånd. Hvis Codingpirates er for børn kunne Privacypirates være for voksne. Måske der skal arbejdes lidt med navnet....

Kære Henrik

Spørg dig selv hvordan kommunen ville håndtere det hvis den samme elev afleverede det på kladdepapir,...

Problemet er som overskriften antyder, kommunerne gennemføre IKKE en risikovurdering

Hvor tror du risikoen er størst? Hvor tror du sandsynligheden er størst? Hvor tror du konsekvensen er størst?

Risiko er produktet af konsekvensen og sandsynlighed, ovenstående er dobbeltkonfekt.

... det er i bund og grund hvad en risikovurdering går ud på. INTET er perfekt.

Enig

Derfor laver man risikoanalyser og fokuserer energien på at reducere de risici hvor konsekvenserne er størst. Det er en kontinuerlig proces.

Som så ikke gennemføre i alle kommuner.

I dit eksempel tænker jeg at konsekvenserne for barnet er størst hvis ingen reagerer på beskrivelsen af misbruget og iværksætter den nøvendige omsorg for barnet.

Enig.

I forbindelse med Onedrive ..... næppe at Microsoft skulle have nogen der sidder og kigger med på hvad lille Søren skriver i skolen.

Misbrug er en ting, det kunne også være handlinger som far eller mor måske/måske ikke har gjort og som amerikanske myndigheder ser igennem en af deres ransagninger og forhindre at mor eller far kan komme ind i USA, og mor eller far kan ikke få af vide hvorfor, lidt ala Anders Kjærulff https://journalisten.dk/journalist-smidt-af-twitter-uden-forklaring/

Hvor tænker du de største risici er og hvordan vil du mitigere dem?

Det er det arbejde som kommunerne skal gennemføre.

Og skulle der nu sidde modig kommunaldirektør derude (regner med at det er der blokeringen ligger). Så bliver der ingen interrupts, hver elev kan nemt mounte deres Gdrev i Nextcloud, og trække deres filer over. Der er desuden apps og integration til alle tænkelige enheder. Og miljøet inkl. OnlyOffice er så meget federe end hvad Google kan tilbyde.

Alle ovenstående features er integrerede i Nextcloud (det er gratis, open source, sikkert og kører som en drøm). Det tager ikke mange timer at sætte op, det er bare om at gøre det (der er oven i købet lagt stor vægt på compliance i forhold til GDPR og bliver benyttet af diverse universiteter, samt den franske regering)

Tror det handler mere om modvilje, end mangel på alternativ, fra kommunernes side.

Alternativerne har vi diskuteret mange gange her på på Version2s debatsider, så det er bare at kigge dem igennem.

Nu var det dig der sagde at der var masser af alternativer. Det er derfor latterligt at bede undertegnede finde dem når nu det var dig der skrev ...

På hylderne lige under, finder du masser af alternativer som ofte er mindst ligeså gode, men også billigere da de ikke har betalt for at være i øjenhøjde. Man skal bukke sig eller strække sig for at nå dem.

... så kom nu med dem. Når du er kommet med dem så kan vi diskutere om der er problemer med dem.

Noget helt andet er så at jeg naturligvis ikke kender alle kommunernes krav. Jeg kan se hvad der foregår i 8. klasse på Frederiksberg:

• Tekstbehandling (her kan alle vist være med)
• Regneark (de bruger ret avancerede features, men man kunne nok leve uden)
• Præsentationer
• Notesblok (aka onenote)
• Video samtaler, deling af desktop
• Kalender
• Cloud storage (sådan at flere kan dele om samme dokument i realtime og dokumenter kan tilgåes fra flere steder)
• Ingen lokal installaton på brugernes computer - alt skal kunne køre i browser
• Ingen installation på den enkelte skole; ingen krav om IT kundskaber på skolen.
• Bruger administration på den enkelte skole

Det hele bundet sammen. Men som sagt: der er sikker flere krav.

I dette tilfælde påstod Gert Madsen at O365 skulle være ulovlig fordi man ikke kan logge på med UniLogin.

Jeg skrev at det mig bekendt ikke findes. Jeg undersøgte det, da det var aktuelt for mig, og da fandtes det ikke. At det er kommet til, er meget muligt, men ændrer ikke ved, at det præcis viser at man også her bare maser på, og både ignorerer hensyn til privatliv og immaterielle rettigheder.

Og ja, det er ikke tilstrækkeligt at der anvendes Unilogin. Der kræves også en databehandleraftale, så Microsoft ikke viderebefordrer data til 3. part, sådan som de forbeholder sig ret til, i de generelle brugerbetingelser. Og det ansvar har kommunen og/eller skolen. Det kan ikke udliciteres.

Vi kommenterer på en artikel der beskriver, hvordan mange kommuner ignorerer kravene til datahåndtering på skoleområdet, hvilket jeg kan bekræfte med eksempler fra virkeligheden. Hvis der skulle være kommuner, som faktisk opfører sig fornuftigt i denne sammenhæng, så ændrer det jo ikke konklussionen.

Du bestemmer selvfølgelig selv, om du vil koble din troværdighed op på Trump.

Alternativerne har vi diskuteret mange gange her på på Version2s debatsider, så det er bare at kigge dem igennem.

Hvis du tager udgangspunkt i at du skal finde noget der kan det samme som de to du nævner, så begrænser du dig jo. Find ud af hvad behovet er, det vi i gamle dage kaldte en kravspecifikation, og så lad os se på hvordan vi løser udfordringen. At bare sige "jeg vil have det samme som G-Suite kan..", det er useriøst.

Og at få løsninger til at spille sammen, handler mest om at lægge sig fast på nogler standarder. Det kan lade sig gøre at binde de fleste ting sammen.

De amerikanske udbydere har gode løsninger og ind i mellem også de bedste. Med EU-løsninger er det muligt man skal hakke en hæl eller klippe en tå ind i mellem, men det kommer jo ikke sagen ved.

Når først man kommer i gang med EU-løsningerne, så vil de have råd til at levere samme eller bedre features and de amerikanske, så jo før jo bedre.... Vi får en stærkere IT-sektor i EU og en masse flere arbejdspladser.

De amerikanske udbydere ved godt hvordan de kan løse problemet og holde sig inde i EU: Licensere deres software til EU-selskaber. De har gjort det før og det er nemmere og mere profitabelt end at blive ved med at snyde. (Skulle man tro.)

Problemet er, som du også selv meget tydeligt illustrerer, at du ikke kigger på alternativer.

Hvor er alternativerne?

Sådan er det også med software og cloud-løsninger.

Jeg skal ikke kunne sige hvad der er af muligheder på skolemarkedet. Men jeg kan roligt sige at Amazon, Google og Microsoft ikke er til at komme uden om når det handler løsninger til erhvervslivet. Problemet er at mange kan komme med løsninger på enkelt problemer, men så står jeg som køber med en opgave med at få det til at spille sammen. Allerede der falder det til jorden. Læg oveni at mange managed services kun findes på de en eller flere af de tre.

Men lad os høre ... hvilke løsninger kan gå op mod G Suite og/eller Office 365? Hvem kan konkurrere med dem?

Det var ikke det, man gjorde i min kommune, så skru ned, Henrik.

Der er ingen grund til at skrue ned når det fyger med forkerte påstande som et enkelt opslag på Google kunne have tilbagevist.

I dette tilfælde påstod Gert Madsen at O365 skulle være ulovlig fordi man ikke kan logge på med UniLogin.

1. Man kan godt integrere UniLogin med O365 ... blot søg på Google for at finde en leverandør.

2. Et bestemt Login har (som du rigtigt påpeger) ikke noget med lovligheden af diverse Cloud ydelser at gøre. Det er derfor vi har databehandler aftaler mv.

3. Mon ikke du skulle rette skytset mod din kommunes IT afdeling i stedet for at bede mig om at skrue ned. Jeg ved positivt at jeg IKKE er ansat i din kommune :-)

Der er danske leverandører der har lavet uni-login integration til O365.</p>
<p>NEJ TAK TIL FAKE NEWS OG SØLVPAPIRSHATTE

Det var ikke det, man gjorde i min kommune, så skru ned, Henrik.

På samme vis som historien fra Randers for nyligt, hvor man lagde elevernes fulde navn + andre oplysninger op til Google. Det har aldrig været lovligt.

Og det har ikke noget at gøre med GPDR, eller Privacy Shield, som Michael Cederberg antyder ovenfor.

Skolerne har altid haft til opgave at sikre at elevernes frembringelser ikke kunne tilgås af uvedkommende. Ligesom personfølsomme oplysninger ikke må.

Det er patetisk at høre folk, som ikke forstår at disse ting stadig gælder, når tingene bliver elektroniske. Der kommer altid en "hva' så mæ Facebook?"

Folk har altid kunnet hænge deres stile, eller andet, op på opslagstavlen nede i Brugsen. Men det tilkommer altså ikke kommuner og skoler at gøre det.

Det er rigtig at vi har glæde af mødeværktøjer, og andet, i denne Coronatid. Og dem, som har fulgt alle anvisningerne mht. implementering af feks. Google Education, kan føle sig ramt af Schrems-dommene. Men det er åbenlyst et fåtal, som artiklen beskriver. For alle andre er der altså ingen undskyldning.

Man kunne (kan?) bruge Google Education med en pseudo-ID, typisk Unilogin. Det samme findes mig bekendt ikke for O365, og dermed har det hele tiden været været ulovligt

Der er danske leverandører der har lavet uni-login integration til O365.

NEJ TAK TIL FAKE NEWS OG SØLVPAPIRSHATTE

Men for ti år siden var forgængeren til privacy shield gældende i EU. Med andre ord så var der intet juridisk problem dengang.

Man kunne (kan?) bruge Google Education med en pseudo-ID, typisk Unilogin. Det samme findes mig bekendt ikke for O365, og dermed har det hele tiden været ulovligt.

Som kunde kan man kun vælge mellem det der er på hylderne.

Problemet er, som du også selv meget tydeligt illustrerer, at du ikke kigger på alternativer.

I supermarkedet er de bedst sælgende hylder, f.eks. dem i øjenhøjde, købt af de store leverandører. De betaler for at være i øjenhøjde og koster derfor også mere for forbrugeren.

På hylderne lige under, finder du masser af alternativer som ofte er mindst ligeså gode, men også billigere da de ikke har betalt for at være i øjenhøjde. Man skal bukke sig eller strække sig for at nå dem.

Sådan er det også med software og cloud-løsninger.

Nej, det er ligesom med datamisbruget, den amerikanske regerings skyld.

Det man kan klandre de amerikanske tech-leverandører for er:

• At lyve overfor kunderne omkring datasikkerhed. Deres mest brugte argument er "data ligger jo på servere i EU", som om det gør en forskel

• At bilde kunderne ind at et stykke papir som Privacy Shield forhindrer at data overføres til de amerikanske efterretningstjenester

• At medvirke frivilligt til at overføre data til amerikanske efterretningstjenester (som det fremgår at de lækkede dokumenter fra 2013)

• Og endeligt at de ikke hjælper med at lægge pres på deres regering for at få dem til at opføre sig ordentligt. I USA er det de store virksomeder der sætter den politiske kurs, så de kan sagtens påvirke.

Jeg klandrer dem ikke direkte for hverken lovgivning eller praksis. Og heller ikke for deres elendige skolesystem.

Google Education er i hvert fald 10 år gammel, og jeg havde slagsmålet om O365 med datterens skole for 6 år siden.

Men for ti år siden var forgængeren til privacy shield gældende i EU. Med andre ord så var der intet juridisk problem dengang. Det var kun folk med sølvpapirshatte der brokkede sig dengang. Dette var en af de sjældne situationer hvor sølvpapirshattene fik ret. Men indtil sidste sommer var der intet problem for kommunerne.

Det er et klassisk, og falskt, argument at der ikke findes alternativer til amerikanske leverandører, som skoler kan tage i brug i med kort varsel. Kig f.eks. mod Frankrig, som har enorme mængder software/løsninger til børn og skoler fra spædbørnsalderen og op. De er bedre og der er mange flere.

Jeg skal ikke kunen sige hvad franskmændene gør. Jeg kan se at ingen bortset fra Google og Microsoft er i stand til at levere en platform med kombinationen "office pakke", video conference, storage, etc. Faktisk vil jeg gå så langt som til at sige at selv Googles pakke er inferiør i forhold til Microsofts (jeg har brugt begge, og fx. er Google Sheets klart ringere end Microsoft Excel ... og ja ... børn bruger avancerede funktioner i Excel).

Hvad der i øvrigt findes af undervisningssoftware er situationen uvedkommende eftersom disse mig bekendt kun i ringe grad leveres af nogle af amerikanske virksomheder eller kræves hosted der.

Og så er det altså ikke EU der skal løse et problem som den amerikanske regering har skabt. Leverandørerne må finde en måde at følge reglerne i EU på eller trække sig, i stedet for at narre kunderne.

Sådan kan man ikke se det. Som kunde kan man kun vælge mellem det der er på hylderne. Indtil I sommers overholdte de amerikanske løsninger kravene i EU. Jeg er ganske sikker på at der lige nu er planer for at håndtere situationen i de pågældne virksomheder men den slags tager tid. I mellemtiden må kunderne i EU forsøge at holde næsen oven vande i en corona tid.

Er folk klar over at USA har noget af det ringeste offentlige skolesystem i hele verden?

... og det er tech giganternes skyld?

Scenario: Familie med et eller flere misbrugte børn. Barnet skriver en dansk opgave, og ligger den på onedrive. I opgave besvarelsen beskrives misbruget.

Claus, spørg dig selv hvordan kommunen ville håndtere det hvis den samme elev afleverede det på kladdepapir, som skolelæreren så tog med hjem og havde liggende frit på spisestuebordet hvor familie og venner kunne have adgang til det indtil det blev tid til at rette stile? ... eller tænk dig scenariet hvor skolelæreren glemmer sin taske i toget på vej hjem...

Hvor tror du risikoen er størst? Hvor tror du sandsynligheden er størst? Hvor tror du konsekvensen er størst?

... det er i bund og grund hvad en risikovurdering går ud på. INTET er perfekt. Derfor laver man risikoanalyser og fokuserer energien på at reducere de risici hvor konsekvenserne er størst. Det er en kontinuerlig proces.

I dit eksempel tænker jeg at konsekvenserne for barnet er størst hvis ingen reagerer på beskrivelsen af misbruget og iværksætter den nøvendige omsorg for barnet.

I forbindelse med Onedrive i dit eksempel er den største risiko formentlig at barnet gemmer opgaven i en folder han/hun har valgt at dele med sine kammerater og næppe at Microsoft skulle have nogen der sidder og kigger med på hvad lille Søren skriver i skolen.

Kan vi undgå at barnet gemmer i den forkerte folder og får afsløret sig selv over for sine kammerater? Næppe, for barnet har i en masse andre sammenhænge brug for at dele opgaver med dem.

Hvor tænker du de største risici er og hvordan vil du mitigere dem?

Det er et klassisk, og falskt, argument at der ikke findes alternativer til amerikanske leverandører, som skoler kan tage i brug i med kort varsel. Kig f.eks. mod Frankrig, som har enorme mængder software/løsninger til børn og skoler fra spædbørnsalderen og op. De er bedre og der er mange flere.

Og så er det altså ikke EU der skal løse et problem som den amerikanske regering har skabt. Leverandørerne må finde en måde at følge reglerne i EU på eller trække sig, i stedet for at narre kunderne.

Det siger vel næsten sig selv, at vi i Danmark skal medvirke til at styrke EUs IT-sektor, ikke? Særligt når den amerikanske regering/IT-sektor insisterer på at trampe på vores børns grundlæggende rettigheder.

Jeg kan simpelthen ikke forstå at nogen finder det kompliceret.

p.s. Er folk klar over at USA har noget af det ringeste offentlige skolesystem i hele verden? Det er næppe løsninger bygget dertil, som vores unger skal udsættes for.

I realiteten er det KMD som hoster alle de offentlige systemer i Danmark

Nej René, det er IKKE korrekt.

Der er mange forskellige leverandører der hoster offentlige systemer i Danmark.

DXC, NetCompany, NNIT, IBM for nu bare at nævne et par stykker som ikke er KMD .... og listen er alenlang.

NEJ TAK TIL FAKE NEWS OG SØLVPAPIRSHATTE

Jeg sætter pris på at kommunerne har fået stablet remote undervisning op og køre hurtigt.

Google Education er i hvert fald 10 år gammel, og jeg havde slagsmålet om O365 med datterens skole for 6 år siden.

Så selv om din sætning ovenfor giver mening isoleret set, så er Corona sådan set ikke relevant i diskussionen. Der har været oceaner af tid til at tage hånd om problemet.

At det dukker op i pressen nu, siger bare noget om pressen og datatilsynet.

Svaret vil helt sikkert være, " vi er kritiske" men ingen bøde!

Dansk Datatilsynet, det er en flok kolbøtter og amatører!

Jeg sætter pris på at kommunerne har fået stablet remote undervisning op og køre hurtigt. Jeg kan godt forstå at de undervejs har været nødt til at stole på leverandørerne for at komme igang. Realistisk set var der kun Microsoft og Google at vælge imellem. Hvis alternativet var 6 måneders forsinkelse så er jeg godt tilfreds.

Naturligvis holder den undskyldning ikke evigt og EU bliver nødt til at skabe en situation hvor der er udbydere af konkurrencedygtige cloudbaserede løsninger der sikrer at data ikke ender i gale hænder. Men man kan ikke stoppe Europa indtil vi er der.

...alt det der Schrems II er so last year - nu er der ny President og han taler med Frau Merkel og alt bliver godt for USA bliver sikker 3. land igen og så kan vi lægge panikken på hylden og køre showet som vi plejer!

Kommunerne bruger jo KL til at give dem ekspertviden, men KL har jo leveret en ubegribelig dårlig rådgivning, ved at blåstemple krænkelserne.

Det groteske er jo, at der slet ikke er brug for ekspertviden, for de skal jo bare spørge sig selv om der er risiko for at borgernes data ikke beskyttes ligeså godt som i EU. Og med mindre man kommer fra en anden planet, så ved alle at krænkelserne ikke bare er en risiko i det konkrete tilfælde, men et faktum.

Hvis man i kommunerne valgte at bruge sund fornuft eller det gode gamle begreb "ordentlighed" som rettesnor og ikke lade sig vildlede af f.eks. KL, så ville deres liv blive meget nemmere.

Det er vigtigt at holde sig for øje, at der især i mindre kommuner er småt med ressourcer til disse opgaver, og der kan oveni være mangel på viden omkring dette komplekse felt. ...... Det er ikke manglende vilje.

Er det så ikke et tegn på at kommunens eksistensgrundlag er manglende? Der er ingen tvivl om at det koster at drive en kommune, men hvis kommunen ikke kan få enderne til at mødes, så skal kommunen måske kaste håndklædet i ringen og slå sig sammen med en eller flere kommuner.

PS. Jeg er stærk tilhænger af at kommunerne skal have frie rammer til at sætte skatte procenten i kommunen.

Den opgave burde ligge hos Undervisningsministeriet eller Moderniseringsstyrelsen, eller hvad de nu har omdøbt denne til.

Det er langt hen af vejen op til den enkelte lærer/skole/kommune at vælge hvilke værktøjer man skal bruge. Så den oplagte enhed vil nærmere være KL/Kombit.

Det er vigtigt at holde sig for øje, at der især i mindre kommuner er småt med ressourcer til disse opgaver, og der kan oveni være mangel på viden omkring dette komplekse felt.

Nogen har jo på et tidspunkt besluttet at disse værktøjer skal bruges.

Det virker på mange måder halsløs.

Hvis man ikke gider/synes at man har tid til, at tage et korekort, så må man lade være at køre bil.

Jeg har ikke set nogen steder at man har påvist at disse værktøjer giver meget dygtigere elever. Der er givetvis en masse mennesker, som synes at det er "smart", men giver da ikke ret til at risikere at give eleverne problemer i fremtiden.

... respekten for GDPR simpelthen ved helt at fordufte? Det lyder jo ikke til, at kommunerne frygter nogen som helst sanktioner, hvis de blæser på GDPR. Har de underhåndsmeldinger om, at der intet ondt vil ske dem, hvis de blæser på GDPR? Eller bliver nøglemedarbejdere simpelthen bestukket af tech-giganterne til at lukke øjnene for reglerne?

Jeg synes i hvert fald, at det er påfaldende, at disse historier bliver ved med at dukke op, år efter GDPR trådte i kraft, og efter talrige lignende historier, hvor det er slået fast, at kommunerne er på gyngende grund med deres datahåndtering.

Det giver jo ingen mening, at hver kommune eller uddannelsesinstitution skal undersøge forholdene omkring Microsoft og Googles cloudtjenester. Den opgave burde ligge hos Undervisningsministeriet eller Moderniseringsstyrelsen, eller hvad de nu har omdøbt denne til. En fælles varetagelse af denne vurderingsopgave vil spare millioner af offentlige kroner og arbejdstimer.

Risikovurderingen i forhold til GDPR skal omhandle risikoen for, at borgernes data som en konsekvens af overførsel til tredjeland vil nyde en ringere retslig beskyttelse. Der er ikke et krav om, at misbrug skal være overhængende, eller om at sandsynligheden for at tredjelandes myndigheders interesse i at bruge borgernes personoplysninger skal kunne kvantificeres.

Det ville jo i så fald betyde, at ingen overførsler til tredjelande ville være ulovlige, før det kunne påvises, at tredjelands myndigheder havde forsøgt at tilgå personoplysningerne.

En sådan fortolkning af risiko er ret så kreativ og strider direkte imod Datatilsynets og Databeskyttelsesrådets fortolkning af Schrems.

Alle ved at man ikke må sende data til tredjelande hvis der er risiko for at data er ringere beskyttet end i EU. Det er måske derfor man springer risikovurderingerne over og bare vælger at foretage en bevidst og meget grov, krænkelse af borgernes rettigheder?

Flere kommuner prøver tilsyneladende at skjule krænkelserne, men her kan man minde om Kodex 7 som siger noget i retning af:

"Offentligt ansatte må ikke lyve, vildlede eller fortie relevante oplysninger og faglig viden"

Der står endvidere noget i retning af:

"Ansatte skal være åbne over, at der kan forekomme fejl og skal aktivt arbejde for, at fejl rettes og ikke skjule disse"

Der er ingen tvivl om at begge er groft overtrådt og det straffes med disciplinære reaktioner eller fyring.

Men, lad os se om Datatilsynet endelig gør deres pligt og statuerer et eksempel som giver genlyd over hele landet. De kan ikke trække den længere!

Jeg vil opfordre til, at Version2 klager over afgørelserne til Ankestyrelsen.

Kommuner laver ofte fejl i disses afgørelser om aktindsigt. Interne dokumenter er som udgangspunkt undtaget fra retten til indsigt jf. Offentlighedslovens § 23, men der kan ikke desto mindre være oplysninger, som skal ekstraheres jf. Offentlighedslovens § 28. Der kan desuden være ret til indsigt efter

bekendtgørelse nr. 1575 af 16. december 2013 om aktindsigt i visse interne kommunale og regionale dokumenter.

Man kan også under alle omstændigheder klage til Datatilsynet over, at pågældende kommuner, der nægter at meddele aktindsigt i disses risikovurderinger formentligt ikke overholder Databeskyttelsesforordningen.

Datatilsynet har som tilsynsmyndighed hjemmel til at kræve kommunernes risikovurderinger udleveret som led i dets tilsynsopgaver.

Det er vigtigt at holde sig for øje, at der især i mindre kommuner er småt med ressourcer til disse opgaver, og der kan oveni være mangel på viden omkring dette komplekse felt. Derfor er det væsentligt at der centralt hankes op i dette, da nærmest alle it-løsninger i skolen anvendes af halvdelen eller flere. Og så skal man ikke glemme Apple, som kan blive nummer tre i rækken af dækninger her på Version 2. Ganske fint at få disse ting frem i lyset, så vi kan få styr på tingene. Det er ikke manglende vilje.

Men i risikovurderingen skriver man, at det enten har ‘ingen’ eller ‘ikke-alvorlig’ betydning for borgerens ‘helbred og sikkerhed’, hvis der sker et brud på fortrolighed, integritet eller tilgængelighed. Det samme konkluderer man for borgerens ‘økonomi’ og ‘hverdag i øvrigt’.

Scenario: Familie med et eller flere misbrugte børn. Barnet skriver en dansk opgave, og ligger den på onedrive. I opgave besvarelsen beskrives misbruget.

Hvordan er ovenstående scenarie håndteret i den konklusion? Jeg tror at kommunens medarbejdere der har udarbejdet denne risikovurdering, har taget udgangspunkt i deres billed af en normal familie.

Hvis jeg husker rigtigt – så er der 1,8 millioner skolebørn i Danmark (fra vuggestue til og med universitet). Ok dem i vuggestuen har nok ikke brug for en cloud, men det har deres pædagoger, forældre og personalet i det hele taget.

I realiteten er det KMD som hoster alle de offentlige systemer i Danmark og derfor tvivler jeg på at det skulle specielt svært at lave en ”skole-cloud”, ved siden af en ”kommune-cloud”, som igen ligger ved siden af en ”regions-cloud” mv. hos KMD.

Det er i realiteten hele Danmarks befolkning vi taler og jeg har vanskeligt ved at forstå, da dette marked ikke skulle kunne ”løbe rundt” som forretning.

Jeg ved godt at mange admins vil sige, at der mangler ”den og den funktionalitet – for det er de vant til”. Men der er altså ikke forskel på om jeg via internettet køber våben eller andre illegale ydelser/varer.

Men ligesom jeg ikke må få tilsendt våben (som i øvrigt kan være fuldt legalt der hvor jeg købte våbnene), så må man altså ikke sende de data ud af EU.

I Tyskland er der fri hastighed på ca. 70 % af motorvejsnettet, men i Danmark hvor jeg bor, er det ikke tilfældet. Jeg må følge de danske færdelsregler og det synes jeg også at det offentlige inkl. admins skulle.

Så frem med bødeblokken eller forklar din cloud-leverandør i klare og utvetydige vendinger, at enten leverer han en lovlig løsning eller også ryger han ud.