Sjusk med skolebørns data i Google: Kommune får alvorlig kritik af Datatilsynet
Helsingør Kommune får alvorlig kritik af Datatilsynet for at sjuske med skolebørns databeskyttelse, når de bruger Googles tjeneste G Suite for Education i undervisningen, skriver tilsynet på sin hjemmeside.
Sagen har stået på, siden kommunen den 29. januar 2020 meldte et brud på persondatasikkerheden til Datatilsynet, efter man havde udleveret Chromebooks til alle skoleelever og oprettet Google-konti med elevernes fulde navn - det gælder i flere tilfælde også børn med navne- og adressebeskyttelse.
Google har videregivet børnenes data til sine andre tjenester som eksempelvis Youtube, uden Helsingør vidste noget om det. Derfor loggede eleverne automatisk på videotjenesten med deres Google-konti og børnenes fulde navne blev vist ved deres opslag på platformen.
Kommunen havde ikke indhentet samtykke fra forældrene til, at man måtte videregive børnenes oplysninger til Google, og man havde heller ikke lavet en risikovurdering for børnenes databeskyttelse, som er et krav i GDPR.
Derfor har kommunen ikke et overblik over de eventuelle konsekvenser, databehandlingen kan have.
Ingen risikovurdering
Selvom Helsingør Kommune ikke har foretaget en risikovurdering, mener man, det er usandsynligt, at behandlingen vil have konsekvenser for børnenes frihed og rettigheder.
De oplysninger, der utilsigtet er delt med Youtube, er almindelige personoplysninger, som ifølge kommunen ikke giver mulighed for at kontakte barnet eller kan bruges til at sige noget om elevens adfærd.
»Derudover har Helsingør Kommune lagt til grund, at Youtube ejes af Google og at Google ikke har fået adgang til yderligere oplysninger, end hvad der allerede er givet adgang til inden for den oprindelige G-suite aftale,« skriver Datatilsynet i afgørelsen.
Problemer med børnedata i mange kommuner
Datatilsynet har givet Helsingør Kommune indtil den 1. november i år til at få rettet op på databehandlingen.
Konkret skal man lave en risikovurdering af børnenes brug af G Suite for Education, og hvis risikoen er høj, bliver man også nødt til at foretage en konsekvensanalyse, der betyder, at behandlingen skal vurderes af Datatilsynet.
Hvis ikke kommunen kan gøre noget for at få nedbragt risikoniveauet, så det ikke længere er kategoriseret som ‘højt’, skal man stoppe med at lade børnene bruge G Suite for Education i undervisningen. Og hvis ikke man følger Datatilsynets afgørelse, kan det ende med en bøde eller fængselsstraf.
Men det er ikke kun Helsingør, der står overfor den udfordring, for det halter også med at passe på de smås persondata i mange andre kommuner.
Sidste vinter afslørede Version2, at 24 ud af 45 kommuner, der bruger G Suite for Education i undervisningen, ikke har lavet en risikovurdering.
Samme undersøgelse viste, at 13 ud af 22 kommuner, der bruger Microsofts Office 365 med Onedrive til datalagring heller ikke har lavet en risikovurdering for børnenes databeskyttelse.
Gode nyheder
Der er dog gode nyheder til kommunerne, for i afgørelsen vurderer Datatilsynet, at skolerne godt kan bruge G Suite for Education lovligt.
»Datatilsynet har lagt til grund, at det fremgår af databehandleraftalen, og mulighederne for konfiguration af de enkelte enheder, at data også persondata kan styres sådan, at dette, ikke behandles uden for EU/EØS, at oplysningerne om den enkelte bruger vil kunne dataminimeres til et alias,« skriver tilsynet.
Man konfigurere systemet på en måde, så den data - herunder persondata - der skabes ved elevernes brug af G Suites kerneprogrammer, kun kan tilgås af den enkelte elev og kommunes autoriserede administrator.
På den måde kan man med sikkerhed undgå, at dataen bliver brugt til markedsføring, skriver tilsynet i afgørelsen.
Man påpeger også, at der ved at bruge programmet uden en særlig konfiguration - som Helsingør Kommune hidtil har gjort - kan ske overførsler af data ud af EU. Den amerikanske virksomhed Google har for eksempel datacentre i USA, der er defineret som et usikkert tredjeland af EU-Domstolen.
Tilsynet understreger også, at børnene ikke har grund til at bruge Googles tillægstjenester som Youtube i skolen, og at det i Helsingør Kommunes tilfælde har ført til en høj risiko for børnenes databeskyttelse.
