Dette indlæg er alene udtryk for skribentens egen holdning.

Kommunerne skal gå sammen om at håndtere GDPR og Google

Af Hinnerk Frech30. august kl. 07:0011
Kommunerne skal gå sammen om at håndtere GDPR og Google
Illustration: Konstantin Savusia | Bigstock.
For at undgå flere "Chromebook-sager" i danske kommuner bør vi stille spørgsmålstegn ved, om hver kommune for sig kan håndtere den komplekse GDPR-lovgivning i relation til cloud-løsninger som Googles, mener Dansk IT.
Artiklen er ældre end 30 dage

Mange kommuner frygter i disse dage nok afgørelsen i deres Chromebook-vurderinger hos Datatilsynet, især efter tilsynet holdt fast i forbuddet af Chromebooks i Helsingør Kommune.

Denne frygt er ikke ubegrundet. Som Version 2’s og ComplianceTechs undersøgelse viser, har kommunerne foretaget til dels vidt forskellige vurderinger af den samme sag: Brugen af Chromebook-computere og Google Workspace i folkeskolerne. Som Version 2 og ComplianceTech konstaterer, kan vurderingerne umuligt være rigtige alle sammen. 

Derfor må der være en vis sandsynlighed for, at Datatilsynet vil nedlægge forbud mod flere kommuner på baggrund af utilstrækkelig dokumentation og risikovurderinger.

I debatten lyder det ofte som om Helsingør Kommune har svært ved at navigere i de vanskelige vurderinger omkring en stor cloudløsning som Google Workspace.

Er kommunerne de rigtige til at foretage analyserne? 

Det kan der være noget i – men kritikken af kommunen løser ikke et afgørende problem, som Chromebook-sagen udstiller.

Artiklen fortsætter efter annoncen

GDPR-lovgivningen med dens krav om risikovurderinger og konsekvensanalyser er uhyre kompleks. At kommunerne kommer frem til forskellige vurderinger, er altså ikke nødvendigvis udtryk for et dårligt stykke arbejde, men snarere for, at selv specialiserede fagfolk kan have svært ved at udarbejde holdbar dokumentation.

Vi må derfor stille spørgsmålstegn ved, om kommunerne er de rigtige til at foretage disse analyser. Samfundsøkonomisk er det spild af ressourcer, at der skal foretages den samme risikovurdering 40 gange, når 40 kommuner bruger Chromebooks. 

Samtidig er kommunerne under økonomisk pres – noget der i måske har ført til, at kommunerne anskaffede de billige Chromebooks i første omgang. 

Vi kan ikke kræve af hver kommune at hyre en hær af jurister, der kan gennemskue hele GDPR-komplekset og softwarevirksomhedernes ugennemskuelige måder at indsamle data på. 

Derfor har vi brug for en sammenslutning eller en national aktør, som kan varetage denne opgave. Der er brug for store muskler til at administrere de komplicerede regler og krav. 

Staten, KL, som i øvrigt selv er gået ind i sagen i fredags, eller Digitaliseringsstyrelsen er oplagte aktører, små danske kommuner er ikke. Det kan sagtens være, at resultatet stadigvæk bliver, at Googles løsninger er i strid med GDPR. 

Men et eksempel fra Holland, hvor staten har taget opgaven i egen hånd og genforhandlet en national kontrakt med Google i overensstemmelse med GDPR, kunne pege på den rigtige vej. 

Overfor techgiganterne er der brug for statens vægt. Google bliver næppe udfordret, når Langeland Kommune ringer.

Vi har brug for en proces, hvor kommunerne fra starten af kan få udarbejdet fælles risikovurderinger og GDPR-analyser, som er holdbare i praksis. 

Der er brug for de bedste IT-jurister og professionelle, og opgaven skal løftes i fællesskab. Hvis vi derimod insisterer på, at de enkelte kommuner bare skal få styr på GDPR og techgiganternes IT-løsninger hver for sig, så er den næse skandale snart på vej.

Vil du bidrage til debatten med et synspunkt? Så skriv til vores PRO debatredaktion på pro-sekretariat@ing.dk

11 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
6
2. september kl. 07:53

Kunne også være man bare skulle indse at det er ulovligt at bryde loven... radikal tanke, jeg ved det.

Der er ingen tænkelige måder til at lovliggøre brugen af US cloud produkter til personfølsomme oplysninger.

Det afholder desvære ikke OP eller andre for at kaste gode penge efter dårlige.

4
30. august kl. 12:34

Gå sammen om at håndtere Google 😅 det jo Google der håndtere os..

Kom nu ud af overvågningskapitalismen

3
30. august kl. 12:32

Som reglerne er det jo den enkelte dataejer der er nødt til at sikre at alle databehandlere de laver aftaler med hånterer data på en passende måde (ie. i overensstemmelse med GDPR reglerne). Og det er jo afhængigt af 1) hvilke data tilflyder hvilke databehandlere og 2) hvilke processer og sikkerhedsforanstaltninger der er etableret omkring disse data. Hvis man vil redefinere dataejer som 'det offentlige'/alle kommuner/skolevæsnet, eller hvilken gruppe der nu giver mening, og lave én fælles vurdering, er man jo dermed også nødt til at ensarte alle de omliggende processer der gør at vurderingen er gældende - eller hvad?

5
31. august kl. 11:22

Det man kan (og burde) gøre, et at lave nogle sæt dokumentation for forskellige sammensætninger af løsninger (Google, Microsoft, Cloud-server, etc), som godkendes af datatilsynet.

Derefter kan hver enkelt kommune benytte det sæt af dokumentation som er tættest på den løsning, man selv har valgt eller vil vælge, og derfra alene kan fokuserer på eventuelle afvigelser.

Det it-faglige arbejde bliver ikke nødvendigvis lettere for den enkelte kommune, da man stadigvæk skal kunne gennemskue løsningerne, herunder hvad der måtte være afvigelser eller ej, men den juridiske dele burde blive lettere.

11
9. september kl. 11:55

Det it-faglige arbejde bliver ikke nødvendigvis lettere for den enkelte kommune, da man stadigvæk skal kunne gennemskue løsningerne, herunder hvad der måtte være afvigelser eller ej, men den juridiske dele burde blive lettere.

Når datatilsynet indsamler svar fra de kommuner, der anvender Google, så får de useriøse svar.

Dvs. en del kommuner undlader helt at passe på de børn, som de har fået i varetægt.

Hvis/når kommunerne/skolerne kan vælge hvilke værktøj de bruger, så har de også ansvaret. Sådan må det være, selvom kommunerne tydeligvis forsøger at undgå ethvert ansvar.

8
3. september kl. 17:13

Det man kan (og burde) gøre, et at lave nogle sæt dokumentation for forskellige sammensætninger af løsninger (Google, Microsoft, Cloud-server, etc), som godkendes af datatilsynet.

Er det en offentlig institution som er "man" og skal sammensætte løsninger? Fordi her er der også regler, som kan påvirke den model. Der skal i hvert fald være gennemsigtighed og der skal gøres opmærksom på udbuddet, så det ikke kun er naboen som byder ind.

Lidt udenfor emne, men at udbudsregler kræver en overhaling, så kvalitet, overholdelse af krav m.m. opfyldes, er så en anden ting.

2
30. august kl. 11:37

Det er klart at GDPR skal overholdes.

Men med til debatten hører at Chromebooks er et yderst økonomisk alternativ til Microsofts ufatteligt dyre monopoler. Fuldstændig galimatias priser for operativsystem og vilde priser for adgang til at redigere i tekstdokumenter.

Skulle man ikke lige tage et kig på hvad differencen i pris kan bruges til, for at sikre at data kan forblive inden for GDPRs rammer?

Og er der ingen overhovedet i Europa, som tilbyder åbne platforme for kontorpakker og læringsportaler, hvor data forbliver på Europæisk jord?

Det vil være et mikroskopisk greb i EU lommen at lave og financiere et udbud.

7
2. september kl. 14:12

Og er der ingen overhovedet i Europa, som tilbyder åbne platforme for kontorpakker og læringsportaler, hvor data forbliver på Europæisk jord?

Jo, det gør ikke mindst tyske Nextcloud - som dels selv tilbyder standardpakken Nextcloud in Education, dels står til rådighed for LMS'er og open source kontorpakker som Collabora Online (baseret på LibreOffice) etc.

9
5. september kl. 07:39

De er ikke primært målrettet grundskolen men højere læreanstalter ifølge deres hjemmeside og at sammenligne en kontor pakke med Google workspace for education er som at sammenligne en cykel med en bil. Googles løsnig er meget mere end en kontorpakke. Og igen skal der ses på vedligehold og brugervenlighed for 6 årige ikke 18-20 årige
Google og MS tilbyder EN løsning der har alt ikke noget med at skulle sammensætte og vedligeholde, de levere bogen med alt ikke et bibliotek du skal plukke ud fra og selv lave din bog.. Husk at lærerne er uddannet til at undervise IKKE rode med IT. IT skal virke når de tænder maskinen HVER gang, hvordan og hvorfor det virker er ikke deres hovedpine.

10
5. september kl. 12:10

Google og MS tilbyder EN løsning der har alt ikke noget med at skulle sammensætte og vedligeholde, de levere bogen med alt ikke et bibliotek du skal plukke ud fra og selv lave din bog.. Husk at lærerne er uddannet til at undervise IKKE rode med IT

Rigtigt - det var nu ikke meningen, at Googles og Microsofts totalløsninger skulle spille så afgørende en rolle i det danske brugerportalsinitiativ, hvor de var tænkt som en værktøjsdel af Samarbejdsplatformen (Aula) men efterhånden risikerer at udmanøvre de lovpligtige læringsplatforme fra KMD, Meebook m.fl. (hvis ikke det var fordi disse netop er lovpligtige at anskaffe)https://digst.dk/media/12653/foranalyse-i-forbindelse-med-faelles-brugerportal-for-folkeskolen.pdf

Det vil kræve en hel del at omstille sig fra MS/Google i undervisningen til fx Nextcloud og Collabora som en del franske grundskoler bl.a. - det skal der ikke lægges skjul på, skolerne er trængte nok i forvejen. Men det er de sikkert også i Toulouse og Lyon fx, som alligevel ser værdien:https://disciplines.ac-toulouse.fr/dane/usages/dispositifs/apps-education

I Tyskland lader disse løsninger også til at kunne sælges til skolernehttps://sdui.de/gruppenarbeit-online/

Men selv om en lignende dansk pakkeløsning rettet mod grundskolen sikkert er på vej, skal man ikke gøre sig illusioner om at sådan en omlægning ikke vil stille nye - andre - krav til skolerne end de persondatamæssige. Og til den fællesoffentlige infrastruktur.

Og selvfølgelig er der udfordringer og brug for yderligere udvikling også på kontinentet - tænker at open source er et godt udgangspunkt for det - hent evt. SIB-whitepaper med nogle franske erfaringer gennem flere år:https://nextcloud.com/blog/sib-delivering-nextcloud-to-educational-institutions/

1
30. august kl. 11:17

det lyder fornuftigt :-)