Hen over sommeren gav Datatilsynet “alvorlig kritik” af Helsingør Kommunes anvendelse af Google Chromebooks pc´er og tilhørende softwareprogrammer med Google Workspace som værktøjer til undervisning i folkeskolen. Datatilsynet nedlagde forbud og siden påbud over for kommunens anvendelse og Aarhus Kommune fik ligeledes et påbud. Det førte ret hurtigt til en sand mediestorm – for alle kender Google fra dagligdagen – og der er i alt 49 kommuner – præcis halvdelen af alle landets kommuner, der bruger Chromebooks.
Efter at Datatilsynet nedlagde forbud mod Helsingør Kommune, ophævede Datatilsynet sit eget forbud den 8. september for at give Helsingør Kommune arbejdsro til at opfylde Datatilsynets krav. Men hvad kan kommunerne lære af denne sag?
IT-sikkerhedsspecialist og jurist Allan Frank, Datatilsynet: “Som dataansvarlig inden for folkeskolen, skal man vide, hvad de systemer, kommunen vælger at købe, gør med de oplysninger, som bliver behandlet. Det er det væsentlige problem i Helsingør sagen. Både Helsingør Kommune og en række andre kommuner har ikke været grundige nok, da de købte denne software og heller ikke, når den er blevet ændret over årene. De har ikke sat sig ind i, hvad børnenes oplysninger blev brugt til af Google”.
“Dels er vilkårene fra Google meget svære at gennemskue, dels udgør de programmer en samlet helhed af data. Data kan sive ud alle mulige andre steder end lige præcis i det program man har købt. Data kan også sive ud fra Googles browser Chrome, eller fra Chromebooks operativsystem Chrome OS. Det skal kommunen som dataansvarlig sikre sig ikke sker. Det er vores børns oplysninger, og de må ikke blive brugt til andre formål end det folkeskoleloven siger. Så det var jo den oprindelige overvejelse, der ikke har været grundig nok”.
Ændrede vilkår
Et er, at kommunen – før den køber - skal afdække, at computer,programmer og browser ikke får fat i børnenes personlige data. Et andet er, at vilkårene kan ændre sig.
“Den anden ting man kan lære fra Helsingør er, at man skal være ekstra opmærksom hvis man har taget Googles education software i brug i 2017 – altså før 2018, hvor GDPR-forordningen trådte i kraft. Her skal kommunen holde øje med, om vilkårene ændrer sig. Det er ikke nok, at man tjekker det, når man køber det. Hvis man har brugt Chromebooks i fem år, skal man løbende holde øje med betingelserne - både om softwaren har ændret sig meget eller måden den fungerer på har ændret sig eller om kontrakten har ændret sig”.
“Giver ændringer anledning til, at det jeg har købt for fem år siden, ikke er gyldigt længere? Problemet kan nogle gange være, hvis man bliver bundet for meget til en bestemt type software eller til et bestemt system, som det er svært at komme ud af igen. Så det er også en lære. Man skal have en exit strategi, hvis det pludselig viser sig, at det produkt man har ændrer vilkår, som man ikke kan leve med, da det ikke længere lever op til de regler, kommunen er underlagt via lovgivningen”.
Sagen i Helsingør Kommune drejer sig som nævnt om Google workspace for education, og tilhørende styresystem for Chromebook, Chrome OS, og så gælder det for browseren, Google Chrome. Men det kunne lige så godt være produkter fra andre leverandører.
Allan Frank understreger, at der er en tendens til at lægge sig fast på kritikken af Googles produkter, og at det er meget naturligt, da det var dem, der er brugt i sagen fra Helsingør Kommune. Men de hensyn gælder også for de kommuner, der bruger andre typer af produkter. De bør foretage de samme vurderinger, da de kan have de samme problemstillinger.
“Det kan sagtens være. Men det har vi ikke vurderet konkret – endnu. Dét, der er vigtigt at holde fast i, er, at det er vores skolebørns oplysninger. De skal ikke bruges til andre formål end det folkeskoleloven tilsiger. Det er fint nok, at vi giver vores børn en digital opdragelse og sørge for, at de får stillet de rigtige værktøjer til rådighed. Det står i folkeskoleloven. Men udover det, så skal man altså ikke give oplysningerne videre til, hverken Google eller Microsoft, sådan at de kan lave deres produkter bedre og tjene flere penge et andet sted i verden, og man skal slet ikke give data til markedsføring. Det tror jeg, at alle er enige om”.
“Vi skal have et løft inden for de databeskyttelsesretlige dyder. At offentlige myndigheder kun gør det, man har hjemmel til. Her har vi altså ikke lov til, at vi kan give børnenes oplysninger til nogen andre, og det synes jeg var noget man burde have overvejet på et langt tidligere tidspunkt. Man burde have kigget ned i og set om børnenes oplysninger går til noget andet end det, som folkeskoleloven tilsiger, og så burde man kigge ned i det systemlandskab, man har og de kontrakter man har. Og her står, at Google kan bruge de oplysninger til forskellige ting. Er det okay? Nej, det er ikke okay,” siger Allan Frank.
Fakta
Datatilsynets afgørelse i den konkrete sag om brugen af Google Chromebooks i Helsingør Kommune slår fast, at folkeskoleloven giver kommunerne ret til at vælge det it-udstyr og de programmer, der skal bruges i undervisningen.
Men kommunen har som dataansvarlig pligt til at sikre, at it-udstyr og programmer bliver brugt på en sådan måde, at databeskyttelsesreglerne for eleverne overholdes. Særligt, at de udførte behandlinger af personlige data, ikke går ud over det formål, folkeskoleloven foreskriver.