Politiken spredte panik blandt landets folkeskoler, da de lørdag skrev, at en afgørelse fra Datatilsynet betød, at Googles bærbare Chromebooks efter sommerferien ikke kunne bruges af elever i folkeskolen. 

Den udlægning var dog forkert. På baggrund af Politikens udlægning måtte Datatilsynet præcisere, at det kun er i Helsingør Kommune, at forbuddet mod at behandle personoplysninger ved brug af Chromebooks og programpakken Google Workspace gælder, og at det handler om databehandlingen, ikke mærkatet på computeren.

- Helsingør har fået et forbud, fordi de ikke har fremlagt den dokumentation, der er nødvendig for at vise, at deres behandling sker i overensstemmelse med databeskyttelsesforordningen, siger Allan Frank, it-sikkerhedsspecialist og jurist hos Datatilsynet.

Egentlig lidt skørt. Politiken kører en forside om sagen helt uden at kontakte os - og konkluderer noget der ikke er belæg for. Ritzau spreder det delvist forkerte budskab. Udenlandske medier skriver vi har forbudt alle Google-produkter i hele den offentlige sektor i Danmark ????

— Anders Due (@andersdue) July 18, 2022

Datatilsynet finder i sin afgørelse, at kommunen ikke har vurderet nogle helt konkrete risici i forhold til databehandlerkonstruktionen. Herudover fremgår det af databehandleraftalen, at der kan overføres oplysninger til tredjelande i supportsituationer uden det fornødne sikkerhedsniveau.

Men da Politiken sendte afgørelsen på forsiden med en misledende tekst, som foreslog, at afgørelsen gældte samtlige kommuner, spredte der sig panik i de danske folkeskoler. 

- Det blev noget hektisk. Det havde nok været mere hensigtsmæssigt, hvis nogen fra Politiken eller Ritzau havde kontaktet os og spurgt, hvordan afgørelsen skulle forstås, i stedet for at sige at der var tale om et generelt forbud for alle i hele Danmark, siger Allan Frank og tilføjer:

- Så havde min weekend nok været mere rolig. Selvom det er indgribende for Helsingør, blev den konkrete afgørelse udlagt, som noget den ikke var. 

Flere sager venter

I sin afgørelsen gør Datatilsynet opmærksom på, at mange af konklusionerne i Helsingør-sagen formentlig vil gælde andre kommuner, der benytter samme behandlingskonstruktion. Datatilsynet forventer derfor, at disse kommuner selv tager relevante skridt på baggrund af afgørelsen – også selvom tilsynet for tiden færdigbehandler et antal sager vedrørende andre kommuner.

- Mange af de ting, som vi snakker om i Helsingør-afgørelsen er helt klassiske databeskyttelsesretlige discipliner. Meget af det er helt basale databeskyttelses-rettigheder hjemmel og videregivelse, som jeg ved, at de fleste kommuner generelt har helt styr på. Det er bare væsentligt, også at få vurderet og indarbejdet de hensyn, når vi digitaliserer, siger Allan Frank.

Sagerne er behandlet sideløbende med den i Helsingør Kommune, og afgørelserne vil komme løbende den næste tid. Og selvom der er fællestræk i sagerne, er det vigtigt, at kommunerne ikke går i panik. Der er tale om basal foranstaltninger og behandling af data. 

- Det vi generelt prøver at sige til kommunerne og helt konkret til Helsingør i den konkrete sag, er, at inden man går igang med behandle data, og det gælder også hvis en services ændrer sig, skal man foretage en risikovurdering, og hvis resultatet af den vurdering er høj, så skal man lave en konsekvensanalyse. Hvis der så er udfordringer, må de skrive til Datatilsynet og udlægge, hvordan man vil forsøge at løse den udfordring. Det er det, der mangler i Helsingørs sag. De mangler at fortælle os, hvordan de vil undgå at de her ting sker. Det kan man reelt kun gøre, hvis man laver en konsekvensanalyse, som også er et minimumskrav hvis risikoen for børnenes rettigheder er høj. 

Allan Frank påpeger, at nogle af de ting, som Datatilsynet nu peger på, skulle kommunerne have forholdt sig til tidligere, både da man indgik kontrakten med leverandøren, men særligt alle de gange leverandøren laver om i den service, man benytter. 

- Det er som om, at man undervejs ikke er stoppet op og har genovervejet brugen af servicen. Uanset at man har købt givet produkt, skal man så længe man vælger at bruge det, være i stand til at dokumentere, at man kan bruge det indenfor reglerne.

Flere kommuner er bekymret

Vi har på Kommunen.dk tidligere beskrevet forløbet i Helsingør. Mange kommuner har spændt ventet på afgørelsen. Det gælder fx Aarhus Kommune, som for to år siden udstyrede 22.800 elever fra 2. til 10. klasse med Google Chromebooks. Kommunen har løbende arbejdet på at sikre, at brugen af platformen sker i overensstemmelse med GDPR-forordningen og gør alt, hvad den kan, for at efterleve reglerne. 

- Vi afventer alle sammen, hvad det er for en konklusion, der bliver draget, sagde digitaliseringschefen i Børn og Unge i Aarhus Kommune, Ole Hersted Hansen i foråret og tilføjede: 

- Det er svært på den korte bane at se, at der findes gode alternativer.

- Man sidder lidt med en fornemmelse af, at det er en betændt ting, som ingen vil tage fat i, har han tidligere udtalt til Kommunen.dk. 

Ifølge Ritzau har KL fået mere end ti henvendelser fra kommuner i forbindelse med afgørelsen. Det har fået KL til at kræve klare retningslinjer for, hvordan skolelevers data skal opbevares og har i den forbindelse skrevet et brev til finansminister Nicolai Wammen (S) samt undervisningsministeren, erhvervsministeren og justitsministeren.

"Med øje for det principielle i den afgørelse, så kan det ramme andre kommuner på samme måde, ligesom det kan ramme andre områder i såvel det private som hos offentlige myndigheder," skriver KL i brevet.

Kritik for tvivl og for få svar

Afgørelsen er en kæmpe udfordring for Helsingør Kommune og alle de andre kommuner, som bruger Chromebook med Googles operativsystemer. Og det kan i værste fald sætte Danmark tilbage i den digitale udvikling, mener DI.

- Når Datatilsynet skaber så stor tvivl om en digital læringsplatform, bør de også hjælpe virksomheder og myndigheder med, hvordan de overholder de komplicerede regler. Denne sag viser med al tydelighed, at Datatilsynet bør have en mere støttende tilgang, så vi får mere fokus på løsninger, fremfor at der bliver skabt tvivl og usikkerhed. Det er simpelthen ikke i orden at kaste kommunerne ud i denne usikkerhed kort før skolestart, siger Rikke Hougaard Zeberg, branchedirektør i DI.

Hun advarer mod, at Danmark kan miste sin stærke position på digitalisering og digital læring, hvis ikke vi får en mere pragmatisk og løsningsorienteret tilgang til GDPR-reglerne. 

- Der er ingen tvivl om, at vi skal passe godt på vores data, og som Datatilsynet peger på i dette tilfælde, skal kommunerne være ekstra forsigtige, når det handler om børns data. Men vi er ved at være derhenne, hvor det er umuligt at leve op til GDPR-reglerne, selvom man er meget omhyggelig med at vurdere alle tænkte situationer, der kan opstå i fremtiden. Beskyttelse af grundlæggende rettigheder er uhyre vigtigt, men vi skal gøre det på den rigtige måde, siger hun og tilføjer:

- Vi er simpelthen nødt til at finde nogle pragmatiske løsninger nu, ellers mister Danmark sit digitale momentum, siger Rikke Hougaard Zeberg. 

Maner til ro

Allan Frank lytter til kritikken, men påpeger, at Datatilsynet netop har været i løbende dialog med Helsingør for at vejlede og hjælpe kommunen i sagen. 

- Vi har i hele forløbet har haft flere gode samtaler og møder med Helsingør, ligesom der er udgivet konkrete vejledninger på området. Men i den sidste ende er det den dataansvarlige selv, der herefter bestemmer hvilken vej de går med dokumentationen f.eks. om de anser en konsekvensanalyse nødvendig eller ej, fortæller Allan Frank. 

- Det er vigtigt at holde fast i, at den konkrete sag drejer sig om Helsingør og ikke 97 andre kommuner. Men der er meget læring i denne sag, den dokumentation og de problemstillinger Datatilsynet peger på, skal andre kommuner også få kigget på og tage ved lære af, siger han og tilføjer: 

- I sagen med Helsingør drejer det sig om en konkret kommune, som behandler oplysninger om børn, hvor man altså skal være sikker på, at det foregår efter alle reglerne. Det synes vi ikke, at de gjorde i september, da vi gav dem et påbud, og det har kommunens nye dokumentation efter Datatilsynets opfattelse ikke afhjulpet. Det, synes jeg, er en væsentlig del af historien.