Afgørelsen har i den grad fået KL op på stikkerne.

- Den her afgørelse handler ikke kun om skoleområdet, men kan få konsekvenser for alle velfærdsområderne, sagde KL-formand Martin Damm (V) i februar, efter at foreningen i et  brev til flere ministre opfordrede regeringen til at ændre lovgivningen. 

I brevet advarer KL om, at Datatilsynets afgørelse vil få “ganske omfattende negative konsekvenser for alle offentlige myndigheders mulighed for at anvende it-systemer”. 

Helt så dramatisk mener professor i forvaltningsret og digitalisering ved Københavns Universitet Hanne Marie Motzfeldt ikke, at situationen er. 

Gælder ikke nødvendigvis andre it-løsninger

Selvom det med afgørelsen står klart, at skolerne ikke uden videre lovligt kan fortsætte med at anvende web-værktøjerne i Googles Workspace for Education efter 1. august, betyder det ikke nødvendigvis, at hele den offentlige sektor er nødt til at skrotte alle eksisterende it-løsninger.

I bund og grund handler sagen om, hvorvidt danske kommuner og andre offentlige myndigheder må videregive borgeres personoplysninger til brug for kommercielle formål. 

Ifølge EU’s databeskyttelsesregler skal behandlingen af personoplysninger være “nødvendig”, fx for at udføre en opgave i samfundets interesse eller som led i offentlig myndighedsudøvelse. 

Over for Datatilsynet har KL argumenteret for, at Googles brug af elevernes data er nødvendig for at levere tjenesten og for, at kommunerne kan leve op til folkeskolelovens krav om fuld integration af digitale undervisningsmidler i undervisningen.

Men Google vil ikke nøjes med at bruge elevernes data til at levere den tjeneste, som kommunerne betaler for. Virksomheden vil også bruge oplysningerne til at videreudvikle og forbedre sine produkter, og det er der altså ikke hjemmel til i Folkeskoleloven.

- Det er der, knasten er. Problemet er, at Google ifølge kontrakten har ret til at bruge data til deres egne formål, siger Hanne Marie Motzfeldt.

KL har ikke undersøgt problemet

Om der kan være et tilsvarende problem i forhold til eksempelvis Microsoft 365, kan ifølge Hanne Marie Motzfeldt ikke afvises. 

- Men man skal virkelig dybt ned i kontrakterne og undersøge, hvordan systemet fungerer, hvis man skal være sikker på, om problemet er der eller ej, siger hun.

En pointe, som også Datatilsynet for nylig har påpeget over for Region Syddanmark i forbindelse med regionens påtænkte overgang til Microsoft 365. 

Ifølge ekstern lektor i databeskyttelsesret ved Københavns Universitet og advokat Emilie Loiborg kan man da heller ikke ud fra Chromebook-afgørelsen sige, at alle it-systemer bliver ramt og ikke kan anvendes i det offentlige. 

- Det kommer helt an på, hvad der står i aftalen med leverandøren, om der bliver videregivet oplysninger,  hvilke oplysninger, og hvilken lovhjemmel man bruger, siger hun.

Når KL alligevel mener, at problematikken har et langt bredere perspektiv end brugen af skoleværktøjerne, er det primært, fordi man læner sig tungt op ad Datatilsynets bemærkning om, at betragtningerne i afgørelsen “ikke forekommer at være et isoleret problem i relation til folkeskoleloven.”   

Men man har ikke undersøgt det. KL har hverken gennemgået leverandøraftaler eller datastrømme i andre systemer og tjenester, hvor man kunne have mistanke om, at personoplysninger bliver anvendt på tilsvarende måder, fortæller kontorchef for Digitalisering og Borgerbetjening i KL Pia Færch.

- Nej, det har vi ikke endnu. Vi vil rigtig gerne have det fulde billede og være sikre på, hvad kravene er, siger hun.

- Vi er nødt til at vide, hvor barren skal ligge, inden vi tager snakken med andre leverandører om, hvordan deres løsninger er skruet sammen, og om noget skal ændres. 

Men når KL ikke kan pege på andre steder, hvor problematikken gør sig gældende, hvad er det så præcis, man gerne vil have regeringen til at gøre?

- Vi vil gerne have, at regeringen reagerer på Datatilsynets udmelding, siger Pia Færch, der efterlyser en drøftelse af, om man vil acceptere, at data generelt kan blive brugt til de formål, som Datatilsynet i den specifikke sag har påpeget, at der ikke er hjemmel til i den relevante lovgivning. 

Ifølge Pia Færch har KL ikke nogen præference for, at politikerne gør Googles løsning lovlig.

- Vi vil bare gerne have et tydeligt retsgrundlag, som er til at manøvrere efter, siger hun.

Et spørgsmål om tolkning

Lovgivningen er der for så vidt allerede, så spørgsmålet er, om det ikke bare er kommunerne, der mangler at tjekke, om de lever op til den. 

Det mener Pia Færch ikke, for selv hvis kommunerne havde gjort deres forarbejde og lavet konsekvensanalyser og risikovurderinger, er tilgangen til reglerne ny. 

Hvornår noget er nødvendigt fra et databeskyttelsesretligt perspektiv, kan da også være svært at vurdere. Ikke mindst kan det være vanskeligt at adskille, hvornår noget er nødvendigt i forhold til opretholdelse af et systems sikkerhed og pålidelighed. 

Mens kommuner gerne må videregive personoplysninger, som er nødvendige for, at Google kan levere Workspace-løsningen og forbedre sikkerheden og pålideligheden af den, må  oplysningerne ikke bruges til at vedligeholde og forbedre tjenesten. Det må Google klare uden brug af elevdata - uanset om det så sker i aggregeret og pseudonymiseret form. 

Udover at der skelnes mellem, hvad der er nødvendigt og ikke nødvendigt for, at Google kan levere en sikker og pålidelig tjeneste, skelnes der også mellem, om data bruges til andre formål og helt andre produkter.

Google må således ikke bruge personoplysningerne til at vedligeholde, forbedre og måle ydeevnen i Chrome-browseren og -styresystemet eller til at udvikle nye funktioner og tjenester til dem. 

Kan skrive sig ud af nogle af problemerne

Men i tilfælde af, at det rent teknisk forholder sig sådan, at det er nødvendigt at måle ydeevnen i styresystemet eller browseren for at Workspace fungerer sikkert og pålideligt, er der så reelt ikke hjemmel til det?

Det er der ikke noget enkelt svar på, fortæller jurist og it-sikkerhedsspecialist ved Datatilsynet Allan Frank - det kommer blandt andet an på, hvordan man opdeler data. 

Han udelukker ikke, at den del af problemet kan afhjælpes ved at beskrive det anderledes i kontrakten - når det samtidig modsvarer, hvad der sker med data.

- Det er bare ikke sådan, det er beskrevet i kontrakten i dag, siger han. 

Emilie Loiborg mener også, at man formentlig vil kunne aftale sig ud af nogle af problemerne ved at fjerne adgangen til, at leverandører kan anvende personoplysninger til de formål, som Datatilsynet har givet påbud imod. 

- Det vil man kunne forhandle om at få taget ud af kontrakten. Hvis de så alligevel behandler oplysningerne, har de brudt aftalen. Så bliver de selvstændigt dataansvarlige. Det er vigtigt, at kommunerne overholder deres tilsyn for at finde ud af det, siger hun.

Undervejs i sagsforløbet har KL da også fået Google til at afstå fra at bruge personoplysninger til en række af deres andre produkter. Men det har altså ikke været nok til at løse hele problemet.

Bedre forberedelse og mindre kompleksitet

Står man overfor at skulle indkøbe nye it-løsninger, er der vigtig læring at hente i Chromebook-sagen, så man ikke ender med at indgå en ulovlig aftale.

Selvom den konkrete afgørelse kun får retsvirkning for de 53 kommuner, den er rettet mod, gemmer den ifølge Emilie Loiborg på nogle generelle fortolkninger af databeskyttelsesretten, som enhver dataansvarlig bør lade sig inspirere af.

Man skal sørge for at lave en risikovurdering og evt. konsekvensanalyse, allerede inden udbudsprocessen går i gang, påpeger hun. Det er nødvendigt for at kunne lave en kravspecifikation, der sikrer, at databeskyttelsesretten kan overholdes. Derudover skal man se på, om leverandøren kan bruge personoplysninger i sin egen kommercielle interesse.

- Man skal vide, hvad det er, man køber. Hvis man fx har særlige sikkerhedskrav og krav om,  hvad data må bruges til, skal man selv have overblik over det. Det er ikke længere tilstrækkeligt bare at skrive i udbudsmaterialet, at databeskyttelsesreglerne skal overholdes. Det står eksplicit i afgørelsen, siger Emilie Loiborg.

Det forudsætter, at man er skarp på, hvilken hjemmel man har til at behandle og videregive data, og hvor langt hjemlen rækker. Og man kan ikke undslå sig at overholde reglerne, bare fordi man bruger et standardprodukt, bemærker hun. 

- Der kan være et vist rum til at videregive oplysninger til leverandøren, men man skal have fuldstændig styr på, hvilke oplysninger og hvilke formål, de videregives til.

Samtidig fremhæver Emilie Loiborg Datatilsynets anbefaling om at gøre aftalerne mindre komplekse.

- Man kan gøre sig umage for at lave en mere simpel aftale. Hvis der er mange bilag, der henviser frem og tilbage mellem hinanden, skal der ikke meget til, før man mister overblikket, siger hun.  

En del af samfundskontrakten?

Lige nu ligger gennemskuelighed også højt på KL’s ønskeliste.

- Vi vil gerne have klare rammer for, hvordan vi skal arbejde med det digitale, så det bliver simpelt og sikkert. Vi skal helst ikke arbejde i et tomrum, hvor det pludselig viser sig, at noget er ulovligt, siger Pia Færch. 

Mens Datatilsynet ved enhver given lejlighed har pointeret, at kommunerne bør have en exit-strategi, har man i KL valgt at satse hele butikken på, hvad man kan kalde enten teknisk eller juridisk lovliggørelse af Workspace-løsningen. Det mål forfølger man fortsat. 

Foruden sin appel til regeringen forhandler KL med Google om enten helt at afstå fra at behandle oplysningerne eller at udvikle en teknisk løsning, der afskærer de ulovlige datastrømme.

- Vi har en konstruktiv dialog, men jeg kan ikke sige, hvor den ender, siger Pia Færch.

Ifølge KL er det nødvendigt at arbejde videre ad alle tre spor frem mod fristen for at efterleve Datatilsynets påbud om at stoppe den ulovlige behandling af elevernes data.

Digitaliseringsminister Marie Bjerre (V) bekræfter over for Kommunen.dk at have modtaget KL’s brev og skriver, at man er i gang med at undersøge problemstillingen. 

Sidste år tiltrådte regeringen den forrige regerings tech-ekspertgruppes anbefalinger til, hvordan man kan håndtere problemstillinger knyttet til tech-giganternes platforme - herunder begrænsning af deres datahøst.