Elever i folkeskoler landet over er vant til at lave flotte præsentationer i Google Slides, skrive opgaver i Google Docs, lave regneopgaver i Google Sheets, mødes digitalt via Google Meet og samarbejde og dele i Google Drev. Det er bare nogle af de værktøjer, der tilsammen udgør Google Workspace for Education.

Omkring 560 skoler fordelt på ca. halvdelen af de danske kommuner har valgt at benytte den amerikanske virksomheds skybaserede læringsplatform i undervisningen. Men det kan være ulovligt. 

I januar 2020 anmeldte Helsingør Kommune et brud på persondatasikkerheden til Datatilsynet. Anmeldelsen knyttede sig til kommunens behandling af personoplysninger i forbindelse med, at skoleelever via hver deres skolekonto fik adgang til Googles programmer. Det førte til, at Datatilsynet udtalte alvorlig kritik og gav kommunen påbud om at bringe behandlingen af elevernes persondata i overensstemmelse med GDPR-forordningen. Det indebar blandt andet, at Helsingør skulle foretage en risikovurdering og en konsekvensanalyse for sin brug af platformen. 

Siden november sidste år har Datatilsynet været i gang med at arbejde sig igennem de mange siders materiale. Ud fra det skal tilsynet tage stilling til, om det er rigtigt eller forkert, når Helsingør vurderer, at kommunen bruger Workspace for Education korrekt. 

Afgørelse vil have stor effekt

Det springende punkt er, om børnenes personoplysninger er sikret fra at kunne ende i hænderne på de amerikanske myndigheder. Datatilsynets afgørelse bliver om ikke principiel så retningsanvisende for de øvrige kommuner, der bruger læringsplatformen i skolerne. 

- Helsingør-afgørelsen har høj prioritet hos os, fordi den berører nogle centrale spørgsmål og kan give nogle svar til en masse dataansvarlige, siger jurist ved Datatilsynet Allan Frank. 

Afgørelsen vil have stor effekt for de kommuner, der bruger undervisningsværktøjerne, vurderer Allan Frank. Han ønsker ikke at spekulere i, hvad konsekvenserne kan blive, før alle dokumenter er gennemgået, og afgørelsen er truffet. 

Ender det imidlertid med et påbud om at stoppe brugen, kan det vise sig svært for kommunerne at finde alternativer.

Svaret blæser i vinden

Efter den såkaldte Schrems II-dom, der faldt ved EU-Domstolen i 2020, er spørgsmålet, om offentlige myndigheder og private virksomheder lovligt kan bruge amerikanske skytjenester.

- Det er der ingen, der kan svare på, siger formand for Rådet for Digital Sikkerhed, Henning Mortensen. 

- Det afhænger af, om man synes, man kan, eller om man ikke synes, man kan.

På kommunalt plan er emnet yderligere aktualiseret af, at Stockholm først på året valgte at droppe brugen af Microsoft 365. Den svenske kommune fandt det ikke tilstrækkeligt godtgjort, at persondata var sikret mod udlevering til amerikanske myndigheder. Foreholdt dette svarer kontorchef for digitalisering og teknologi i KL, Pia Færch, at KL generelt ikke kommenterer på enkeltkommuners valg af leverandører, heller ikke de svenske. I et skriftligt svar tilføjer hun, at  “kommunerne har stor opmærksomhed på, hvilke konsekvenser Schrems II-dommen har for valget af leverandører, herunder Microsoft,” samt at dommen “rejser en række spørgsmål i forhold til brugen af amerikanske leverandører”. KL har store forventninger til de igangværende forhandlinger mellem EU og USA, fremgår det.

Det efterlader kommunerne i et limbo udspændt mellem hensynet til beskyttelse af borgernes personoplysninger og adgangen til kendte, velfungerende digitale værktøjer og infrastruktur, som indtil for nylig var lovlige at bruge.

Ifølge Henning Mortensen kan kommunerne ikke gøre meget andet end at vente på, at der bliver udviklet praksis på området. Afgørelsen i sagen fra Helsingør udgør bare et lille hjørne af det store spørgsmål om de amerikanske skytjenester.

Svært at få øje på alternativer

Det vil gøre ondt på kommunerne, hvis de fra den ene dag til den anden ikke længere kan bruge Googles skoleværktøj. 

- Det er svært på den korte bane at se, at der findes gode alternativer, siger digitaliseringschefen i Børn og Unge i Aarhus Kommune, Ole Hersted Hansen. 

Aarhus Kommune udstyrede for to år siden 22.800 elever fra 2. til 10. klasse med Google Chromebooks og bruger fortsat Workspace for Education i undervisningen. Kommunen har løbende arbejdet på at sikre, at brugen af platformen sker i overensstemmelse med GDPR-forordningen. Den gør alt, hvad den kan, for at efterleve reglerne, forsikrer Ole Hersted Hansen. 

- Men vi har ikke endelig klarhed fra myndighederne. Vi afventer alle sammen, hvad det er for en konklusion, der bliver draget, siger han med henvisning til Helsingør-sagen. 

Centerchefen for job, borgerservice og teknologi i Helsingør, Kristjan Gundsø Jensen, har ikke ønsket at udtale sig om sagen til Kommunen.dk, men afventer Datatilsynets konklusion. 

Alle sidder i saksen

Formand for Danmarks it- og medievejlederforening, Thomas Dreisig Thygesen, har både skrevet til og haft møder med KL - uden at få information om, hvordan kommunerne skal gribe situationen an. Han savner en central udmelding fra KL eller Undervisningsministeriet. 

- Man sidder lidt med en fornemmelse af, at det er en betændt ting, som ingen vil tage fat i, siger han.

Så hver kommune må finde sin egen vej. Det fører til usikkerhed og frustration, hvor nogle bliver mere restriktive end andre. Og problematikken vedrører alle, pointerer formanden, også dem, der bruger Microsoft i stedet for Google. 

- Alle sidder i saksen. Folk føler sig gjort til skurke, som om de ikke vil passe på børns data, siger Thomas Dreisig Thygesen.

Også i Syddjurs Kommune bliver der fulgt nøje med i sagen fra Helsingør. Konsulent ved Skole og Læring Niels Ulrik Hammer hverken håber eller forventer, at det ender med, at kommunen må droppe at bruge Googles læringsplatform, som den har brugt siden 2013-2014. Der er nemlig ikke noget oplagt alternativ, for man vil løbe ind i tilsvarende problemer med Microsoft og Apple, der også er amerikanskejede. 

Kommunen har selv vurderet, at den godt kan fortsætte med at bruge kernetjenesterne i Work-space for Education. Men trods løbende samtaler med Datatilsynet og halvårlige gennemgange af det tekniske setup er det svært med sikkerhed at sige, om dens anvendelse af skoleværktøjet er i overensstemmelse med GDPR. Vi gør langt hen ad vejen alt, hvad vi kan, men at tale om 100 pct. tror jeg er farligt, siger Niels Ulrik Hammer.