- Af Martin Folke Vasehus, CEO
Datatilsynets afgørelse om Google Chromebook i folkeskolen: Sagen, der blev en saga
- marts 21, 2024
En sag om brugen af Google Chromebook og Workspace i folkeskolen er blevet en saga i Danmark.
Det startede med en klage fra en forælder over en folkeskoles udlevering af Google Chromebooks til elever. Klagen har siden udviklet sig til en af de større databeskyttelsesretlige varme kartofler og har ført til flere afgørelser fra Datatilsynet.
Sagen bør minde alle om, hvor vigtigt det er at:
- forstå de konkrete behandlingsaktiviteter og formål
- verificere det juridiske grundlag for deling af personoplysninger
- gennemføre risikovurderinger og konsekvensanalyser
- være ekstra påpasselig, når man behandler børns personoplysninger.
Så læs endelig med, hvis du vil vide, hvad der er op og ned i sagen – og hvad jeg ser som sagens tre højdepunkter.
En lang historie kort
Vi har set i alt fem afgørelser fra Datatilsynet til dato, efter en klage fra en forælder til en elev på en folkeskole i Helsingør Kommune.
Første afgørelse
I september 2021 konkluderede Datatilsynet, at Helsingør Kommune ikke havde vurderet de risici, som brugen af Google Chromebooks i skolerne udgjorde for de registrerede (folkeskoleeleverne).
Datatilsynet udstedte et påbud om, at Helsingør Kommune skulle risikovurdere behandlingerne i Chromebooks og Workspace. Derudover forbød de kommunen i at bruge dem, indtil risiciene for de registrerede var blevet minimerede.
Anden afgørelse
I juli 2022 nedlagde Datatilsynet forbud mod behandling af personoplysninger med Google Chromebooks og Workspace. Både fordi der ikke var foretaget en tilstrækkelig vurdering af risiciene for de registrerede, og fordi disse risici var for høje.
Forbuddet ville blive opretholdt, indtil der blev fremlagt tilstrækkelig dokumentation for, at Helsingør Kommune havde bragt behandlingerne i overensstemmelse med reglerne.
Derudover suspenderede Datatilsynet alle relaterede overførsler af personoplysninger til USA, indtil Helsingør Kommune levede op til reglerne i GDPR om tredjelandsoverførsler.
Tredje og fjerde afgørelse
I august 2022 offentliggjorde Datatilsynet sin tredje afgørelse. Efter kommunen havde indsendt deres konsekvensanalyse af brugen af Chromebooks og Workspace, fastholdt Datatilsynet forbuddet og konkluderede, at det modtagne materiale ikke levede op til GDPR-kravene til en konsekvensanalyse.
I den fjerde afgørelse fra september 2022 ophævede Datatilsynet dog midlertidigt forbuddet. De accepterede brugen af Chromebooks og Workspace, mens Datatilsynet afventede ændringer og afklaring af databehandleraftale og de tekniske aspekter af de kommercielle aftaler mellem kommunen og Google.
Den seneste afgørelse
I den seneste afgørelse af 30. januar 2024 vurderede Datatilsynet, om Helsingør Kommune havde det rigtige og nødvendige juridiske grundlag for at dele elevernes personoplysninger med Google, som databehandleraftalen og de kommercielle aftaler foreskrev.
Datatilsynets fokus var på de personoplysninger, som kommunen videregav til Google, hvor Google var dataansvarlig og altså ikke handlede i henhold til kommunens instruks. Google brugte disse oplysninger til at forbedre sine produkter og tjenester.
Kommunen anvendte behandlingsgrundlaget i GDPR, artikel 6(1)(e), som kræver, at behandlingen er ”nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.”
Dét behandlingsgrundlag kræver, at der findes et andet retsgrundlag i dansk lovgivning, som – så at sige – gør behandlingen ”nødvendig,” jf. GDPR, artikel 6(3)(b).
Da kommunens opgave med at drive de danske skoler er fastlagt i den danske skolelov, mente Datatilsynet, at retsgrundlaget måtte findes i folkeskoleloven, hvis anvendelse af behandlingsgrundlaget skulle være lovlig.
Datatilsynet konkluderede, at der ikke var tilstrækkelig hjemmel i folkeskoleloven til at anvende det anførte behandlingsgrundlag. Derfor gav tilsynet kommunen et påbud om at lovliggøre behandlingen af personoplysninger eller stoppe med at behandle dem i Google Chromebooks.
Datatilsynet gav kommunen en frist til den 24. august 2024 til at efterkomme påbuddet.
Mit synspunkt: 3 højdepunkter i Chromebook-sagen
#1: Forstå vigtigheden af aftalekomplekset og systemidentifikation
Det er næsten for banalt at understrege, at man skal læse og forstå sine aftaler. Men det skal man. Chromebook-sagen understreger nemlig, at djævlen ligger i detaljen – ikke kun i de direkte gældende aftaler, men også de ‘omkringliggende’ aftaler, som i dette tilfælde regulerer tjenester, der ikke er del af databehandleraftalen og indkøbet.
Sagen understreger også behovet for specifikt at identificere, hvordan systemet fungerer, og hvilken type dataflow der er tale om. Denne forståelse er nøglen til at identificere, hvordan personoplysninger behandles, og hvor der kan være potentielle huller.
#2: Brug det rigtige juridiske grundlag for videregivelse og senere brug af personoplysninger
- Sagen viser, hvor vigtigt det er at undersøge formålene med en eventuel videregivelse, og at der er en hjemmel til alle disse formål. Det kræver en grundig analyse af den eksisterende lovgivning og de gældende regler.
- Hvis du ikke kan sikre et juridisk grundlag, kan du forsøge at benytte løsningen på en anden måde, hvor der ikke behandles personoplysninger, ellers kan du i sidste ende være nødsaget til ikke at bruge den pågældende service.
#3: Tilpas konfigurering og konkret brug – og sats ikke på forhandling – ved brug af standardprodukter
Selvom GDPR ikke forbyder brug af standardprodukter, der kan have udfordrende aftalegrundlag, og som ikke kan forhandles, viser sagen, at brug af standardprodukter ikke er nogen undskyldning i sig selv for ikke at overholde GDPR eller have klare aftalevilkår.
I en nylig afgørelse har Datatilsynet forholdt sig til Region Syddanmarks brug af en cloudbaseret Microsoft 365-løsning. Dén viser, at problemstillingerne fra Chromebook-sagen også er til stede, når man implementerer andre IT-systemer.
I udtalelsen fremsatte Datatilsynet en række konkrete spørgsmål, som Region Syddanmark skulle afklare i forbindelse med migreringen over i den cloudbaserede løsning. Datatilsynet fremsatte blandt andet følgende tre spørgsmål:
1) ”Hvilket retsgrundlag vil danne baggrund for regionens behandling af de pågældende personoplysninger?” De spurgte med andre ord: Hvor er jeres dobbelthjemmel?
2) ”Hvilke specifikke formål vil Microsoft konkret behandle oplysninger til som led i at holde ”produkter opdateret og ydende samt forbedre brugernes produktivitet, pålidelighed, effektivitet, kvalitet og sikkerhed” og i hvilken rolle?” De spurgte med andre ord: Bruger Microsoft oplysningerne til at forbedre tjenester, som regionen ikke abonnerer på?
3) ”Hvordan genereres den ovennævnte aggregerede statistik konkret, herunder navnlig om aggregeringen eller anonymiseringen sker, inden oplysninger videregives til Microsoft?” De spurgte med andre ord: Er oplysningerne overhovedet personoplysninger, når Microsoft bruger dem til deres egne formål?
- Spørgsmålene kan bruges som guidelines til andre offentlige organisationer og private virksomheder, der skal implementere lignende systemer.
Hvad kan vi lære af Chromebook-sagen?
Chromebook-sagen giver vigtig læring for offentlige myndigheder, der ønsker at implementere nye IT-systemer, hvor personoplysninger om borgere behandles.
Når vi læser Chromebook-sagen i bredere perspektiv og fjerner folkeskoleloven fra ligningen, giver sagen lige så meget læring for private virksomheder.
For mig står følgende store spørgsmål tilbage:
- Hvordan påvirker Chromebook-sagen private virksomheder?
- Hvad er grænserne for interesseafvejningsreglen som behandlingsgrundlag?
- Sidst, men ikke mindst: Hvordan kan både private virksomheder og offentlige organisationer undgå at ende i Chromebook-fælden?
Jeg delte mine svar på dé spørgsmål til mit webinar den 10. april. Hvis du har lyst til at se (eller gense) webinaret, kan du finde det on-demand her.
Webinar on-demand: Sådan undgår du som privat virksomhed at ende i Chromebook-fælden
Vil du se eller gense webinaret?
