DIGITALISERING OG OFFENTLIG IT

Danskene med forbud: Kommune får ikke bruke Chromebooks eller Google Workspace

Det danske Datatilsynet nedlegger forbud mot behandling av personopplysninger ved hjelp av Google Chromebooks og Workspace for Education i Helsingør kommune.

Helsingør kommune er en bykommune i Region Hovedstaden i Danmark. Kommunen ligger på Sjælland nord i Øresund.
Helsingør kommune er en bykommune i Region Hovedstaden i Danmark. Kommunen ligger på Sjælland nord i Øresund. Maria Eklind
Dette er en Ekstra-sak som noen har delt med deg. Abonnere for å få full tilgang til alt innhold.

Datatilsynet følger saken tett. Det danske søsterorganet mener kommunenes risikovurdering av bruken av skytjenestene ikke lever opp til kravene i GDPR: – Norske kommuner trenger hjelp, sier Datatilsyn-direktør.

Kan få konsekvenser for flere

– Kommunen har gjort et stort og grundig arbeid for å kartlegge hvordan personopplysninger benyttes av utenforstående på barneskoletrinnene. Dette arbeidet belyser personvernrettslige problemer som handler om hvordan de store tech-firmaene løser supportoppgavene.

Det sier IT-sikkerhetsspesialist og jurist, Allan Frank, i det danske tilsynsorganet.

Avgjørelsen kan få konsekvenser for flere danske kommuner, heter det i oppsummeringen etter at Datatilsynet har gått igjennom dokumentasjonen og vurderingene kommunen har gjort.

Janne Stang Dahl er kommunikasjonsdirektør i Datatilsynet.
Janne Stang Dahl er konstituert direktør i Datatilsynet til Ida Coll tar over som øverste leder 1. august2022. Foto : Ilja C. Hendel

Tilsynet skriver at flere danske kommuner benytter seg av samme databehandlergrunnlag når de bruker Google Workspace og Chromebooks i skolevesenet.

Viktig påminnelse

– Denne saken i seg selv får ikke direkte konsekvenser for oss i Norge nå, sier konstituert direktør i det norske Datatilsynet, Janne Stang Dahl, til Digi.no og fortsetter:

– Dette er en enkeltklage hvor det danske tilsynet har gått igjennom dokumentasjonen og sett at vurderingene som har blitt gjort ikke har vært gode nok.

Stang Dahl sier det danske tilsynets avgjørelse er en viktig påminner for alle virksomheter innen privat og offentlig sektor.

Gjør nødvendige risikovurderinger

Hun påpeker hvor viktig det er å gjøre de nødvendige risikovurderingene i forkant av innføring av nye IT-tjenester.

– Det er mange som har fått med seg denne saken, og den har vakt stor oppsikt i Danmark, sier hun.

Les også

Det var i september i fjor at Helsingør fikk et pålegg om å gjøre nye risikovurderinger av sin bruk av Google-porteføljen i barneskolen.

Datatilsynet konkluderer med at avtalen gir rom for at danske personopplysninger overføres til USA i supportsituasjoner, og at databehandlergrunnlaget som benyttes derfor ikke oppfyller kravene i GDPR.

Må få på plass nye vilkår

Kommunen får derfor et generelt forbud mot å bruke Google Workspace for Education og Google Chromebooks til de leverer en ny konsekvens- og risikoanalyse.

Der må de dokumentere at produktene som benyttes er i overensstemmelse med personopplysningsforordningen.

Det norske Datatilsynet har også vært på Google-ballen. I fjor sommer etterlyste de at Utdanningsdirektoratet skulle gjøre sentrale risikovurderinger av Google- og Apple-porteføljen i skoleverket.

Direktør Bjørn Erik Thon i Datatilsynet mente da at det både var ressurskrevende og meningsløst at hver enkelt kommunene skal sitte hver for seg og gjøre jobben.

– Dette kunne vært gjort av Utdanningsdirektoratet, eller KS for den saks skyld. Det viktigste er at det blir gjort en sentral grunnvurdering av de verktøyene. Apple og Google er bare to eksempler, og det kunne godt vært flere. Men i og med at de er så innmari dominerende i skolen, tror jeg det hadde vært lurt, sa Thon til digi.no da.

Vanskelig å sentralisere

Den daværende direktøren mente en slik sentral risikovurderingen neppe kom til å ende med et generelt forbud mot bruk av denne type tjenester.

Thon var da klar på at det var risikovurderingene som lå til grunn for databehandlingen de var opptatt av.

Les også

Et generelt forbud er ikke noe de ser for seg, sa han.

– Det er ikke så ofte vi forbyr en tjeneste, men vi informerer og sier at noen ting må vurderes og gjøres annerledes. Man kan komme til at dette har en for stor risiko til å brukes, men vi har ikke sagt at man ikke må bruke Google- og Apple-verktøy i skolen, sa Thon.

Utdanningsdirektoratet fortalte til Digi at de så utfordringene med at hver enkelt kommune skal gjøre risikovurderinger alene.

Vil ha nasjonal strategi

Avdelingsdirektør Anne Magdalena Solbu Kleiven sa da at per i dag er kommunene  ansvarlig for egen informasjonssikkerhet. Ifølge henne kan ikke sentrale myndigheter vurdere og godkjenne kommunens IT-systemer på deres vegne.

– Risiko- og sårbarhetsanalyser og personvernkonsekvensanalyser må ses i sammenheng med både teknisk oppsett og manuelle rutiner, som kan variere mellom kommuner. Det er derfor ikke rett frem å gjennomføre en slik vurdering på tvers av kommunene, forklarte hun da.

Konstituert direktør Janne Stang Dahl i Datatilsynet sier at det norske tilsynet fortsatt er svært opptatt av teamaet. De mener det må komme på plass en nasjonal strategi for bruk av digitale verktøy i det norske skoleverket.

Stang Dahl sier dette er en pågående diskusjon.

Les også

Ifølge henne er det er stor enighet om at dette er en viktig sak for flere sentrale aktører. Datatilsynet etterlyser felles samstyringsmodeller, kompetanseutvikling og arenaer for læring.

Regjeringen er i gang med sitt arbeid for videre strategi for digital infrastruktur i skolen. I april var det et innspillsmøte med kunnskapsminister Tonje Brenna (Ap) der aktørene fikk komme med tilbakemeldinger.

– Vi må få på plass bedre samordning enn det vi har i dag. Det er helt klart. Det er mange aktører inne i bildet fra både stat og kommune, og det jobbes med strategier fra nasjonalt hold, sier Stang Dahl og fortsetter:

–  Datatilsynet er selvsagt opptatt av at elevenes personopplysninger tas vare på på en forsvarlig måte. Selv om det er kommunene og den enkelte skoleeier som har ansvaret for å sikre elevenes personvern, trenger de hjelp og støtte i dette arbeidet.

Les også

Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.