Kommunen har nå sendt det danske tilsynsorganet en forklaring som inneholder tusenvis av sider for å bevise sin uskyld.
– Hvis Helsingør kommune mener de har ordnet problemene, er jeg den første til å glede meg over det, sier jurist og sikkerhetsspesialist, Allan Frank, i Datatilsynet til Version2.
Google Chromebook og Workspace
Det var tidligere i sommer det danske Datatilsynet nedla forbud mot behandling av personopplysninger ved hjelp av Google Chromebooks og Workspace for Education i Helsingør kommune.
Danskene mente kommunenes risikovurdering av bruken av skytjenestene ikke lever opp til kravene i GDPR.
Datatilsynet mener avtalen med Google gir rom for at danske personopplysninger overføres til USA i supportsituasjoner, og at databehandlergrunnlaget derfor ikke møter kravene i GDPR.
Nav slår tilbake etter milliongebyr: – Urimelig og overraskende
Det danske tilsynet ba derfor kommunen dokumentere på nytt at bruken er i samsvar med kravene som stilles i personvernforordningen. Derfor har kommunen nå sendt dem flere tusen sider med dokumenter.
Titter på dokumentasjonen
Oppsummert mener kommunen at bruken av Google-produktene ikke er på kant med loven, skriver Version2. Det danske Datatilsynet legger seg ikke opp i den vurderingen.
– I utgangspunktet er det den dataansvarlig som har ansvaret for at GDPR følges. Nå har vi gitt dem beskjed to ganger om at vi mener de ikke gjør det, men vi skal titte på dokumentasjonen de nå har sendt oss, sier Frank til Version2.
Også i Norge er det opp til databehandlerne å avgjøre om de holder seg innenfor GDPR, forklarte avdelingsdirektør Anne Magdalena Solbu Kleiven i Utdanningsdirektoratet til Digi i fjor sommer.
Ifølge henne kan ikke sentrale myndigheter vurdere og godkjenne norske kommuners IT-systemer på deres vegne.
Risiko og sårbarhetsanalyser
– Risiko- og sårbarhetsanalyser og personvernkonsekvensanalyser må ses i sammenheng med både teknisk oppsett og manuelle rutiner, som kan variere mellom kommuner. Det er derfor ikke rett frem å gjennomføre en slik vurdering på tvers av kommunene, forklarte hun.
At Helsingør ikke får bruke Google porteføljen lovlig kan få konsekvenser for flere danske kommuner, heter det i oppsummeringen etter at det danske tilsynsorganet har gått igjennom dokumentasjonen og vurderingene kommunen har gjort.
De mener nemlig at vurderingene kommunen lener seg på, er de samme vurderingene som flere andre danske kommuner har benyttet i sine databehandlergrunnlag.
Kommunikasjonssjef Janne Stang Dahl i det norske Datatilsynet har tidligere forklart til digi.no at avgjørelsen i Danmark ikke vil få konsekvenser for norske virksomheter.
Vil ha bedre samhandling
– Dette er en enkeltklage hvor det danske tilsynet har gått igjennom dokumentasjonen og sett at vurderingene som har blitt gjort ikke har vært gode nok, fortalte hun da vi snakket med henne sist.
Bliksund-oppkjøp: Får alle bildata som trengs for å redde ut folk fra ulykkesvrak
Hun påpekte likevel at danskenes avgjørelse var en viktig påminner til norske selskaper innen privat og offentlig sektor. Stang Dahl mener det er svært viktig å gjøre nødvendige risikovurderinger i forkant av innføringen av nye IT-tjenester.
Siden dette er vanskelige vurderinger som krever spesialistkompetanse, mener det norske Datatilsynet at det er viktig å få på plass en modell som gjør det enklere for de ulike aktørene å ta disse vurderingene.
– Trenger hjelp og støtte
Datatilsynet har blant annet etterlyst gode samstyringsmodeller, kompetanseutvikling og arenaer for læring. Janne Stang Dahl sa til Digi at dette er noe flere sentrale aktører har etterlyst.
Regjeringen er i gang med sitt arbeid for videre strategi for digital infrastruktur i skolen. I april var det et innspillsmøte med kunnskapsminister Tonje Brenna (Ap) der norsk IT-bransje fikk komme med sine tilbakemeldinger.
– Vi må få på plass bedre samordning enn det vi har i dag. Det er helt klart. Det er mange aktører inne i bildet fra både stat og kommune, og det jobbes med strategier fra nasjonalt hold, sa Stang Dahl og fortsatte:
– Datatilsynet er selvsagt opptatt av at elevenes personopplysninger tas vare på på en forsvarlig måte. Selv om det er kommunene og den enkelte skoleeier som har ansvaret for å sikre elevenes personvern, trenger de hjelp og støtte i dette arbeidet.
Nye krav til dingser: Disse punktene bør du vite om Cyber Resilience Act
