DIGITALISERING OG OFFENTLIG IT

Kommune bryr seg ikke om Google-forbud: Har sendt tusenvis av tettskrevne sider til Datatilsynet

Den danske kommunen Helsingør bryr seg ikke om Datatilsynets Google-forbud. Det skriver Version2.

Helsingør kommune er en bykommune i Region Hovedstaden i Danmark. Kommunen ligger på Sjælland nord i Øresund.
Helsingør kommune er en bykommune i Region Hovedstaden i Danmark. Kommunen ligger på Sjælland nord i Øresund. Maria Eklind
4. aug. 2022 - 11:00

Kommunen har nå sendt det danske tilsynsorganet en forklaring som inneholder tusenvis av sider for å bevise sin uskyld.

– Hvis Helsingør kommune mener de har ordnet problemene, er jeg den første til å glede meg over det, sier jurist og sikkerhetsspesialist, Allan Frank, i Datatilsynet til Version2

Google Chromebook og Workspace

Det var tidligere i sommer det danske Datatilsynet nedla forbud mot behandling av personopplysninger ved hjelp av Google Chromebooks og Workspace for Education i Helsingør kommune. 

Danskene mente kommunenes risikovurdering av bruken av skytjenestene ikke lever opp til kravene i GDPR. 

Datatilsynet mener avtalen med Google gir rom for at danske personopplysninger overføres til USA i supportsituasjoner, og at databehandlergrunnlaget derfor ikke møter kravene i GDPR.

Personopplysninger om 24.500 tidligere Telenor-kunder, som skulle vært anonymisert, ble liggende åpent tilgjengelig for Telenor-ansatte i åtte måneder, før feilen ble oppdaget.
Les også

Kodefeil: Fjernet anonymiseringen av 24.500 kunder

Det danske tilsynet ba derfor kommunen dokumentere på nytt at bruken er i samsvar med kravene som stilles i personvernforordningen. Derfor har kommunen nå sendt dem flere tusen sider med dokumenter.

Titter på dokumentasjonen

Oppsummert mener kommunen at bruken av Google-produktene ikke er på kant med loven, skriver Version2. Det danske Datatilsynet legger seg ikke opp i den vurderingen. 

– I utgangspunktet er det den dataansvarlig som har ansvaret for at GDPR følges. Nå har vi gitt dem beskjed to ganger om at vi mener de ikke gjør det, men vi skal titte på dokumentasjonen de nå har sendt oss, sier Frank til Version2. 

Også i Norge er det opp til databehandlerne å avgjøre om de holder seg innenfor GDPR, forklarte avdelingsdirektør Anne Magdalena Solbu Kleiven i Utdanningsdirektoratet til Digi i fjor sommer.

Ifølge henne kan ikke sentrale myndigheter vurdere og godkjenne norske kommuners IT-systemer på deres vegne.

Risiko og sårbarhetsanalyser

– Risiko- og sårbarhetsanalyser og personvernkonsekvensanalyser må ses i sammenheng med både teknisk oppsett og manuelle rutiner, som kan variere mellom kommuner. Det er derfor ikke rett frem å gjennomføre en slik vurdering på tvers av kommunene, forklarte hun. 

Janne Stang Dahl er kommunikasjonsdirektør i Datatilsynet. <i>Foto:  Ilja C. Hendel</i>
Janne Stang Dahl er kommunikasjonsdirektør i Datatilsynet. Foto:  Ilja C. Hendel

At Helsingør ikke får bruke Google porteføljen lovlig kan få konsekvenser for flere danske kommuner, heter det i oppsummeringen etter at det danske tilsynsorganet har gått igjennom dokumentasjonen og vurderingene kommunen har gjort.

De mener nemlig at vurderingene kommunen lener seg på, er de samme vurderingene som flere andre danske kommuner har benyttet i sine databehandlergrunnlag. 

Kommunikasjonssjef Janne Stang Dahl i det norske Datatilsynet har tidligere forklart til digi.no at avgjørelsen i Danmark ikke vil få konsekvenser for norske virksomheter. 

Vil ha bedre samhandling

– Dette er en enkeltklage hvor det danske tilsynet har gått igjennom dokumentasjonen og sett at vurderingene som har blitt gjort ikke har vært gode nok, fortalte hun da vi snakket med henne sist. 

− Vedtaket er ugyldig, og Personvernnemnda har tolket personvernreglene feil, mener Grindr.
Les også

Grindr tar staten til retten

Hun påpekte likevel at danskenes avgjørelse var en viktig påminner til norske selskaper innen privat og offentlig sektor. Stang Dahl mener det er svært viktig å gjøre nødvendige risikovurderinger i forkant av innføringen av nye IT-tjenester.

Siden dette er vanskelige vurderinger som krever spesialistkompetanse, mener det norske Datatilsynet at det er viktig å få på plass en modell som gjør det enklere for de ulike aktørene å ta disse vurderingene.

– Trenger hjelp og støtte

Datatilsynet har blant annet etterlyst gode samstyringsmodeller, kompetanseutvikling og arenaer for læring. Janne Stang Dahl sa til Digi at dette er noe flere sentrale aktører har etterlyst.

Regjeringen er i gang med sitt arbeid for videre strategi for digital infrastruktur i skolen. I april var det et innspillsmøte med kunnskapsminister Tonje Brenna (Ap) der norsk IT-bransje fikk komme med sine tilbakemeldinger.

– Vi må få på plass bedre samordning enn det vi har i dag. Det er helt klart. Det er mange aktører inne i bildet fra både stat og kommune, og det jobbes med strategier fra nasjonalt hold, sa Stang Dahl og fortsatte:

–  Datatilsynet er selvsagt opptatt av at elevenes personopplysninger tas vare på på en forsvarlig måte. Selv om det er kommunene og den enkelte skoleeier som har ansvaret for å sikre elevenes personvern, trenger de hjelp og støtte i dette arbeidet.

Du kan reservere deg mot at Meta bruker dine data til KI-trening, men det er altfor vanskelig å finne skjemaet, mener Inger Lise Blyverket, direktør i Forbrukerrådet.
Les også

Ber om hastevedtak: : Klager inn Meta

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.