Datatilsynet fastholder at Helsingør kommunes elever ikke må bruge Chromebooks og dermed er en del af skolernes undervisning i fare
Datatilsynet kan ikke tillade at skolerne i Helsingør kommune bruger Chromebooks. Det handler om brugen af læringsprogrammet Google Workspace (tidl. G Suite for Education) som er en integreret del af Chebook.
Google overfører persondata fra eleverne til USA, og kommunen har ikke i tilstrækkelig grad kunnet godtgøre hvad der sker med disse data, og om de kan ende hos 3.part, og dermed kan produktet ikke godkendes efter EUs GDPR-regler.
Omkring halvdelen af landets kommuner bruger Google Chromebooks i undervisningen, og hvis de har samme betingelser hos Google, hvad de sandsynligvis har, så er de også i fare for at måtte droppe Chromebooks i undervisningen. Datatilsynet undersøger p.t. 30 andre kommuner.
Kommentar fra IT-Branchen
Det har fået fagorganisationen IT-Branchen op af stolen, og de er nu klar med en kommentar, som vi bringer uredigeret herunder:
“Det er en rigtig uheldig sag, som risikerer at skade vores digitale omstilling og undervisningen i vores skoler. De digitale læremidler er så væsentlig en del af undervisningen i dag, at vi ikke bare kan stoppe med at bruge dem”, udtaler Martin Jensen Buch, chefkonsulent i IT-Branchen.
I sin afgørelse skriver Datatilsynet, at det er kommunens ansvar, at de i samarbejde med deres leverandører håndtere de relevante risici for børnenes personoplysninger, og at der udarbejdes en dækkende konsekvensanalyse.
Datatilsynet inviterer samtidig Helsingør Kommune til yderligere dialog, så man sammen kan lægge en plan og finde en brugbar løsning. De opfordrer også til, at man løfter i flok, og at kommunerne går sammen – evt. i regi af KL eller relevante ressortministerier – om at løse problemerne.
Den tilgang er IT-Branchen enig i.
“Konsekvenserne af at stoppe er enorme. Så det må være en pligtopgave for alle parter at finde en løsning her. Datatilsynet foreslår da også, at de sammen med Helsingør Kommune sætter sig ned og finder en løsning på det konkrete problem – og at KL samt relevante ressortministerier inddrages i dialogen. Det tror vi også, er den rigtige løsning”, og de fortsætter:
”Og så er det afgørende at løsningen kommunikeres bredt ud til alle kommuner, så vi undgår, at flere skoler rammes af lignende sager.”
IT-Branchen mener, at man skal tage afgørelsen alvorligt, men heller ikke gå i panik.
”Vi skal selvfølgelig tage sagen alvorligt, og det er afgørende, at vi beskytter vores børns data. Men vi må ikke gå i panik og træffe nogle forhastede beslutninger, som skader vores børns undervisning og læring.”
En af udfordringerne ligger i, at data bliver placeret på servere udenfor EU, og hvor det pågældende land ikke har samme omfattende persondatalovgivning, som man har i EU. I slutningen af året forventer EU dog at have en ny aftale på plads med USA omkring dette.
“Den del af sagen, som handler om overførsel af persondata til lande udenfor EU, er en problemstilling, som er midlertidigt forstærket som følge af Schrems II afgørelsen. Der er en ny EU-aftale på vej, men den forventes først at være klar ved udgangen af året. Så vi må finde en løsning indtil da”, og Martin Jensen Buch slutter:
“Jeg er sikker på, at EU og USA i samarbejde med de store tech-selskaber kan løse de her udfordringer og finde den rigtige balancegang, der både kan sikre databeskyttelse og udnytte de teknologiske muligheder, som cloud tilbyder os”.