I sagen om brug af Google Workspace i Helsingør Kommune har Datatilsynet nu suspenderet det gældende forbud.
I juli nedlagde Datatilsynet et forbud mod brugen af Google Workspace i Helsingør Kommune, og i august fastholdt tilsynet forbuddet. Nu suspenderes forbudet og kommunen har fået et påbud om at lovliggøre brugen. Det skriver Datatilsynet i en udmelding.
Samme påbud er givet til Aarhus kommune.
Sammen med Datatilsynet har Helsingør kommune identificeret en række forhold, hvor brugen af Google Workspace mv. enten ikke har været lovlig, eller hvor risikoen for skoleeleverne ikke er blevet tilstrækkeligt identificeret og nedbragt.
Nu hvor de forhold er belyst, så ser Datatilsynet ingen grund til at der fortsat skal være et forbud mod Chromebooks, sålænge brugen lovliggøres og det har kommunerne fået 2 måneder til at løse.
“Når vi træffer det valg at suspendere forbuddet, skyldes det, at kommunen nu har erkendt og beskrevet de problemer, der skal lovliggøres. Der er kommet en rimelig klarhed over, hvad der udestår – og derfor giver vi nu kommunen to måneder til at få styr på det sammen med dens leverandører”, forklarer Allan Frank, jurist og it-sikkerhedsspecialist i Datatilsynet.
Kommunernes Landsforening har orienteret Datatilsynet om, at de på vegne af et yderligere antal kommuner forventer at fremsende lignede henvendelser om lovliggørelse af brugen af Google Workspace og lignende tjenester. Datatilsynet forventer at stille de samme krav til andre kommuner, der foretager lignende behandlinger.
Juridisk baggrund “Datatilsynet forventer, at alle dataansvarlige – inden nye behandlinger af personoplysninger påbegyndes, eller når eksisterende behandlinger ændrer risikobillede – vurderer, om de programmer, services og leverandører, der bruges til at behandle personoplysningerne, rent faktisk kan bruges lovligt. Ud over dette er det et krav efter GDPR, at ingen behandlinger af personoplysninger med høje, ikke nedbragte risici iværksættes, uden at tilsynet bliver oplyst om disse og har haft mulighed for at udøve de beføjelser, som følger af GDPR. Vurderingen og erkendelsen af, at visse services eller leverandøraftaler fører til ulovlig behandling af personoplysninger eller høje risici, der ikke kan nedbringes, er en nødvendig forudsætning for, at kunne få leverandøren til at ændre på de pågældende vilkår og services, ændre på behandlingsaktiviteterne eller ultimativt fravælge leverandøren, hvis denne ikke vil eller kan levere en ydelse, der kan bruges lovligt. Datatilsynet har på baggrund af materialet fra Helsingør Kommune og Aarhus Kommune konstateret, at kommunerne har behandlinger, der ikke har været foretaget lovligt, og at de ikke i fornødent omfang har identificeret og begrænset de risici, der er for eleverne og lærerne. Datatilsynet har meddelt Aarhus Kommune og Helsingør Kommune et påbud om, at den kontrakt, der er indgået med databehandleren og teknologileverandøren, på en række punkter skal ændres og tydeliggøres. Kommunerne har herudover fået påbudt at identificere yderligere risici vedrørende datapunkter og data indeholdende persondata, der videregives til teknologileverandøren til dennes egne formål. Dette påbud indeholder også en nedlukning af funktionalitet i den benyttede teknologi, der medfører uhjemlet videregivelse af personoplysninger. Disse påbud er fastsat med frister på to måneder, og det er meddelt kommunerne, at Datatilsynet har til hensigt at forbyde måden, de pågældende behandlingsaktiviteter bliver udført på, hvis kommunerne ikke kan få leverandøren til ændre de pågældende forhold”. Kilde: Datatilsynet |