I en meget omtalt sag om brug af Google Workspace i Helsingør Kommune har Datatilsynet nu forholdt sig til det materiale, kommunen senest har leveret. På den baggrund fastholder Datatilsynet det forbud, der blev nedlagt i juli.
Datatilsynet fastholder i en ny afgørelse det behandlingsforbud mod Helsingør Kommunes brug af Google Workspace, som tilsynet nedlagde i midten af juli.
Det sker på baggrund af en nøje gennemgang af det omfattende materiale, Helsingør Kommune 1. august har sendt til tilsynet. Efter Datatilsynets vurdering har kommunen fortsat ikke dokumentereret, at den har nedbragt de høje risici, der er for børnene i kommunens skoler.
"Lærere og elever står lige nu i en svær situation, hvor de ikke kan benytte de redskaber, de plejer. Vores afgørelse forbyder på ingen måde brug af it i skolerne - men den konkrete brug af nogle bestemte redskaber i kommunen er ikke forsvarlig over for børnenes oplysninger. Og lidt firkantet sagt er det en konsekvens af kommunens valg og fravalg gennem flere år," siger Allan Frank, som er it-sikkerhedsspecialist og jurist i Datatilsynet, og fortsætter:
"Målet her er ikke at leve op til noget uigennemskueligt bureaukrati, men at passe på elevernes oplysninger. Børn har ifølge GDPR krav på en særlig beskyttelse. Vi kan hver især som voksne mennesker frit vælge, hvilke digitale tjenester vi har lyst til at bruge, men børn skal nu engang benytte de redskaber, som folkeskolerne stiller til rådighed for dem. Og derfor er det vigtigt, at kommunerne sikrer sig, at børnenes oplysninger ikke bliver brugt til andre formål end dem, folkeskoleloven giver mulighed for - eksempelvis markedsføring, profilering eller produktudvikling."
Forbuddet vedrører - ligesom i den tidligere afgørelse - kun Helsingør Kommune.
Hovedpunkter i Datatilsynets nye afgørelse
Datatilsynet lægger - ligesom Helsingør Kommune - til grund, at flere af behandlingerne indebærer en høj risiko for de personer, der bruger Google Workspace.
Helsingør Kommune er af den opfattelse, at alle de relevante risici er identificeret og håndteret, men Datatilsynet vurderer, at dette ikke er tilfældet. Kommunen har i Datatilsynets øjne ikke vurderet de relevante risici, der fremgår af selve kontrakten med leverandøren, og andre offentligt kendte risikoproblemstillinger i den teknologi, de har valgt. Herudover er de risici, som kommunen har identificeret, ikke tilstrækkeligt nedbragt.
Helsingør Kommune har vurderet, at Google alene optræder som databehandler, men efter Datatilsynets opfattelse agerer Google på flere områder som selvstændig dataansvarlig, der behandler personoplysninger til egne formål. Dette bygger blandt andet på, at Google ifølge kommunens materiale selv opfatter sig som dataansvarlig på en række områder.
Datatilsynet konstaterer, at materialet fra Helsingør Kommune ikke lever op til indholdskravene til en konsekvensanalyse. Kommunen har eksempelvis ikke vurderet de relevante risici - selv ikke for de behandlinger, der er beskrevet - og har kun delvist beskrevet fornødne sikkerhedsforanstaltninger.
Datatilsynet har ikke kunnet konstatere, at Helsingør Kommunes databeskyttelsesrådgiver har angivet at have bemærkninger til konsekvensanalysen.
Sammenfattende er det Datatilsynets vurdering, at Helsingør Kommune ikke kan nedbringe risikoen til et acceptabelt niveau uden ændringer i kontraktsgrundlaget og den teknologi, kommunen har valgt at bruge.
Hvad kan Helsingør Kommune gøre nu? Hvis Helsingør Kommune ønsker fremover at bruge Google Workspace i skolerne, bør kommunen i samarbejde med sine leverandører håndtere de relevante risici for børnenes personoplysninger - herunder dem, som Datatilsynet har påpeget i de tre afgørelser - og udarbejde en konsekvensanalyse.
Hvis kommunen her erkender, at det ikke er fuldt ud muligt at nedbringe enhver høj risiko, er der i GDPR en mulighed for sammen med Datatilsynet at lægge en plan for lovliggørelse.
Allerede nu lægger Datatilsynet op til, at kommunen og tilsynet mødes snarest for at drøfte de næste skridt nærmere, så elever og lærere hurtigst muligt kan vende tilbage til en normal hverdag på en forsvarlig måde.
Hvad med de andre kommuner? Selv om afgørelsen forholder sig konkret til behandlingen af personoplysninger i Helsingør Kommune, opfordrer Datatilsynet til, at andre kommuner med tilsvarende forhold ser på de samme områder som i denne sag - navnlig i forhold til videregivelse uden hjemmel og overførsel til usikre tredjelande. Her består opgaven i at vurdere, om der er lignende problemstillinger i de enkelte kommuner, og i så fald i samarbejde med leverandørerne at få styr på behandlingerne, så udstyret kan bruges i overensstemmelse med reglerne.
Ifølge GDPR er det den enkelte kommune, der er dataansvarlig. Men Datatilsynet opfordrer til, at man løfter i flok, så kommunerne går sammen - evt. i regi af KL eller relevante ressortministerier - om at løse problemerne. Mange af forholdene vil være sammenlignelige eller ens.
Selv om kommunerne er dataansvarlige, er der også en vigtig opgave hos de leverandører, kommunerne har valgt. De skal medvirke til at få dokumenteret brugen og ændret vilkårene og teknologien, hvor det er nødvendigt. Det gælder leverandører generelt - men i den konkrete sag har Datatilsynet også været i dialog med Google og direkte opfordret til, at virksomheden spiller aktivt med i forhold til at finde løsninger, der kan nedbringe risikoen for børnene.
Vil du vide mere?
Læs selve afgørelsen.
Læs den tidligere afgørelse fra juli 2022.
Læs den tidligere afgørelse fra september 2021.
Se en video fra KL, hvor Datatilsynet fortæller kommunerne, hvordan de bør forholde sig.
Leder du efter vejledning? Læs om risikovurdering. Læs om konsekvensanalyser. Vejledning om overførsel til tredjelande. Vejledning om cloud.
Kilde: datatilsynet.dk