Bemærk
Denne artikel er flyttet fra en tidligere version af folkeskolen.dk, og det kan medføre nogle mangler i bl.a. layout, billeder og billedbeskæring, ligesom det desværre ikke har været teknisk muligt at overføre eventuelle kommentarer under artiklen.
Da Helsingør Kommune uddelte Chromebooks til alle elever skete det uden en vurdering af risikoen for, at elevernes persondata ville falde i forkerte hænder. Det blev derfor heller ikke overvejet, hvordan man ved at ændre indstillingerne på de små Google-skolecomputere kunne reducere den risiko.
Og det er et brud på EU's persondataforordning, kaldet GDPR, konkluderer Datatilsynet i en ny afgørelse.
Helsingør Kommune får derfor et påbud om at bringe kommunens brug af Chromebooks inden for rammerne af GDPR inden 1. november.
Kritikken hagler ned over Chromebooks på skolerne
Desuden giver tilsynet kommunen en advarsel om, at også kommunens brug af forskellige tillægsprogrammer til Googles G-Suite for Education-software er i strid med GDPR, med mindre der udarbejdes en risikovurdering, der viser, "at risikoen for de registreredes rettigheder og frihedsrettigheder ikke er høj".
I alt udtaler tilsynet alvorlig kritik af, at kommunens behandling af personoplysninger har forbrudt sig mod tre paragraffer i databeskyttelsesforordningen.
Toppen af isbjerget
Sagen er startet af Jesper Graugaard i august 2019. Han opdagede, at hans søn havde en konto på Youtube i sit eget, fulde navn, uden forældrene havde givet tilladelse.
Den var oprettet automatisk, fordi den dengang otte-årige søn havde fået oprettet en Google-konto til skolebrug af Helsingør Kommune, der er såkaldt Google-kommune og har indkøbt Chromebooks til eleverne.
Og afgørelsen om Helsingør Kommune forventes blot at være toppen af af et meget stort isbjerg. Politiken har tidligere skrevet, at Datatilsynet er på vej med kritik til knap halvdelen af landets kommuner for GDPR-overtrædelser i forbindelse med udrulning af Chromebooks på skolerne.
Google-kommuner under beskydning: Beskytter ikke elevernes personlige data
En aktindsigt til mediet Version2 har afsløret, at 24 ud af landets 45 Google-kommuner ikke har lavet den krævede risikovurdering ved at anvende G-Suite for Education.
Jesper Graugaard glæder sig over, at Datatilsynet pålægger kommunen at få styr på brugen af Chromebooks, men finder alligevel afgørelsen bekymrende.
"Når kommunen tvinger børn til at bruge Googles produkter, skal de også have styr på datasikkerheden omkring det, og det har de med al ønskelig tydelighed ikke. Det er tankevækkende, på hvor mange punkter der udtales kritik, og at der ikke er gjort mere for at rette op på det i de to år, der er gået, siden jeg klagede", siger han til folkeskolen.dk/it
Datatilsynet noterer sig da også i sin afgørelse, at kommunen endnu ikke har lukket for elevernes adgang via G-suite-skolekonti til fx Youtube.
Tilsynet: Googles forretningsmodel er alment kendt
Jesper Graugaard hæfter sig særligt ved, at der i Datatilsynets afgørelse står, at kommunen burde have ændret indstillingerne, fordi der "ved hel ordinær og forventet brug af udstyret vil kunne ske overførsel af persondata til tjenester uden for EU".
Desuden påpeger tilsynet, at det er en skærpende omstændighed, at der ikke er udarbejdet en risikoanalyse, når det er "alment kendt, at en del af forretningsmodellen for øvrige dele af Googles produkter er oplysningsindsamling, målrettet markedsføring og salg af disse oplysninger".
Ingen grænser for deling af elevdata
"Med tanke på, at det er påvist, at halvdelen af kommunerne står med samme udfordringer, bør man overveje, om det er dem, der skal have ansvaret for det", siger Jesper Graugaard og tilføjer:
"Og jeg synes også, vi bør have en diskussion om, hvorfor et resursestærkt land som Danmark ikke har en dansk løsning på det her. I stedet for, at man skal gå til et multinationalt selskab, som har som forretningskoncept at indsamle og sælge data".
Jesper Graugaard havde i 2019 foretræde for Folketingets undervisningsudvalg. Her oplevede han dog, at landspolitikerne helst ikke ville udtale sig om problemstillingen, så længe sagen verserede i Datatilsynet. Nu hvor sagen er afsluttet, vil han gerne have dem på banen.
Chromebooks og G-Suite kan bruges lovligt
Datatilsynet understreger i sin afgørelse, at kommunalbestyrelsen i henhold til folkeskoleloven har ret til at træffe afgørelse både om brugen af it i undervisningen samt "hvilket fabrikat og software, der skal benyttes".
Tilsynet skriver videre, at både Chromebooks og G-Suite for Education vil kunne indstilles, så "der ikke sker behandlinger, der overstiger det råderum kommunen har".
Tilsynet understreger dog, at kommunen ikke må bruge personoplysninger til andet end "den nødvendige realisering af formålet i folkeskoleloven".
Det indskærpes, at personoplysninger ikke lovligt kan videregives til andre dataansvarlige til brug for deres formål. Det mener tilsynet er tilfældet, når tillægsprogrammer til G-Suite for Education - som for eksempel Youtube - får adgang til elevernes personoplysninger.
Forsker: Alt for blind tillid til data
"Dette inkluderer også, at elevernes brug af udstyret og programmerne ikke genererer personhenførbare oplysninger, herunder metadataoplysninger, der benyttes til markedsføring og profilering", står der i afgørelsen, som fortsætter:
"Datatilsynet finder, at en sådan videregivelse ikke kan anses for nødvendig for kommunens myndighedsudøvelse. De behandlinger der er sket i G-Suites tillægsprodukter, og har medført videregivelse af personoplysninger til Google, har derfor ikke haft fornøden behandlingshjemmel".
Opdateret kl. 16:25 med kommentar fra Helsingør Kommune:
Direktør i Helsingør Kommune Lars Rich forklarer i en skriftlig kommentar, at kommunen vil være klar med sin risikovurdering inden 1. november:
"Vi handlede i 2019 resolut på udfordringerne, da vi blev klar over problemet, og ændrede i systemopsætninger og interne procedurer for at sikre datasikkerheden mest muligt. Vi tager Datatilsynets afgørelse til efterretning, og kan konstatere, at vi ikke er helt i mål, da tilsynet har pålagt os også at udarbejde en risikovurdering".
"Det arbejde har vi derfor igangsat med det samme, vi fik afgørelsen, så den ligger klar inden den 1. november. Samtidig gennemgår vi afgørelsen grundigt, for at sikre os, at vi har været hele vejen rundt".
"Og så vil vi i vores fremadrettede vurdering af cromebook være meget optaget af hvordan de mange andre kommuner, der bruger produktet vurderer datasikkerheden, så vi alle kan lære mest muligt af denne sag og hinanden".