HELSINGØR: Datatilsynet fastholder forbuddet mod brugen af computeren Chromebook og platformen Google Workspace i Helsingør Kommune, oplyser styrelsen efter at har gennemgået det opfattende materiale, som kommunen har sendt tilsynet 1. august.
- Vores afgørelse forbyder på ingen måde brug af it i skolerne - men den konkrete brug af nogle bestemte redskaber i kommunen er ikke forsvarlig over for børnenes oplysninger. Og lidt firkantet sagt er det en konsekvens af kommunens valg og fravalg gennem flere år, siger it-sikkerhedsspecialist og jurist i Datatilsynet Allan Frank.
Han tilføjer, at det er vigtigt, at kommunerne sikrer sig, at børnenes oplysninger ikke bliver brugt til andre formål end dem, folkeskoleloven giver mulighed for - eksempelvis markedsføring, profilering eller produktudvikling.
Forbuddet vedrører - ligesom i den tidligere afgørelse - kun Helsingør Kommune.
Helsingørs muligheder
Datatilsynet peger i sin afgørelse på, at Helsingør nu bør samarbejde med sine leverandører for at håndtere risici for børnenes personoplysning - og udarbejde endnu en konsekvensanalyse.
Hvis kommunen ikke kan nedbringe risikoen, kan den sammen med Datatilsynet lægge en plan, så brugen af computerne bliver lovlig, siger tilsynet.
Der læggges også fra Datilsynets side op til, at kommunen og tilsynet mødes og drøfter næste skridt i forhold til at vende tilbage til en normal hverdag med computere i skolerne.
De andre kommuner
Som ved Datatilsynets tidligere afgørelse i forhold til computer-brugen i Helsingør, så opfordrer tilsynet andre kommuner med tilsvarende forhold til at se på de samme områder, som i Helsingør-sagen. Det handler især om overførsel af data og videregivelse af hjemmel til usikre tredjelande.
Ifølge GDPR er det den enkelte kommune, der er dataansvarlig. Men tilsynet opfordrer til, at kommunerne går sammen - evt. i regi af KL eller relevante ressortministerier - om at løse problemerne. Mange af forholdene vil være sammenlignelige eller ens, skriver tilsynet.
Derudover har også leverandørerne en vigtig opgave med at dokumentere brugen og eventuelt ændre vilkår og teknologi, hvor det er nødvendigt. Konkret har Datatilsynet været i dialog med Google og direkte opfordret til at spille aktivt med for at finde løsninger, der nedbringer risikoen for børnene.
Selve afgørelsen for Helsingør Kommune kan læses her.
Hovedpunkter i Datatilsynets nye afgørelse
- Datatilsynet lægger - ligesom Helsingør Kommune - til grund, at flere af behandlingerne indebærer en høj risiko for de personer, der bruger Google Workspace.
- Helsingør Kommune er af den opfattelse, at alle de relevante risici er identificeret og håndteret, men Datatilsynet vurderer, at dette ikke er tilfældet. Kommunen har i Datatilsynets øjne ikke vurderet de relevante risici, der fremgår af selve kontrakten med leverandøren, og andre offentligt kendte risikoproblemstillinger i den teknologi, de har valgt. Herudover er de risici, som kommunen har identificeret, ikke tilstrækkeligt nedbragt.
- Helsingør Kommune har vurderet, at Google alene optræder som databehandler, men efter Datatilsynets opfattelse agerer Google på flere områder som selvstændig dataansvarlig, der behandler personoplysninger til egne formål. Dette bygger blandt andet på, at Google ifølge kommunens materiale selv opfatter sig som dataansvarlig på en række områder.
- Datatilsynet konstaterer, at materialet fra Helsingør Kommune ikke lever op til indholdskravene til en konsekvensanalyse. Kommunen har eksempelvis ikke vurderet de relevante risici - selv ikke for de behandlinger, der er beskrevet - og har kun delvist beskrevet fornødne sikkerhedsforanstaltninger.
- Datatilsynet har ikke kunnet konstatere, at Helsingør Kommunes databeskyttelsesrådgiver har angivet at have bemærkninger til konsekvensanalysen.
- Sammenfattende er det Datatilsynets vurdering, at Helsingør Kommune ikke kan nedbringe risikoen til et acceptabelt niveau uden ændringer i kontraktsgrundlaget og den teknologi, kommunen har valgt at bruge.
KILDE: Datatilsynet
Tekst, grafik, billeder, lyd og andet indhold på dette website er beskyttet efter lov om ophavsret. DK Medier forbeholder sig alle rettigheder til indholdet, herunder retten til at udnytte indholdet med henblik på tekst- og datamining, jf. ophavsretslovens §11 b og DSM-direktivets artikel 4.
Kunder med IP-aftale/Storkundeaftaler må kun dele DK Indkøbs artikler internt til brug for behandling af konkrete sager. Ved deling af konkrete sager forstås journalisering, arkivering eller lignende.
Kunder med personligt abonnement/login må ikke dele DK Indkøbs artikler med personer, der ikke selv har et personligt abonnement på DK Indkøb
Afvigelse af ovenstående kræver skriftlig tilsagn fra DK Medier.
