HELSINGØR: Datatilsynet har gennem længere tid haft fokus på brugen af Chromebooks og Google Workspace (tidligere G Suite for Education) i kommunerne. Tilsynet udtaler nu alvorlig kritik og nedlægger i sag fra Helsingør Kommune forbud mod brugen af Google Workspace og overførsel til tredjeland, fremgår det af tilsynets afgørelse.
Brugen af Chromebooks er udbredt på landsplan, men konkret har Datatilsynet altså haft en verserende sag i Helsingør Kommune. Allerede ved en afgørelse i september sidste år bl.a. fik kommunen påbud om at foretage en risikovurdering af kommunens behandlinger af personoplysninger i folkeskolen ved brugen. Og det er på baggrund af kommunens dokumentation og risikovurdering, at Datatilsynet nu konstaterer, at behandlingen ikke lever op til kravene i GDPR på flere punkter.
"Helsingør Kommune har lavet et stort og dygtigt arbejde for at kortlægge, hvordan persondata bliver brugt i folkeskolen, men det belyser også de databeskyttelsesretlige problemer, der kan være med de store tech-firmaers måder at løse opgaven på," siger Allan Frank, som er it-sikkerhedsspecialist og jurist i Datatilsynet.
Sagen i Helsingør begyndte i 2019, da en forældre klagede til kommunen over, at hans barn havde fået oprettet en konto til YouTube, hvorved barnets navn kunne blive offentliggjort på den digitale kanal. Sagen er flere gange omtalt af DKNyt, fx i 2020.
Afgørelsen i Helsingør Kommune
Datatilsynet finder, at Helsingør Kommune ikke har vurderet nogle helt konkrete risici i forhold til databehandlerkonstruktionen. Herudover fremgår det af databehandleraftalen, at der kan overføres oplysninger til tredjelande - her USA - i supportsituationer uden det fornødne sikkerhedsniveau.
Set i lyset af afgørelsen fra september 2021 har Datatilsynet nu truffet en afgørelse. Den indeholder blandt andet:
- Suspension af, at Helsingør Kommune foretager behandlinger, hvor der bliver overført oplysninger til tredjelande uden det fornødne beskyttelsesniveau
- Et generelt forbud mod behandlingen med Google Workspace, indtil der er lavet en fyldestgørende dokumentation og konsekvensanalyse, og indtil behandlingerne er bragt i overensstemmelse med forordningen
- Alvorlig kritik af kommunens behandling af personoplysninger
Kommuner bør selv reagere
Forbuddet og suspensionen træder i kraft straks, men Helsingør Kommune indrømmes en frist til den 3. august 2022 til at inddrage og nedlægge brugere og rettigheder, samt få slettet allerede overførte oplysninger.
Datatilsynet gør opmærksomhed på, at mange af konklusionerne i afgørelsen fra Helsingør formentlig vil gælde andre kommuner, der benytter samme behandlingskonstruktion.
"Datatilsynet forventer derfor, at disse kommuner selv tager relevante skridt på baggrund af afgørelsen - også selvom tilsynet for tiden færdigbehandler et antal af sager vedrørende andre kommuner", skriver tilsynet i afgørelsen.
Datatilsynets afgørelse ses her.
Tekst, grafik, billeder, lyd og andet indhold på dette website er beskyttet efter lov om ophavsret. DK Medier forbeholder sig alle rettigheder til indholdet, herunder retten til at udnytte indholdet med henblik på tekst- og datamining, jf. ophavsretslovens §11 b og DSM-direktivets artikel 4.
Kunder med IP-aftale/Storkundeaftaler må kun dele DK Tekniks artikler internt til brug for behandling af konkrete sager. Ved deling af konkrete sager forstås journalisering, arkivering eller lignende.
Kunder med personligt abonnement/login må ikke dele DK Tekniks artikler med personer, der ikke selv har et personligt abonnement på DK Teknik
Afvigelse af ovenstående kræver skriftlig tilsagn fra DK Medier.
