Blog

Kan kommunerne løfte opgaven

Bør ansvar om indkøb af computere og handler om softwareløsninger - med komplekse GDPR-politikker - placeres hos kommunerne

Atle Winther
Atle Winther
Offentliggjort Sidst opdateret

I EU gælder persondataforordningen/GDPR. Det grundlæggende princip med forordningen er at beskytte vores personlige oplysninger imod at blive høstet af tredjepart.

I Danmark har vi længe brystet os af, at være helt fremme i skoene, når det kommer til digitalisering mellem borgere og myndigheder. Når vi benytter et digitalt produkt som potentielt kan udveksle data til lande uden for EU, er det derfor væsentligt at vi kan have fuld tillid til at vores data er beskyttet. Det er den dataansvarlige myndighed, som skal sikre os, at vores personlige data ikke ender hos private aktører med kommercielle interesser eller hos udenlandske myndigheder.

Overførsler til tredjelande vil kræve et helt særligt juridisk grundlag. Det vil være et brud på GDPR og en krænkelse af vores borgerrettigheder, hvis vi benytter et produkt som overfører data til tredjelande, hvis der ikke er grundlag for det.

Da Helsingør Kommune i 2019 integrerede Chromebooks og Workspace i folkeskolen, havde man ikke vurderet de risici som var forbundet med platformen. I januar 2020 anmelder Kommunen et brud på persondatasikkerheden, som en vågen forælder allerede havde klaget over i 2019, idet kommunen havde videregivet elevers personoplysninger til tredjepart.

Først i september 2021 får Helsingør Kommune et påbud af Datatilsynet om, at foretage en risikovurdering ved Chromebooks og brugen af Workspace til kommunens børn.

På baggrund af denne risikovurdering “finder Datatilsynet, at der er grundlag for at meddele Helsingør Kommune et forbud mod at behandle personoplysninger ved brug af Google Chromebooks og Workspace for Education”.(1)

Atle Winther

Til dagligt er jeg programmør i Espergærde, men de seneste tre år har jeg også undervist i folkeskole- og privatskoleregi samt været frivillig i Coding Pirates. Herudover afholder jeg workshops i programmering i Gifted Children samt FOF. Bloggen henvender sig til undervisere på alle trin, som søger inspiration inden for teknologiens felter. Mit fokus vil være på de kreative aspekter, som programmering og kodning, software, robotter, 3D print og lignende. Jeg har en kritisk tilgang til it i folkeskolen og i samfundet og vil forsøge at skabe debat omkring de teknologibegejstrede strømninger, som, jeg synes, kendetegner dele af folkeskolens undervisning.

Datatilsynet vender tommelfingeren nedad. Derfor skulle man vel nok tro, at praksis ville være at rette ind efter forbuddet; og lade enhver tvivl om, at personoplysninger kan ende hos tredjepart komme elevernes retssikkerhed til gode. Men i stedet for at nedlægge brugere og slette enhver data på kommunens computere, fortsætter man med at bruge Chromebooks og Workspace i Helsingør. Det er forstemmende, at det kan lade sig gøre.

Fra klagen i 2019 og helt frem til Datatilsynets afgørelse om forbud i juli 2022, skulle man tro at Helsingør har haft rig mulighed for at planlægge et andet alternativ til folkeskolens børn end Chromebooks og Workspace. Men nej; en plan B lader desværre ikke til at være tilfældet. Lad mig citere Helsingør Kommunes referencedirektør, Lars Rich: ”Jeg er fuldt overbevist om, at plan b ikke skal aktiveres. Vi har arbejdet benhård efter plan a, der er, at vi leverer dét, som Datatilsynet beder os om, og at de godkender det. Plan b er utilgivelig overfor elever, lærere og forældre” (2)

GDPR og databehandleraftaler er voldsomt komplekst stof. Det må kræve nogle meget dygtige og skarpe jurister ude i hver enkelt kommune. Spørgsmålet er om alle kommuner har ressourcerne til at indgå sagligt velovervejede beslutninger om køb af computere, og forhandle de kontraktuelle forhold på plads med amerikanske tech-virksomheder og leverandører.

I Helsingør lader det i hvert fald til at man har siddet på hænderne og håbet på at problemet forsvandt. Og imens har de andre Google-kommuner lukket øjnene og afventet. Det ser vi nu, hvor flere kommuner melder sig i kor om at spørge Google om hjælp.(3)

Fordi man har bundet sig til nogle (uoverskuelige) aftaler med big-tech, så bør de ansvarlige myndigheder under ingen omstændigheder eksperimentere med vores data og slet ikke med børns data.

Det helt store spørgsmål lige nu er om ansvaret for indkøb af hardware og handler om software-løsninger bør placeres ude i kommunerne, eller om Helsingør-sagen har vist at opgaven er alt for tung?

Fodnoter

1: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/jul/datatilsynet-nedlaegger-behandlingsforbud-i-chromebook-sag-

2:https://www.folkeskolen.dk/helsingor-kommune-it/helsingor-fortsaetter-med-chromebooks-pa-trods-af-forbud/4666480

3:https://www.folkeskolen.dk/helsingor-kommune-it-kl/chromebook-kommuner-gar-til-google-i-samlet-flok/4667593

Schrems ii - bl.a. om overførsler til tredjepart: https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DA&mode=req&dir=&occ=first&part=1&cid=9714792

it i undervisningen nb debat blog atle winther it

Bliv blogger på folkeskolen.dk

Har du lyst til at blive blogger? Ansøg om en blog her

Bemærk: Bloggere på folkeskolen.dk repræsenterer kun egne holdninger