Når skolebørn i en lang række af landets kommuner i dag gør brug af en Chromebook, bliver data fra computerne delt med Google, og det er i strid med reglerne.
Sådan lyder konklusionen i en afgørelse fra Datatilsynet, der nu giver et påbud i Chromebook-sagen, der har kørt siden 2019.
Påbuddet betyder, at 53 kommuner skal rette ind og begynde at følge datareglerne.
I første omgang skal kommunerne give en tilbagemelding inden den 1. marts, hvor de fortæller, hvordan de vil leve op til lovgivningen. Herefter har de 53 kommuner indtil den 1. august til at få styr på brugen af Chromebook-computerne, så reglerne bliver overholdt.
Data må ikke bruges til alting
Grundlæggende er problematikken, at elevernes data i dag bliver videregivet til Google, som herefter kan bruge dataen til selskabets egne formål.
I visse tilfælde er der lovhjemmel til, at elevdataen kan videregives og bruges af Google. Det gælder eksempelvis, når oplysningerne bliver brugt til at forbedre sikkerheden, fortæller Datatilsynet.
Men der er ikke hjemmel til, at informationerne fra de danske elever bliver brugt til at vedligeholde og forbedre Google Workspace for Education-tjenesten, ChromeOS og Chrome-browseren, eller til at daten bliver brugt til at udvikle nye funktioner og tjenester i ChromeOS og Chrome-browseren.
Inden man tager et værktøj i brug, skal man som dataansvarlig få sig et overblik over, hvordan man behandler personoplysninger i det, og man skal kunne dokumentere det.
- It-services fungerer i dag ofte på den måde, at videregivelse af personoplysninger er indbygget i produktet, og at anvendelsen af oplysningerne ofte er en forudsætning for, at man kan få det fulde udbytte i produkternes funktionalitet. Det sker dog ikke altid med tilstrækkeligt fokus på beskyttelsen af de borgere, hvis oplysninger bliver brugt, siger Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet, i en pressemeddelelse og fortsætter:
- Men hverken funktionaliteten af de løsninger, man gerne vil bruge, leverandørens markedsposition, den standardiserede opbygning eller den blotte anvendelse af et standardprodukt kan begrunde, at man ikke lever op til de regler om databeskyttelse, som man fra politisk hold har besluttet, at vi skal have i Europa.
Manglende afklaring
Datatilsynet pointerer i sin afgørelse, at kommunerne ikke havde afklaret, hvordan elevernes data ville blive brugt af Google, inden Chromebook-computerne blev taget i brug.
- Inden man tager et værktøj i brug, skal man som dataansvarlig få sig et overblik over, hvordan man behandler personoplysninger i det, og man skal kunne dokumentere det. Det krav gælder alle organisationer. Men når der er tale om offentlige myndigheder – hvor vi som borgere ikke selv kan fravælge, at vores oplysninger bliver behandlet – har Datatilsynet en særlig forventning om, at de nødvendige analyser bliver både gennemført og dokumenteret, siger Allan Frank.
Jeg synes, det er ret og rimeligt, at vi ved, hvem der tilgår danske elevers opgaver.
Hos PROSA understreger formand Niels Bertelsen, at det er afgørende, at kommunerne får styr på sagerne og overholder reglerne.
- Chromebook-sagen kører på femte år, og i den periode har folkeskolens elever ikke haft et alternativ til at bruge Google Workspace. Jeg synes, det er ret og rimeligt, at vi ved, hvem der tilgår danske elevers opgaver, siger Niels Bertelsen og fortsætter:
- Jeg synes også, at sagen peger på, at vores folkeskoler er udfordret på teknologiforståelse. De har åbenlyst ikke gennemskuet, at prisen på billige Chromebooks til folkeskolen er, at eleverne betaler med deres data. Der findes alternativer til de eksisterende produkter, så der har ikke været og er fortsat ikke en undskyldning for ikke at gribe til handling nu. Teknik og etik kan faktisk gå hånd i hånd.
KL: Svært for den enkelte
Chromebook-sagen startede i 2019, da en far til en skoleelev sendte en klage over, at hans otteåriges søns navn og skole kunne ses på Youtube, som er en del af Google.
Årsagen til, at oplysningerne havnede på Youtube, var, at en af sønnens kammarater havde lånt Chromebook-computeren og skrevet en besked på Youtube. Klagen fik Datatilsynet til at gå ind i sagen, og nu skal de 53 kommuner altså rette ind.
Hos Kommunernes Landsforening (KL) er kontorchef Pia Færch ærgelig over, at kommunerne selv skal finde ud af, hvordan reglerne skal efterleves. KL vil derfor hjælpe kommunerne i fællesskab med, hvordan de kan leve op til lovgivningen.
- Vi har flere gange efterlyst, at vi kunne få noget hjælp fra staten eller fra EU. Man kan ikke sidde som enkelt kommune med sådan nogle techgiganter som Google, siger hun til Ritzau.
Datatilsynet kommer selv med en række forslag til, hvordan kommunerne kan få bragt orden i sagerne. Eksemplerne på en løsning kunne være:
- At kommunerne ikke længere videregiver personoplysninger til Google til disse formål. Det vil sandsynligvis kræve, at Google udvikler en teknisk mulighed for, at de pågældende datastrømme afskæres.
- At Google selv afstår fra at behandle oplysningerne til disse formål.
- At Folketinget tilvejebringer et tilstrækkeligt klart retsgrundlag for videregivelse til disse formål.