Kort om Chromebooksagen
Datatilsynet har nu fastholdt deres afgørelse om behandlingsforbud mod Helsingør Kommunes brug af Google Workspace, som tilsynet nedlagde forbud mod i midten af juli. Datatilsynet har fastholdt afgørelsen på trods af det ekstra materiale, kommunen har sendt til tilsynet i august, idet man har fundet, at Helsingør Kommune fortsat ikke har nedbragt de høje risici, der er for børnene i kommunens skoler i forbindelse med behandlingen af deres personoplysninger i Google Workspace.
Sagen har givet anledning til en del debat og ikke mindst forvirring. NJORD vil derfor gengive hovedpunkterne i Datatilsynets nye afgørelse for at skabe et bedre overblik og en forståelse for, hvorfor Datatilsynet har både nedlagt og fastholdt dette behandlingsforbud.
hovedpunkterne i sagen
Datatilsynet lægger som det første til grund, at behandlingen af personoplysninger i Google Workspace indebærer en høj risiko for eleverne. Dette er Helsingør Kommune som udgangspunkt enige i.
Helsingør Kommune har fastholdt, at alle relevante risici er identificeret og håndteret. Dette er Datatilsynet uenig i. Tilsynet mener, at der hverken er taget stilling til alle de risici, der er identificeret i selve kontrakten eller de offentligt kendte problemstillinger, der findes i den valgte teknologi. Dertil mener Datatilsynet ikke, at de identificerede risici er nedbragt tilstrækkeligt.
Helsingør Kommune har lagt til grund, at Google alene optræder som databehandler, men dette strider imod Datatilsynets opfattelse. Google optræder på flere områder som selvstændig dataansvarlig og behandler personoplysninger til egne formål. Datatilsynet bygger bl.a. denne opfattelse på, at Google – i kommunens materiale – selv opfatter sig som dataansvarlig.
Datatilsynet mener heller ikke, at Helsingør Kommune lever op til indholdskravene til en konsekvensanalyse, idet de ikke har vurderet de relevante risici og kun delvist har beskrevet de nødvendige sikkerhedsforanstaltninger. Derudover har Datatilsynet ikke kunnet konstatere, at Helsingør Kommunes databeskyttelsesrådgiver har angivet at have bemærkninger til konsekvensanalysen.
Ud fra disse betragtninger er det Datatilsynets vurdering, at Helsingør Kommune ikke er i stand til at nedbringe risikoen ved den pågældende behandling af personoplysninger til et acceptabelt niveau uden, at der skal ske ændringer i kontraktgrundlaget samt den teknologi, som kommunen har besluttet at benytte.
hvad så nu?
Datatilsynet har meldt ud, at der holdes konstruktive møder med både Helsingør Kommune og Kommunernes Landsforening (KL). Dog er det allerede nu klart, at det vil være nødvendigt for Helsingør Kommune at samarbejde med sine leverandører om at håndtere de relevante risici for elevernes personoplysninger, hvis de fortsat ønsker at benytte sig af Google Workspace.
I tilfælde af at kommunen erkender, at det ikke er fuldt ud muligt at nedbringe enhver høj risiko, er der i GDPR en mulighed for, at der i samarbejde med Datatilsynet lægges en plan for lovliggørelse af behandlingen.