I sagen fra Helsingør, som har præget medierne den seneste tid, har Datatilsynet nedlagt påbud om at standse brugen af Googles platforme til skole, herunder også Googles computere Chromebooks, indtil kommunen kan dokumentere, at databeskyttelsesreglerne bliver overholdt.
Både eksperter og myndigheder har flittigt fortolket på Datatilsynets afgørelse, som ikke er helt ligetil at forstå.
Sagen handler dels om, at Helsingør Kommune ikke har været tilstrækkelig grundig i sit forarbejde ift. at dokumentere overholdelse af GDPR og dels om, at kommunen ikke har taget aktivt stilling til en række standardindstillinger på maskinerne og tjenesterne.
Det betyder konkret, at kommunen for det første ikke kan udelukke, at elevernes data er blevet overført til USA, hvor amerikanske myndigheder i princippet kan få adgang til dem. For det andet at kommunen ikke teknisk har forhindret, at eleverne kan tilgå Googles øvrige tjenester med deres skolelicens, hvor elevernes data kan anvendes til op til 33 (!) kommercielle formål.
KL har nu nedsat en arbejdsgruppe, som skal komme med løsningsforslag til de kommuner, der har valgt at bruge Google Workspace Education, herunder også Chromebooks, hvor Styrelsen for It og Læring deltager fra statens side.
Hvad skal I gøre som efterskole?
Der er desværre ikke nogen hurtig løsning ift. GDPR, hvor man som dataansvarlig kan slippe for selv at gøre arbejdet med at sikre og dokumentere overholdelse af GDPR-reglerne.
Datatilsynets kritik af Helsingør Kommune omhandler indtil videre alene Helsingør Kommune. Indholdsmæssigt går kritikken imidlertid både på anvendelsen af Chromebooks (hardware) og Google Workspace for Education (software).
Der er ingen grund til at antage, at efterskoleloven kan give hjemmel til deling med 3. part og anvendelse af data til kommercielle formål, når folkeskoleloven ikke gør.
Ift. anvendelse af Google Workspace for Education afventer foreningen konklusionen af det tværkommunale samarbejde og en videre analyse af den reelle risiko for deling med 3. part og overførsel til 3. lande, som hverken efterskoler eller individuelle kommuner har nogen mulighed for at vurdere på egen hånd. Når konklusionen foreligger, skriver vi ud igen, så I kan få en mere præcis plan for, hvilke tiltag der skal iværksættes til den tid.
Skoler, der anvender Googles tjenester, bør her og nu hurtigst muligt sikre sig, at Google Workspace Education og Cromebooks er indstillet med de nødvendige sikkerhedsindstillinger, så elevernes data ikke deles med 3. part til kommercielle formål.
Efterskoleforeningen er i skrivende stund ved at udarbejde et nyt materiale til skolernes arbejde med at dokumentere overholdelse af GDPR-reglerne. Vi forventer at holde online-kurser ’Godt i gang med GDPR’ inden udgangen af året.