Far politianmelder Helsingør Kommune i Chromebook-sag

Jesper Graugaard, der som far til en skoleelev i Helsingør startede sagen om kommunens brug af Chromebooks, fortæller, at han netop har politianmeldt kommunen for ulovligt at fortsætte brugen af Chromebooks og Google Workspace til Nordsjællands Politi.

– Jeg har lige politianmeldt kommunen. Min retsfølelse er i bund i dag. Kommunen må ikke ophæve det påbud, de har fået fra Datatilsynet, før tilsynet vælger at ophæve forbuddet. Grundlæggende set er det forkert at ophæve påbuddet, hvis de ikke har leveret dokumentation. Hvis vi lever i et land, hvor myndigheder selv kan ophæve påbud, så er vi en bananrepublik, siger Jesper Graugaard.

Jesper Graugaards valg om at politianmelde Helsingør Kommune kommer efter, at referencedirektør Lars Rich meldte ud, at kommunen fortsat vil bruge Chromebooks i folkeskolen. 

Det sker, selvom Datatilsynet 14. juli udtalte alvorlig kritik at kommunens håndtering af persondata samt et generelt forbud mod kommunens brug af Google Workspace, indtil der er lavet en fyldestgørende dokumentation og konsekvensanalyse. Derudover har Datatilsynet suspenderet Helsingør Kommunes behandlinger af persondata, der bliver overført til tredjelande uden det fornødne beskyttelsesniveau.

Ifølge juraprofessor Bent Ole Gram Mortensen fra Syddansk Universitet kan Helsingør Kommune få en bøde i størrelsesordnen 16 millioner kroner, hvis sagen ender med dom.

Helsingør Kommune oplyser til Radar, at den mener, at de har indsendt den nødvendige dokumentation til Datatilsynet. På nuværende tidspunkt har kommunen ikke yderligere kommentarer til politianmeldelsen.

Borgmester til angreb på Datatilsynet

Helsingør Kommunes borgmester Benedikte Kiær er på Linkedin gået til angreb på Datatilsynet i Chromebook-sagen.

‘Vi bliver hængt ud som en kommune, der ikke har taget sagen alvorligt. Det er ikke i orden! For vi har leveret alt det, som Datatilsynet har efterspurgt,’ skriver Benedikte Kiær.

Borgmesteren mener, at kommunen har leveret alt, hvad Datatilsynet efterspurgte, og at de derfor føler sig urimeligt behandlet.

‘Vi mener, at Datatilsynet kun har skrevet, at hvis vi finder, at risikoen er høj, så skal vi lave en konsekvensanalyse. Og det viste vores risikovurdering, at den ikke var,’ skriver borgmesteren.

Men en række eksperter, som Radar har talt med, mener, at den forklaring er et eksempel på ‘whataboutism’.

Hos Datatilsynet fortæller Allan Frank, der er it-specialist og jurist, at de lige nu er i gang med at vurdere kommunens konsekvensanalyse.

– Helsingør kommune har sendt materialet, som de mener forklarer og lever op til reglerne i databeskyttelesesfordning. Så nu må  Datatilsynet se, om det forholder sig sådan, at de behandler de problemer, vi har peget på, og at de kan dokumentere det. Og så må vi jo finde ud af, om de har kigget på problemerne med tredjelandsoverførsler, siger Allan Frank.

Ifølge ham løber kommunen en risiko ved at fortsætte med at bruge Google Workspace og Chromebooks.

– De tager en standpunktsrisiko ved at satse på, at det arbejde de har lavet er fyldestgørende, og at den dataansvarlige står inde for, at det de har gjort er rigtigt. Men det skal stilles op i mod det forbud, som er nedlagt, og det er sådan set der, sagen står lige nu, siger Allan Frank.

Digitaliseringschef: Man laver altid konsekvensvurderinger

Jens Kjellerup, der er digitaliseringschef i Ballerup Kommune, undrer sig over, hvorfor Helsingør ikke for længst har leveret en konsekvensvurdering efter deres langvarige dialog med Datatilsynet.

– Grundlæggende så skal vores skolebørn ikke betale for undervisningsmidler med deres persondata. Når det så er sagt, mener jeg, at hvis vi gør vores arbejde ordentligt og grundigt, og har en kritisk og tæt dialog med Google, så er det muligt at få indstillet Google Workspace for Education og de tilhørende Chromebooks så anvendelse er indenfor rammerne af GDPR, siger Jens Kjellerup og tilføjer:

– Det forudsætter selvfølgeligt, at vi har grundlaget for disse indstillinger på plads. Grundlaget er diverse analyser herunder risiko- og konsekvensanalyser. Indholdet af disse analyser og vores øvrige metoder og tilgange til cloudløsninger styrer, hvad der skal fokus på at sikre i indstillingerne på elevernes Chromebooks, siger han.

Ifølge digitaliseringschefen er der to grunde til, at man som myndighed skal være meget forsigtig med at bruge Googles cloud-løsninger. Det ene tema er Googes muligheder for at udnytte elevernes data kommercielt. Det andet tema er muligheden for at data overføres til et GDPR-mæssigt tredjeland, USA, hvor myndigheder og efterretningstjenester betinget af lovgivningen kan få adgang til den.

Eksperter undrer sig over borgmesters forklaring

Under borgmesterens opslag på Linkedin har en række fagfolk rejst deres undren over, at kommunen ikke har foretaget  en konsekvensanalyse efter en langvarig dialog med datatilsynet. En af dem er den svenske cloud-specialist ved skattevæsnet Arman Borghem, som blandt andre står bag de svenske myndigheders beslutning om at droppe amerikanske cloud-løsninger.

‘Jeg har svært ved at se, hvordan amerikansk cloud-tjeneste og børns personoplysninger til en kommunes skoledrift ikke retfærdiggør en konsekvensanalyse. Det er et lovkrav, at der er behov for en konsekvensanalyse, og ikke noget, som en dataansvarlig kan fravælge, skriver han i opslaget.

Ifølge Pia Tesdorf, der lever af at rådgive og holde foredrag om privacy og GDRP, er borgmesteren forsøg på at skyde skylden på Datatilsynet, et eksempel på whataboutism.

– Det er ren whataboutism, når borgmesteren bortforklare kommunens handlinger på den måde. Konsekvensanalysen skulle være lavet, før de overhovedet havde taget noget i brug, og så kan de komme med nok så mange undskyldninger de vil. Problemet er, at borgmesteren sætter hele det politiske system op i mod en myndighed, som i bund og grund bare udføre deres arbejde. Kommunen kommer aldrig igennem med at bruge Google, for der er adskillige eksempler på, at der er enormt mange risici forbundet med det, siger Pia Tesdorf.

Opdateres …