Helsingør Kommune kører ufortrødent videre med Googles Chromebooks, selvom kommunen har fået en advarsel fra Datatilsynet.
I et brev med titlen “Information til medarbejderne om Chrome Books” sendt til kommunens lærere skriver Lars Rich, der er direktør for dagtilbud og skoler i Helsingør, at forbuddet onsdag 3. august ‘ikke skal træde i kraft, og eleverne kan anvende Chromebooks fra næste uges skolestart’.
Det skyldes, at kommunen ikke mener, at der er en høj risiko ved at bruge Googles Chromebooks og Workspaces’ systemer.
Men i Datatilsynets afgørelse fra 14. juli vurderer myndigheden, at kommunen netop løber en høj risiko ved at bruge Googles systemer. Derfor har Helsingør Kommune i al hast siden advarslen fra Datatilsynet fået foretaget en konsekvensanalyse af risikoen.
Lars Rich mener, at kommunen kan fortsætte deres undervisning på Chromebooks.
‘Såfremt DT (Datatilsynet, red.) er uenig i det skal de eksplicit meddele os dette,’ skriver han i brevet.
Juraprofessor: Kommunen løber stor risiko
Overlæggeren i sagen om kommunens brug af Chromebooks handler om, at Googles brug af cloud-systemer i USA eller andre tredjelande udgør en risiko for, at skolelevernes data kan tilgås af amerikanske myndigheder, herunder især efterretningstjenester. Dette bringer kommuner eller andre brugere af Googles systemer i potentiel konflikt med EU’s lovgivning for beskyttelse af persondata.
Radar har forelagt brevet fra kommunen til juraprofessor Bent Ole Gram Mortensen fra Syddansk Universitet, der er redaktør på Dansk persondataret.
Han mener, at kommunen løber en stor risiko ved fortsætte med at bruge Chromebooks.
– I min optik risikerer Helsingør Kommune en bøde. Det kræver dog, at Datatilsynet vælger at indgive politianmeldelse. Men jeg vil mene, at der er en betydelig risiko for, at det ikke kan lade sig gøre at indskrænke risikoen betydeligt, siger Bent Ole Gram Mortensen.
Selvom juraprofessoren ikke har set kommunens konsekvensanalyse, undrer han sig over, at kommunen ikke for længst har ændret den ‘ulovlige praksis’.
– Det er kommunens opgave at sikre sig, at de overholder loven. Det er således kommunens ‘risiko’, om dokumentationen er fyldestgørende. Kommunen kan ikke overføre den risiko på Datatilsynet ved at kræve, at Datatilsynet skal reagere, såfremt de er uenige i, at dokumentationen er fyldestgørende, siger han.
Bødens størrelse vil maksimalt være 16 millioner kroner, og professoren vil ikke spå om, hvorvidt kommunen bliver dømt, da der er for lidt praksis på området.
Kommunen burde være stoppet
I kommunens brev til lærerne skriver kommunaldirektør Lars Rich, at de har fået en ‘urimelig tidsfrist’ til at komme med en konsekvensanalyse.
Men ifølge juraprofessor Bent Ole Gram Mortensen burde kommunen være stoppet med at bruge Chromebooks allerede for to år siden, da afgørelsen fra EU-domstolen kom. Desuden har kommunen haft siden september sidste år, da Datatilsynet kom med det første påbud.
– Jeg spørger mig selv, hvad de offentlige myndigheder har gjort siden. Har de siddet lidt på hænderne, og håbet det gik væk? For det skal man altså ikke – som myndighed har man et ansvar for at overholde loven.
Helsingør: Plan B er utilgivelig
Radar har uden held forsøgt at få et interview med direktør i Helsingør Kommune Lars Rich.
Til fagbladet Folkeskolen siger han, at kommunen har leveret en konsekvensvurdering til Datatilsynet med en “lav risiko” ved brug af Chromebooks. Og derfor vil kommunen ikke iværksætte en plan b, hvilket vil være at skrotte Chromebooks i skolen.
– Jeg er fuldt overbevist om, at plan b ikke skal aktiveres. Vi har arbejdet benhårdt efter plan a, der er, at vi leverer dét, som Datatilsynet beder os om, og at de godkender det. Plan b er utilgivelig overfor elever, lærere og forældre”, siger Lars Rich og tilføjer:
– Jeg er nødt til at sige, at det er en vidtgående sanktion (at forbyde brugen af Chromebooks, red.). Vi har nok den mest restriktive sikkerhedsopsætning, man kan have, og diskussionen handler om, om vi har dokumenteret godt nok, hvor streng den opsætning er.
Far: Kommune lever ikke op til loven
Jesper Graugaard, der som far til en skoleelev i Helsingør startede sagen om kommunens brug af Chromebooks, mener, at kommunens tilgang til sagen viser, at de slet ikke er i stand til at leve op til lovgivningen:
– Kommunen frasiger sig delvis sit ansvar for at sikre børns data og vil altså fortsætte, selvom man ikke er sikker på at leve op til lovgivningen.
Lars Rich henviser til, at det er udenfor kommunens juridiske ansvarsområde. Men det bør ikke undlade kommunen at stoppe op og sikre sig, at persondata ikke videregives ulovligt.
– Det viser i al sin tydelighed, at det slet ikke bør være en kommunal opgave at digitalisere folkeskolen, men derimod skal være en samlet national plan. Folketinget må i arbejdstøjet, siger han.
En pressemedarbejder i Datatilsynet fortæller til Radar, at myndigheden har modtaget en ny konsekvensanalyse på 1700 sider fra Helsingør Kommune mandag. Tilsynet vil nu vurdere den nye dokumentation.
