Datatilsynet har gennem længere tid haft fokus på brugen af Chromebooks og Google Workspace (tidligere G Suite for Education) i kommunerne. Brugen er udbredt på landsplan, men konkret har Datatilsynet haft en verserende sag i Helsingør Kommune.
Således traf Datatilsynet en afgørelse i september 2021, hvor Helsingør Kommune bl.a. fik et påbud om at foretage en risikovurdering af kommunens behandlinger af personoplysninger i folkeskolen ved brug af Chromebooks og Workspace. Datatilsynet har nu på baggrund af den dokumentation og vurdering af risikoen for de registrerede, som Helsingør Kommune har udarbejdet, konstateret, at behandlingen ikke lever op til kravene i GDPR på flere punkter.
"Helsingør Kommune har lavet et stort og dygtigt arbejde for at kortlægge, hvordan persondata bliver brugt i folkeskolen, men det belyser også de databeskyttelsesretlige problemer, der kan være med de store tech-firmaers måder at løse opgaven på," siger Allan Frank, som er it-sikkerhedsspecialist og jurist i Datatilsynet.
Datatilsynet finder, at kommunen ikke har vurderet nogle helt konkrete risici i forhold til databehandlerkonstruktionen. Herudover fremgår det af databehandleraftalen, at der kan overføres oplysninger til tredjelande i supportsituationer uden det fornødne sikkerhedsniveau.
Set i lyset af afgørelsen fra september 2021 har Datatilsynet nu truffet en afgørelse. Den indeholder blandt andet:
- Suspension af, at Helsingør Kommune foretager behandlinger, hvor der bliver overført oplysninger til tredjelande uden det fornødne beskyttelsesniveau
- Et generelt forbud mod behandlingen med Google Workspace, indtil der er lavet en fyldestgørende dokumentation og konsekvensanalyse, og indtil behandlingerne er bragt i overensstemmelse med forordningen
- Alvorlig kritik af kommunens behandling af personoplysninger
Datatilsynet gør opmærksom på, at mange af konklusionerne i denne afgørelse formentlig vil gælde andre kommuner, der benytter samme behandlingskonstruktion. Datatilsynet forventer derfor, at disse kommuner selv tager relevante skridt på baggrund af afgørelsen - også selvom tilsynet for tiden færdigbehandler et antal af sager vedrørende andre kommuner.
Vil du vide mere?
Læs selve afgørelsen her.
Læs afgørelsen fra september 2021.
Læs mere om risikovurdering.
Læs mere om konkekvensanalyse.
Læs Datatilsynets vejledning om overførsler til tredjelande.
Læs Datatilsynets vejledning om brug af cloud.