Chromebook-sag er en øjenåbner for myndigheder

Både Kommunernes Landsforening (KL) og regeringen har sovet gevaldigt i timen i sagen om folkeskolernes brug af Googles Chromebooks, som igen er kommet i fokus efter Datatilsynets afgørelse om Helsingør Kommune. Afgørelsen indeholder et forbud mod at behandle skoleelevernes personoplysninger ved brug af Chromebooks og programmer som Google Workspace, fordi data dermed risikerer at blive udleveret til amerikanske myndigheder.

”Datatilsynets afgørelse er helt i tråd med den skelsættende Schrems II-dom fra EU-domstolen i 2020, og det burde derfor ikke komme som en overraskelse for nogen. Tværtimod virker det helt uforståeligt, at danske myndigheder ikke for længst har grebet ind for at sikre en bedre beskyttelse af elevernes persondata”, fastslår Kåre Løvgren, der er it-teknisk ekspert i Ingeniørforeningen, IDA.

EU-dommen opstiller en række skrappe krav til europæiske myndigheder, der bruger eksempelvis amerikanske cloud-løsninger til at behandle borgernes persondata. Det skyldes, at USA anses som et usikkert tredjeland med et utilstrækkeligt beskyttelsesniveau i forhold til de europæiske GDPR-regler.

Kåre Løvgren mener, at mange folkeskoler og andre offentlige myndigheder ligger, som de har redt, når de har valgt at engagere sig så tæt med amerikanske techvirksomheder som Google og Microsoft fremfor at tænke i mere bæredygtige og uafhængige løsninger.

”Problematikken om behandling af persondata har været kendt i årevis, og Google leverer jo ikke billige Chromebooks til danske folkeskoler af ren velgørenhed. De gør det for at få en fremtrædende placering i børn og unges bevidsthed, så de tidligt lærer Googles løsninger at kende, mens Google høster både klik og data fra danske børn. Men der findes jo alternativer”, siger Kåre Løvgren og peger på Tyskland som et eksempel på bæredygtige og GDPR-ansvarlige it-løsninger.

Han opfordrer de danske myndighederne til hurtigst muligt at skabe klarhed om folkeskolerne brug af it-udstyr og software, så hver enkelt kommune ikke skal opfinde den dybe tallerken selv.

”Her og nu handler det om at minimere de data, man lægger op i skyen. Det gælder faktisk for alle offentlige myndigheder, at de skal tænke i en bedre anvendelse af cloud, som man i dag hovedløst lægger hvad som helst op i. For eksempel er det som oftest slet ikke nødvendigt at gemme alle data med CPR-nummer for at løse en opgave, men det gør de fleste myndigheder alligevel”, siger Kåre Løvgren.

På længere sigt efterlyser IDA en strategi for, hvordan de offentlige myndigheder i højere grad kan frigøre sig fra amerikanske techvirksomheders fangarme.

”Det er ikke noget, man gør fra den ene dag til den anden, men med Chromebook-sagen som afsæt bør vi indlede opgaven med at bygge gode danske og europæiske løsninger, der gør os uafhængige af tech-giganterne”, siger Kåre Løvgren.