Googles skoleløsning forbudt i dansk kommune
Mange norske skoler bruker Google-maskinene Chromebook sammen med Googles digitale skoleløsning. Disse blir inntil videre forbudt å bruke på skolene i en dansk kommune, på grunn av sviktende personvern.
Apple, Google og Microsoft er de dominerende selskapene som leverer dataløsninger som benyttes av elevene i norsk skole og mange andre steder i verden. Google lever av å samle inn informasjon om brukerne, men lover å ikke bruke elevdata til markedsføring.
I 75 prosent av alle danske kommuner som benytter Google-maskinene Chromebook, har det danske datatilsynet klagesaker til behandling vedrørende nettopp Chromebook.
Datatilsynet i Danmark har vedtatt å forby bruken av Google-maskinene og programløsningen Google Workspace i kommunen Helsingør.
I Googles skoleløsning foregår det meste oppe i skyen, altså på servere rundt omkring i verden og ikke på den enkelte datamaskin. Det er ikke lovlig at elevdata fra EU-borgere og norske borgere lagres i USA.
Det danske datatilsynet skriver at i utgangspunktet har Helsingør kommune sikret seg at persondata oppbevares i EU, men det er likevel hull i sikkerheten når Google gir support til systemet eller når det åpnes for å dele informasjon med tredjepart.
Tilsynet skriver:
«(…) selvom kommunen har valgt en EU-cloud, så har Google i databehandleraftalen sikret sig ret til potentielt at få support fra tredjelande.»
Tilsynet skriver at Helsingør kommune har inngått en Google-avtale som sier at kundedata kan behandles i mange land, for eksempel Bulgaria, Argentina, India Mexico, Japan, USA og Malaysia.
Avtalen kalles “Data Processing Amendment to Google Workspace and/or Complementary Product Agreement”.
Barnevakten kan legge til at i retningslinjene for brukerstøtte for Workspace står det forklart hva ordene i avtalen betyr, i punkt 7.1 står det: «Vanlig arbeidstid er vanlig arbeidstid i Japan, det vil si kl. 9–17 japansk normaltid fra mandag til fredag.» Så det er tydelig at brukerstøtten er internasjonal.
Helsingør kommune har utført et stort arbeid for å kartlegge hvordan persondata blir brukt i grunnskolen, skriver det danske datatilsynet. Men det var likevel ikke godt nok, for avgjørelsen fra datatilsynet lyder slik:
«(…) at det er grunnlag for å meddele Helsingør kommune et forbud mot å behandle personoplysninger ved bruk af Google Chromebooks og Workspace for Education. Forbudet gjelder inntil Helsingør kommune har bragt behandlingsaktiviteten i overensstemmelse med databeskyttelsesforordningen (…)»
Tilsynet skriver videre:
«Videre suspenderes enhver overførsel av personoplysninger til USA (…)»
Forbudet trer i kraft straks, samtidig får kommunen en frist til 3. august 2022 til å slette allerede overførte opplysninger.
Hvis kommunen ikke gjør det Datatilsynet krever, kan det vanke bøter og til og med fengsel i et halvt år. Vel, det er i alle fall mulighetene i lovverket.
Datatilsynet skriver også at kommunen må kontakte barnas foreldre «med henblik på at udføre de berigtigelser, anonymiseringer eller sletninger af de registrerede personoplysninger, forældrene ikke selv kan foretage i de systemer, hvor elevernes personoplysninger utilsigtet er offentliggjort eller videregivet.»
Avgjørelsen fra det danske datatilsynet er på 9000 ord.
Det danske datatilsynet presiserer at forbudet gjelder kun den ene kommunen og ikke hele Danmark.
Aftenposten skrev om Helsingør-saken 17. juli 2022.
Stockholm by mener Microsoft 365 ikke er trygg
Det er ikke bare Google som er i søkelyset når det gjelder personvern. Stockholm by droppet i januar 2022 Microsoft 365 på grunn av for dårlig personvern.
«Stockholms stad kommer tills vidare inte att införa molntjänsten Microsoft 365 för förvaltningar och bolag. Samtidigt uppmanas stadens pedagogiska verksamheter, som redan använder Microsofts molntjänst, att söka alternativa lösningar.» skriver Realtid. »
Dataansvarlig for byen, Stefan Carlson, uttalte seg slik til Computersweden: ”Det finns inte tillräckliga garantier mot att personuppgifter som hanteras i Stockholms stads it-system kan begäras ut av amerikanska myndigheter.» Les mer her.
Hva kan du gjøre for å forbedre personvernet på den lokale skolen?
Som forelder kan du eventuelt kontakte FAU og spørre om de kan be skolen/kommunen fortelle om den har samme dataavtale som den danske kommunen Helsingør. Da har i alle fall det danske datatilsynet konkludert med at den avtalen er for dårlig når det gjelder personvern. Skjer det ingen endring via kommunen, kan du eller FAU sende inn klage til det norske datatilsynet. Se også her: Sjekklisten som gjør skolemaskinene tryggere.
Oppdatering 5. august 2022: Nettstedet Digi skriver at den danske kommunen har sendt tusenvis av dokumenter til det danske datatilsynet for å bevise at kommunen holder seg til GDPR-reglene. Digi viser til Version2 som har en rekke artikler om saken. Googles skoleløsning brukes i halvparten av Danmarks kommuner. Kommunernes Landsforening i Danmark har innkalt samtlige kommuner til et lukket møte 5. august hvor det danske datatilsynet skal informere. Ifølge Version2 har danske kommuner brukt 100 millioner kroner på å kjøpe inn Google-maskiner og Google-løsninger. Datatilsynets Google-forbud i den ene kommunen kan smitte over til mange andre kommuner. Saken kan også spre seg til norske kommuner.
Det hele startet med en dansk pappa som klaget skolen inn til det danske datatilsynet i slutten av 2019. Skolen hadde opprettet en Google-konto til sønnen på åtte år uten farens samtykke. Dermed ble sønnens navn, skole og klassetrinn offentliggjort av noen andre i en kommentar på Youtube.
I Tyskland fraråder myndighetene at skolerne bruker Microsoft, og i Holland fraråder myndighetene at skolene bruger Google, skriver Version2 som har bidratt med flere personvernavsløringer i den danske grunnskolen de siste årene.
Oppdatering 19. august 2022: Det danske datatilsynet opprettholder forbudet mot Googles skoleløsning i Helsingør kommune, skriver Version2. Les mer i Barnevakten.
Når en kommune innfører digital skoleløsning, må den gjennomføre en konsekvensanalyse for å sikre elevenes personvern. Helsingør leverte en rapport på 1700 sider til datatilsynet etter at forbudet kom. Men den endret altså ikke datatilsynets beslutning som skriver: «Efter Datatilsynets vurdering har kommunen fortsat ikke dokumentereret, at den har nedbragt de høje risici, der er for børnene i kommunens skoler.»
Det danske datatilsynet presiserer at med GDPR har barn rett til et spesielt vern.
Les også:
(Hovedbilde: Shutterstock / CC Photo Labs)