Datatilsynet traf d. 14. juli 2022 afgørelse om, at Helsingør Kommune midlertidigt skulle stoppe brugen af Google Chromebooks og Workspace for Education, indtil kommunen i tilstrækkelig grad kunne dokumentere, at persondatabehandlingen lever op til databeskyttelsesforordningen. Vi vil her give vores blik på sagen og på, hvordan den enkelte frie og private skole kan håndtere brugen af IT i undervisning.
Afgørelsen fra Helsingør Kommune er en konkret afgørelse vedr. Helsingør Kommune og kan derfor ikke direkte overføres til øvrige brugere af Google Chromebooks eller Workspace for Education. Der er dog i afgørelsen en række elementer, der gør, at den enkelte skole bør gøre sig nogle overvejelser for ikke at risikere at komme i samme situation. De frie og private skoler er dataansvarlige på samme vis som kommunerne og har derfor ansvar for at leve op til databeskyttelsesforordningen. Vi har derfor følgende konkrete anbefalinger på nuværende tidspunkt:
- Det anbefales, at den enkelte skole gennemgår egen opsætning af systemet med henblik på at sikre, at det alene er opsat til de elementer, som skolen aktivt bruger og har brug for. De betyder også, at elementer, der øger risiko for overførsel til tredjeland (udenfor EU/EØS, f.eks. til USA) bør deaktiveres.
- Skolen bør sikre, at brugeroprettelse i videst muligt omfang sker uden brug af personlige oplysninger som f.eks. navn. Brugeroprettelse kan f.eks. ske med unilogin som brugernavn.
- Skolen bør gennemlæse databehandleraftalen for at sikre sig, at det tydeligt fremgår, at data ikke overføres til tredjeland. Hvis der er mulighed for overførsel af data til tredjeland, skal dette forhindres med en supplerende instruks til databehandleren.
Hertil kommer, at der ved brug af supportfunktion skal være et særligt fokus på, at der ikke overføres data til tredjeland. Hvis support kræver overførsel eller deling af data, f.eks. ved at supportmedarbejderen logger ind på skolens system, bør support alene foretages indenfor EU.
Afgørelsen stadfæster samtidig, at hvis der er risiko for, at der er uhjemlet overførsel af data til tredjeland, skal skolen udarbejde en ’Transfer Impact Assesment (TIA)’, konsekvensanalyse samt iværksætte tilstrækkelige foranstaltninger for at sikre, at risikoen fjernes.
Vi vil følge sagen og vender tilbage, hvis der er afgørende nyt.
Læs mere om behandling af persondata på vores hjemmeside og hos Datatilsynet
