”Chromebook-sagen”, der startede ved skolerne i Helsingør Kommune i 2019, har haft et langt liv. 

Det centrale problem opstod ved, at disse anvendte Education-platforme, der krævede, at eleverne oprettede Google-konti, som herefter dagligt delte og lagrede personlige oplysninger uden den nødvendige viden herom. 

I første omgang blev kommunen kritiseret for ikke at have foretaget de fornødne vurderinger af risikoen for de registreredes rettigheder. På baggrund af den dokumentation og risikovurdering, som kommunen blev pålagt at foretage, konstaterede Datatilsynet i 2022, at behandlingen på flere punkter ikke levede op til kravene i GDPR. I januar 2024 kom Datatilsynet så med et påbud på baggrund af, at der ikke var hjemmel til at videregive personoplysninger til Google til alle de formål, der fremgik af kontrakten mellem kommunen og Google. 

Helsingør Kommune var langt fra den eneste kommune, der blev ramt.

Ikke færre end 52 kommuner er nemlig omfattet af sagen med udsigt til dyre investeringer i udstyr, der ikke kunne anvendes. 

Da covid-19 pandemien ramte, blev det lysende klart for alle, at det var en nødvendighed for skolerne at skifte til fjernundervisning, herunder ved brug af indkøbte Chromebooks. Derfor må kommunerne også have mulighed for at følge den teknologiske udvikling.

Nu har kommunerne hen over sommeren opfyldt Datatilsynet påbud; i al fald delvist.

Løsningen er, at kommunerne har indgået en aftale med Google, hvor Google afstår fra at bruge data til egne formål og de formål, der ikke er lovhjemmel til. Elevernes personoplysninger vil derfor alene blive behandlet efter kommunernes instrukser.

Tre løsningsveje

En del af problemstillingen er, at Googles kontrakter kan være så vage, uklare eller komplekse, at den enkelte kommune vanskeligt kan danne sig et overblik. 

Her har digitaliseringsministeren udtalt, at der er tre løsningsveje, nemlig tekniske løsninger, lovgivningsløsninger og endelig kontraktuelle løsninger. Det har givet KL anledning til at skyde på regeringen. Regeringen træder derimod vande og vil afklare det yderligere, imens leverandørerne melder hus forbi.

For mig at se må løsningen være, at kommunerne kommer i arbejdstøjet og selv udarbejder det relevante kontraktgrundlag – det kan eventuelt gøres i samarbejde med andre kommuner. Mit råd er, at kommunerne skal bruge juridiske kontrakter med klare krav til leverandøren som grundlag for købet og samarbejdet.

Den databeskyttelsesretlige regulering, herunder GDPR, er allerede særdeles veludviklet og designet til at fungere effektivt i en digital kontekst. Reglerne er tilstrækkeligt klare og omfatter de nødvendige sikkerhedsforanstaltninger for at beskytte persondata også i den offentlige sektor. 

Rammerne for databeskyttelse er altså på plads, og det er op til kommunerne at sikre, at de overholdes gennem præcise og gennemtænkte kontrakter med leverandører som fx Google. 

Jurister er nøglen

Kommunen har ansvaret for at indgå kontrakter, der sikrer, at alle databehandlingsaftaler følger lovens krav. Kommunerne skal derfor aktivt sikre, at deres kontrakter med teknologileverandører tydeligt specificerer, hvordan persondata beskyttes, og at der ikke sker ulovlig videregivelse eller behandling af data hos tredjelande. 

Med andre ord skal løsningen findes ved, at kommunerne bliver bedre til at anvende de eksisterende regler og skriver dem ind i deres aftaler frem for at efterspørge yderligere regulering.

Jurister karakteriseres ofte som bagstræberiske, hvilket umiddelbart taler imod digital udvikling og forandring. Jeg tror dog, at jurister er nøglen til, at kommunerne proaktivt kan få udarbejdet gode kontraktgrundlag, der både taler sig ind i en digital fremtid og sikrer borgernes rettigheder - så brug dem aktivt!