Forbud mod overførsel af data til tredjelande og mod brugen af Google Workspace.

Datatilsynet har truffet afgørelse om brug af udstyr der transporterer data til andre lande. Afgørelsen forbyder specifikt overførsel af data til tredjelande og brug af data i Skyen i f.eks. Google Workspace eller Microsoft Office 365, selvom sidstnævnte ikke nævnes.

Chromebooks er populære fordi de kører med et operativsystem der er LINUX baseret. Linuxvarianten er GENTOO som regnes for at være stabil og sikker tilsammen med andre varianter såsom Redhat, DEBIAN og UBUNTU. Sikkerheden er meget højere ved LINUX end ved brug af Windows men der er mange eksempler på at Google benytter dine data til at videresælge.

I en sag om brug af Chromebooks i Helsingør Kommune udtaler Datatilsynet alvorlig kritik og nedlægger forbud mod overførsel til tredjelande og mod brugen af Google Workspace.

Datatilsynet har gennem længere tid haft fokus på brugen af Chromebooks og Google Workspace (tidligere G Suite for Education) i kommunerne. Brugen er udbredt på landsplan, men konkret har Datatilsynet haft en verserende sag i Helsingør Kommune.

Således traf Datatilsynet en afgørelse i september 2021, hvor Helsingør Kommune bl.a. fik et påbud om at foretage en risikovurdering af kommunens behandlinger af personoplysninger i folkeskolen ved brug af Chromebooks og Workspace.

Datatilsynet har nu på baggrund af den dokumentation og vurdering af risikoen for de registrerede, som Helsingør Kommune har udarbejdet, konstateret, at behandlingen ikke lever op til kravene i GDPR på flere punkter.

“Helsingør Kommune har lavet et stort og dygtigt arbejde for at kortlægge, hvordan persondata bliver brugt i folkeskolen, men det belyser også de databeskyttelsesretlige problemer, der kan være med de store tech-firmaers måder at løse opgaven på,”

siger Allan Frank, som er it-sikkerhedsspecialist og jurist i Datatilsynet.

Datatilsynet finder, at kommunen ikke har vurderet nogle helt konkrete risici i forhold til databehandler konstruktionen. Herudover fremgår det af databehandler-aftalen, at der kan overføres oplysninger til tredjelande i supportsituationer uden det fornødne sikkerhedsniveau.

Set i lyset af afgørelsen fra september 2021 har Datatilsynet nu truffet en afgørelse. Den indeholder blandt andet:

  1. Suspension af, at Helsingør Kommune foretager behandlinger, hvor der bliver overført oplysninger til tredjelande uden det fornødne beskyttelsesniveau
  2. Et generelt forbud mod behandlingen med Google Workspace, indtil der er lavet en fyldestgørende dokumentation og konsekvensanalyse, og indtil behandlingerne er bragt i overensstemmelse med forordningen
  3. Alvorlig kritik af kommunens behandling af personoplysninger

Datatilsynet gør opmærksomhed på, at mange af konklusionerne i denne afgørelse formentlig vil gælde andre kommuner, der benytter samme behandlingskonstruktion.

Datatilsynet forventer derfor, at disse kommuner selv tager relevante skridt på baggrund af afgørelsen – også selvom tilsynet for tiden færdigbehandler et antal af sager vedrørende andre kommuner.  

Kilde: Datatilsynet
Fotokredit: Datatilsynet