Google Apps forbudt i Odense

Et år efter kommunes bøn om billig cloud: Nej, Google Apps er usikkert!

Artikel top billede

Datatilsynet har atter sagt nej til, at lærere i Odense må bruge Google Kalender og Google Dokumenter i undervisningen. Årsagen er, at det stadig er usikkert, om dataene behandles i overensstemmelse med den danske lovgivning for datasikkerhed.

"(Det er) ...Datatilsynets opfattelse, at der på en række punkter er problemer i forhold til kravene i persondataloven og sikkerhedsbekendtgørelsen. Det fører til, at Datatilsynet ikke er enig i Odense Kommunes vurdering af, at fortrolige og følsomme oplysninger om elever og forældre kan behandles i Google Apps," skriver Datatilsynet til Odense Kommune.

Afvisningen betyder ikke, at det offentlige er forhindret i at bruge cloud-løsninger til behandling af følsomme informationer - men den viser endnu en gang, hvor mange problematikker der er forbundet med at lægge dataene i skyen. Kommunen bruger eksempelvis allerede Google Apps til aflevering af opgaver, men kan ikke bruge cloud-løsningen til de personfølsomme dele.

 

Tredje afvisning i principiel sag

Allerede i februar sidste år spurgte Odense Kommune, om de kunne bruge Google Apps - lagt i et specielt site - i undervisningen. Tanken var, at lærerne kunne bruge Googles cloud-løsninger til at planlægge undervisningen og evaluere undervisningsforløb og de enkelte elevers faglige udvikling. Lærerne skulle også tage notater om klasser og elevers samarbejde og skrive til forældrene om deres børn. Googles simple løsninger skulle også bruges til at planlægge og invitere til møder - samt generel information om undervisningen.

Datatilsynet har to gange tidligere stillet en række opklarende spørgsmål til Odense Kommunes planer. Det er derfor nu trejde gang, at Datatilsynet afviser, at Google-løsningen er sikker nok til de personfølsomme sager. Spørgsmålet er principielt, eftersom eksempelvis Socialdemokraterne efterspørger billige og grønne cloud-løsninger til det offentlige.

Årsagen til Datatilsynets afvisning er, at de data, der skal behandles, blandt andet er følsomme oplysninger om helbredsforhold, væsentlige sociale problemer og andre private forhold. Derfor har den danske lovgivning specielle krav til, hvordan dataene behandles og logges. Disse strenge krav lever Google App-løsningen ikke op til endnu, lyder vurderingen fra Datatilsynet.

Det er blandt andet risikovurderingen, databeskyttelsen, logning af data og kontrol med misbrugsforsøg, der stadig er knaster omkring.

 

Hvor ligger dataene præcist?

Et af problemerne er, at det er uklart, hvor dataene præcist opbevares. Det er stadig usikkert, om der ligger data i datacentre i tredjelande uden for EU/EØS og USA. Hvis dataene ligger i et tredjeland, så skal der være en klar kontrakt, som lever op til en række lovkrav om databehandlingen. Odense Kommune har ikke disse kontrakter på plads.

 

Risikovurdering ikke god nok

Derudover har Odense Kommunes risikovurdering ikke været grundig nok til, at Datatilsynet vil godkende den. Eksempelvis er det et problem, mener Datatilsynet, at kommunen ikke har taget stilling til, at Google ikke krypterer trafikken i deres Apps, men blot tilslører transmissionen, så den bliver sværere at sætte sammen til noget forståeligt.

 

Instruks bider sig selv i halen

Samtidig er Odense Kommunes lovpligtige instruks over for Google, at Google skal overholde deres egne regler. En sådan instruks er reelt uden indhold, mener Datatilsynet. Samtidig betyder instruksen, at Google kan ændre sine regler for databehandling, så reelt er det en gummi-instruks. Dermed lever Odense Kommunes aftale med Google ikke op til lovens krav om, at det skal fremgå klart og tydeligt i en aftale, at databehandleren (Google) alene handler efter instruks fra den dataansvarlige (Odense Kommune).

 

Google sletter ikke data

Et andet problem er, at Google ikke sletter deres data i overensstemmelse med lovens krav. Datatilsynet anbefaler, at man sletter data med magnetisk forstyrrelse eller destruktion af diske, men dét gør Google ikke. De fjerner blot henvisninger og overskriver siden eventuelt diskene.

 

Krypteres data, når de sendes mellem datacentre?

Et andet problem er krypteringen af de personfølsomme data. Google kan ved transmission af personfølsomme oplysninger til Google Apps sende i krypteret form via Secure Sockets layer (SSL)/Transport Layer Security (TLS) session encryption. Krypteringsniveauet er 128bit RC4. Til gengæld fremgår det ikke, om transmission af data mellem Googles datacentre foregår krypteret.

Datatilsynet anbefaler desuden, at elever og lærere bruger digital signatur eller lignende til at logge på Google Apps for at skabe en sikker logon-løsning.

 

Manglende kontrol med forsøg på misbrug

Datamyndigheden mener også, at Odense Kommune ikke har godt nok styr på, om andre kunne forsøge at bryde ind i elevernes og lærernes brugerkonti. Godt nok har kommunen et overblik over mislykkede log-ind via en server i Odense, men Datatilsynet efterspørger også tjek af forsøg på indbrud i systemet uden om adgangsserveren.

 

Der er fem store knaster

Datatilsynet giver i deres lange afvisning fem overordnede områder, hvor Odense Kommunes planer kan tænkes at spille dårligt sammen med lovkravene. De fem knaster kan læses på Datatilsynets hjemmeside (link) i begyndelsen af deres præsentation.

Læses lige nu

    HusCompagniet A/S

    IT-driftskonsulent

    Midtjylland

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    MLOps Engineer til opbygning af Forsvarets nye AI-platform

    Københavnsområdet

    Capgemini Danmark A/S

    AI Data Architect

    Københavnsområdet

    Annonceindlæg fra SuperOffice

    Succesfuld AI-implementering kræver langt mere end teknologien

    Hvis offentlige organisationer skal lykkes med AI, skal de først have styr på adoption, datakvalitet og datasuverænitet.

    Navnenyt fra it-Danmark

    Immeo har pr. 1. maj 2026 ansat Sofie Amalie Buur som Consultant. Hun kommer fra en stilling som Frontend Engineer & UI/UX Designer hos Valyrion. Hun er uddannet Cand.it. Softwaredesign ved ITU. Nyt job
    Alexander Hoffmann, SVP, Technology & IT hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Tech, IT & Security. Han skal fremover især beskæftige sig med at lede den fortsatte udvikling af en mere integreret og software-drevet infrastrukturplatform. Forfremmelse

    Alexander Hoffmann

    GlobalConnect

    IFS Danmark A/S har pr. 1. juni 2026 ansat Lasse Hounsgaard som AI Account Executive. Lasse skal især beskæftige sig med udrulning af IFS.ai Logistics i Norden. Lasse kommer fra en stilling som Manufacturing Account Executive hos Autodesk ApS. Lasse er uddannet cand.merc. i International Virksomhedsøkonomi. Lasse har tidligere beskæftiget sig med digitalisering af danske og nordiske virksomheder. Nyt job

    Lasse Hounsgaard

    IFS Danmark A/S

    Pinksky har pr. 1. maj 2026 ansat Alexander Skou Henkel, 39 år,  som Rådgivende konsulent. Han skal især beskæftige sig med optimering af forretningsprocesser i Microsoft platformen. Han kommer fra en stilling som IT forretningskonsulent hos Evobis ApS. Han har tidligere beskæftiget sig med forretningsudvikling i Microsoft platformen. Nyt job