Få it-sager har fyldt så meget det seneste år som trekantsdramaet mellem Google, Helsingør Kommune og Datatilsynet.
Det er ubetinget godt.
For sagen rummer selve essensen af de diskussioner, som mange organisationer og virksomheder har kæmpet med de seneste par år: Uafklarede regler, en stadig mere aktivistisk lovgivning, tilknappede tech-giganter og en (for) tech-begejstret og måske lidt naiv offentlig sektor.
Det er alle vigtige emner, der til sammen skabte en perfekt storm, som Helsingør Kommune endte med at blive fanget i.
Og selvom Datatilsynets påbud til Helsingør Kommune nu er ophævet i to måneder, er det klart, at kommunens Google-baserede indsats i sin nuværende udformning lever på lånt tid.
Forhåbentligt findes der inden da en løsning.
Det offentlige Uber-mentalitet
Det er ubetinget godt, at det offentliges tekno-optimistiske tilgang nu udfordres.
For i sikkert velmenende forsøg på at finde nemmere, effektive og rimeligt prissatte løsninger har man tilsyneladende flere steder overtaget Silicon Valleys motto om at ”move fast and break things”.
Udfordringen er, at det ikke virkede for Uber at satse på at ændre lovgivningen eller tilpasse forretningen EFTER, de kom op og køre - og det må og skal heller ikke virke for kommunerne.
For vi ved, hvad der sker, hvis den lokale forvaltning skal vælge mellem et billigt og nemt tilbud - og så databeskyttelse.
Datatilsynets vedholdenhed i Helsingør-sagen er blevet udråbt som en sejr i den stadige kamp med at få databeskyttelse og den enkeltes rettigheder til at fylde mere, når beslutninger træffes.
Det er det også. Uden tvivl.
Men det er samtidig deprimerende at tænke på de tusindvis af timer, der er blevet brugt på sagen hos de mange berørte kommuner, hos Datatilsynet og hos eventuelle rådgivere.
Historien om GDPR og cookies om igen
Især fordi det samme skete ved implementeringen af GDPR - og før det ved reglerne omkring cookies på hjemmesider.
Her skulle der både rulles eksisterende løsninger tilbage og navigeres efter første generation af et kompliceret og sjældent særligt klart regelsæt. Med meget lidt hjælp at hente.
Det er sandsynligvis svært at undgå. Og der er uden tvivl behov for tilbagerulning af de mange hurtige it-løsninger, som er udtænkt, før databeskyttelse fik den rette opmærksomhed.
Men som Helsingør-sagen også viser, er området - og især cloud-området - ikke alene kompliceret, men også plaget af meget forskellige fortolkninger.
Det skal nok blive afklaret over de næste tre, fire eller 10 år. Men det er meget længe at arbejde og udvikle på en lovgivningsmæssig knivsæg.
Især hvis din teknologi-leverandør er mere globalt end lokalt orienteret.
I det tilfælde er det i sidste ende kunderne, der bliver klemt.
Derfor kan man kun opfordre lovgiverne til at lade tydelig og righoldig vejledning følge ny lovgivning – og samtidig klart opfordre leverandørerne til at være med- og ikke modspillere, når det handler om compliance.
Ellers ender vi alle før alle siden med at blive klemt som Helsingør Kommune.
