Nu begynder den danske Chromebook-sag at få indflydelse i andre lande. Norge kigger nemlig mod Danmarks afgørelse for at hente inspiration.
Det danske datatilsyn traf i januar en afgørelse om, at kommunernes videregivelse af data til Google er ulovlig, som det finder sted i dag.
De 53 kommuner, som bruger Chromebooks, fik derfor et påbud om at rette ind efter loven, hvis de vil fortsætte med at bruge Chromebooks og Workspace. Kommunerne har indtil 1. august 2024 til at leve op til påbuddet, og de skal senest 1. marts oplyse, hvordan de vil leve op til det.
Folkeskolerne må ikke videregive elevernes oplysninger til vedligeholdelse og forbedring af Google Workspace for Education-tjenesten, ChromeOS og Chrome-browseren. De må heller ikke anvende data til eksempelvis måling af ydeevnen og udvikling af nye funktioner og tjenester i ChromeOS og Chrome-browseren.
I Norge er man nu begyndt at se samme vej.
”Det norske datatilsyn har i nogen tid efterlyst en stærkere central styring af privatlivsarbejdet i norske skoler. En beslutning fra Datatilsynet i Danmark giver os endnu en mulighed for at rejse emnet på den politiske dagsorden,” skriver Kristin Skolt, juridisk rådgiver ved Datatilsynet i Norge i et indlæg.
Hun er enig i meget af den danske afgørelse.
”Vi mener, at vurderingerne af lovlighed, hjemmel og formålsbegrænsning er gode. Det kan vi bygge videre på i vores arbejde i Norge. Som beslutningen understreger, efterlyser vi i Norge også en stærkere central styring af privatlivsarbejdet i skolesektoren. Vigtige spørgsmål om, hvor omfattende indsamling af persondata vi bør tillade i skolerne, og til hvilke formål persondataene kan bruges, skal på den politiske dagsorden,” skriver hun.
Kristin Skolt beskriver, at Norge og Danmark har en lignende transformation af Folkeskolen de seneste 10 år, hvor der er sket en digital omvæltning, hvor nærmest alle elever nu har en digital enhed, og flere kommuner bruger cloudløsninger.
”Det er op til hver enkelt kommune at sikre, at privatlivsreglerne er sikret ved indførelse og brug af digitale læringsværktøjer. Det forudsætter blandt andet, at kommunen har kontrol over ansvaret mellem kommunen og leverandøren, hvilke personoplysninger der behandles i tjenesterne, og at uvedkommende ikke får adgang til personoplysningerne. Dette er et krævende job,” skriver hun.
Kristin Skolt beskriver, at kommunerne ofte bliver præsenteret med kontrakter med meget omfattende vilkår, som kræver indgående ekspertise inden for informationssikkerhed og privatliv.
”Derudover er det svært for hver enkelt kommune at stille krav til store markedsaktører som Google, Microsoft eller Apple. Vi mener, at etableringen af en omfattende og aggressiv statslig privatlivspolitik i skolesektoren, som anbefalet i Personbeskyttelseskommissionens rapport, vil løse nogle af disse udfordringer,” skriver hun.
Overføres til Norge
Norge har som nævnt fulgt den danske afgørelse tæt og betragter det som en vigtig beslutning både på grund af, at der er tale om børn, men også et generelt dataretsligt princip.
”Vi har fulgt Datatilsynets (i Danmark, red.) arbejde tæt, og mener, at flere af vurderingerne har overførselsværdi til Norge,” skriver hun.
Det mangler dog at bliver vurderet om den norske lovgivnings hjemmel kan give samme resultat som i Danmark.
”Samtidig efterlyser det norske datatilsyn en bred politisk debat om privatlivets fred i nutidens skoler. I sidste ende er det os, som samfund, der bestemmer i hvilket omfang og til hvilke formål personoplysningerne behandles,” lyder det.
Det norske datatilsyn påtalte i 2020 tre norske kommuner for brug af Chromebooks.
Begrundelsen var, at kommunerne ikke havde en tilstrækkelig behandlingsprotokol, forældre havde ikke fået god nok information, ligesom der heller ikke var foretaget tilstrækkelige risikovurderinger.