I sagen om brug af Google Workspace i Helsingør Kommune har Datatilsynet nu suspenderet det gældende forbud, men har samtidig givet påbud om lovliggørelse af brugen. Et tilsvarende påbud er givet til Aarhus Kommune.
I juli nedlagde Datatilsynet et forbud mod brugen af Google Workspace i Helsingør Kommune, og i august fastholdt tilsynet forbuddet. Helsingør Kommune har nu i den efterfølgende dialog med Datatilsynet identificeret en række forhold, hvor brugen af Google Workspace mv. enten ikke har været lovlig, eller hvor risikoen for skoleeleverne ikke er blevet tilstrækkeligt identificeret og nedbragt. Datatilsynet har på baggrund af denne erkendelse - og konstateringen af tilsvarende forhold i flere andre kommuners behandlinger - besluttet at suspendere forbuddet i en kort periode og givet kommunen et antal påbud, der skal lovliggøre brugen.
Det betyder i praksis, at eleverne i Helsingør – i denne periode – kan genoptage brugen af Google Workspace, men at den varige anvendelse af produkterne er under forudsætning af, at kommunen får håndteret en række væsentlige udestående i forhold til kontrakter, teknologi og dokumentation.
"Når vi træffer det valg at suspendere forbuddet, skyldes det, at kommunen nu har erkendt og beskrevet de problemer, der skal lovliggøres. Der er kommet en rimelig klarhed over, hvad der udestår - og derfor giver vi nu kommunen to måneder til at få styr på det sammen med dens leverandører," forklarer Allan Frank, jurist og it-sikkerhedsspecialist i Datatilsynet.
Samme proces i Aarhus Kommune Ud over påbuddet til Helsingør Kommune har Datatilsynet også givet et tilsvarende påbud til Aarhus Kommune. Det sker på baggrund af, at Aarhus Kommune (ligesom Helsingør Kommune) har konstateret, at nogle af de behandlinger af skolebørns personoplysninger, de hidtil har foretaget, ikke har været foretaget lovligt, og at de ikke i fornødent omfang har haft identificeret og begrænset de risici, der er for de eleverne. Derfor er der nu også i Aarhus Kommune indledt en tilsvarende proces om lovliggørelse.
Kommunernes Landsforening har orienteret Datatilsynet om, at de på vegne af et yderligere antal kommuner forventer at fremsende lignede henvendelser om lovliggørelse af brugen af Google Workspace og lignende tjenester. Datatilsynet forventer at stille de samme krav til andre kommuner, der foretager lignende behandlinger.
Juridisk baggrund Datatilsynet forventer, at alle dataansvarlige – inden nye behandlinger af personoplysninger påbegyndes, eller når eksisterende behandlinger ændrer risikobillede – vurderer, om de programmer, services og leverandører, der bruges til at behandle personoplysningerne, rent faktisk kan bruges lovligt. Ud over dette er det et krav efter GDPR, at ingen behandlinger af personoplysninger med høje, ikke nedbragte risici iværksættes, uden at tilsynet bliver oplyst om disse og har haft mulighed for at udøve de beføjelser, som følger af GDPR.
Vurderingen og erkendelsen af, at visse services eller leverandøraftaler fører til ulovlig behandling af personoplysninger eller høje risici, der ikke kan nedbringes, er en nødvendig forudsætning for, at kunne få leverandøren til at ændre på de pågældende vilkår og services, ændre på behandlingsaktiviteterne eller ultimativt fravælge leverandøren, hvis denne ikke vil eller kan levere en ydelse, der kan bruges lovligt.
Datatilsynet har på baggrund af materialet fra Helsingør Kommune og Aarhus Kommune konstateret, at kommunerne har behandlinger, der ikke har været foretaget lovligt, og at de ikke i fornødent omfang har identificeret og begrænset de risici, der er for eleverne og lærerne. Datatilsynet har meddelt Aarhus Kommune og Helsingør Kommune et påbud om, at den kontrakt, der er indgået med databehandleren og teknologileverandøren, på en række punkter skal ændres og tydeliggøres. Kommunerne har herudover fået påbudt at identificere yderligere risici vedrørende datapunkter og data indeholdende persondata, der videregives til teknologileverandøren til dennes egne formål. Dette påbud indeholder også en nedlukning af funktionalitet i den benyttede teknologi, der medfører uhjemlet videregivelse af personoplysninger.
Disse påbud er fastsat med frister på to måneder, og det er meddelt kommunerne, at Datatilsynet har til hensigt at forbyde måden, de pågældende behandlingsaktiviteter bliver udført på, hvis kommunerne ikke kan få leverandøren til ændre de pågældende forhold.
Kilde: datatilsynet.dk
Comments