02/07/2024 - Magtens Tredeling #186

Ulovligt på en måde så lovene må laves om


Chromebooksagen har for alvor blotlagt, at lovgivningen, som den er nu, ikke hænger godt sammen i vores 2024-digitale liv. Der er behov for, at der bliver kigger samlet på problemet, der ikke handler om en enkelt lov. Ellers går det ud over sikkerhed og konkurrenceevne.

Det er konklusionen fra de to gæster i seneste episode af Magtens Tredeling, den ene selvstændig GDPR-ekspert, den anden fra Dansk Industri. De peger på en svær knude at løse, som sagen står nu, og uddyber, hvordan sagens kerne har ændret sig gennem de fem år, Chromebooksagen har rullet som en langsom lavine.

Tekst og foto: Dan Poulsen og Rasmus.



Billedet: Emil Fink-Jensen og Charlotte Bagger Tranberg da de besøgte K-NEWS og Magtens Tredeling, samt et udsnit fra Datatilsynets påbud fra 30. januar i år.

 

Der er deadline om mindre end en måned.

1. august er opstillet som sidste frist fra Datatilsynet til mere end halvdelen af landets kommuner. Den dato skal tingene være i orden. Og tilsynet nævner i deres påbud fra januar tre måder lovligheden opnås. Dem kan du læse til sidst i denne artikel.

Det startede tilbage i 2019 med et datalæk, som Helsingør Kommune, helt som de skulle, indberettede til Datatilsynet. Indholdet i lækket fik en opmærksom skolebarnsforælder til at undre sig. Kunne det virkelig være tilladt, at en af kommunens skoler som en del af undervisningen med brug af Chromebooks delte hans 8-årige søns identitet med Google?

Nej. Med den dataudveksling gjorde kommunen ikke, som den skulle.

De er interesserede i nogle data om, hvordan man bruger deres produkter, så de kan udvikle dem og gøre dem mere intuitive og bedre

Emil Fink-Jensen, juridisk fagleder, DI, om hvorfor Google - og andre teknologileverandører - ønsker den data, som i dag er i spil i Chromebooksagen.

 

Forælderen bed sig fast, bad om aktindsigter hos Datatilsynet, og derfra rullede den langsomme lavine, der siden har kastet alvorlig kritik, påbud og forbud af sig.

Problemets omfang – har det vist sig - rækker langt ud over folkeskolen, da håndhævelsen af dansk lov og GDPR-forordning fundamentalt udfordrer en stor del af vores digitale liv anno 2024.

53 kommuner er omfattet af det påbud, Datatilsynet kom med 30. januar i år, og derfor er KL, Kommunernes Landsforening, aktivt inde i sagen. Det samme er DI, Dansk Industri, fordi en fastholdelse af den nuværende digitale gordiske knude skaber negative konsekvenser for danske it-leverandørers konkurrenceevne, som juridisk fagleder fra DI Emil Fink-Jensen udlægger det i Magtens Tredeling.

 

Clash mellem systemer

Lad os lige runde det, der for alvor viste sig at være et clash mellem kommunerne og Datatilsynet.

Det blev ikke mindst tydeligt med det forbud, der kom i midten af juli 2022 med ordene:

”Der er grundlag for at meddele Helsingør Kommune et forbud mod at behandle personoplysninger ved brug af Google Chromebooks og Workspace for Education,” konkluderer Datatilsynet.

Sammen med påbuddet, dengang i 2022, gav tilsynet tre ugers frist til at bringe tingene i orden med ordene:

”Helsingør Kommune indrømmes en frist til den 3. august 2022 til at inddrage og nedlægge brugere og rettigheder, samt få slettet allerede overførte oplysninger.”

Hvem som helst der arbejder med it og dataleverandører, der for en dels vedkommende har base i udlandet, og hvem som helst der arbejder med cloud-baserede it-løsninger, der både har omfattende terms & conditions og i øvrigt skal stille med et højt sikkerhedsniveau, ved, at en periode fra 17. juli til 3. august slår til som en kop vand i helvede i forhold til at leve op til det påbud.

At det i øvrigt er tre uger midt i skolernes og formentlig også i de involverede i KL’s sommerferie, er blot endnu en detalje, der viser et clash mellem to systemer.

Omvendt kan det selvfølgelig indvendes, at Helsingør Kommune og KL kunne have taget det hele langt mere alvorligt fra lavinens start i 2019 og i særdeleshed, da de første tilsynskonklusioner om ulovligheder så dagens lys.

Sagen, der startede som en ulovlig deling af en 8-årigs private informationer med YouTube, der ejes af de samme som Google, har over fem år ændret sig.

Den så åbenlyse deling af børns identitet med tredjepart, som det var tilfældet med YouTube, der indgår som en del af den softwarepakke, skolerne benytter, er for længst ophørt med Datatilsynets mellemkomst. Tilbage står i dag udveksling af data, der er mere pseudonymiseret. Det er data om brugernes adfærd ved maskinen, der hjælper softwareudbydere til løbende at monitorere om deres produkter leverer, sådan som de som leverandør optimalt ønsker.

Eller sagt på en anden måde: Det er data, der hjælper virksomheder til at produktudvikle. Og her er der en karambolage mellem lovgivninger og den effektive digitale virkelighed.

 

Børn kan identificeres

Begge gæster i seneste episode af Magtens Tredeling-podcasten anerkender, at den data, der i pseudonymiseret form leveres til – i det her tilfælde – den cloudbaserede tjeneste hos Google, kan bruges til at identificere det enkelte barn.

Det vil nok tage nogle dage, men det kan lade sig gøre, som Emil Fink-Jensen fra Dansk Industri tilføjer.

Han sidder som gæst i Magtens Tredeling overfor Charlotte Bagger Tranberg, jurist, ph.d. og selvstændig rådgiver inden for blandt andet GDPR.

Også hun anerkender, at der er et tab af privatlivsdata, men hun fremhæver at der, som verden fungerer i dag, er så store fordele ved cloudbaserede løsninger, at de er svære at undvære.

"Sikkerhedsmæssigt, der kan man sige, at det gode ved en cloud-løsning, frem for noget vi selv har on-prem, jo er, at en cloud-løsning for eksempel bliver patchet løbende. Så snart der er en sårbarhed, så patcher de den med det samme."

Emil Fink-Jensen supplerer umiddelbart efter med, at ”on-prem” populært sagt er at have sin computer stående i kælderen frem for, at data og computerkraft er forbundet og forstærket via nettet.

Dansk Industri har kastet sig aktivt ind i sagen, da de ser en del alarmerende røde flag for erhvervslivet i forlængelse af afgørelserne fra Datatilsynet.

"Datatilsynet nævner selv i deres afgørelse, at den teknologiske udvikling ikke nødvendigvis altid har haft databeskyttelsesreglerne ordentligt for øje. Det virker lidt som et opgør med 20 års måde at drive IT-udvikling på,” siger Emil Fink-Jensen.

Og selvom Chromebooksagen i sit udgangspunkt har med børn at gøre, og at børn nyder en udvidet beskyttelse i relation til GDPR, er det vigtigt for Dansk Industri, at der bliver kigget på brugsscenariet, fortsætter han.

"De (Google, red.) er interesserede i nogle data om, hvordan man bruger deres produkter, så de kan udvikle dem og gøre dem mere intuitive og bedre. Og det er pseudonyme oplysninger."

I alle mulige andre sammenhænge indsamler og videregiver virksomheder og offentlige myndigheder oplysninger. Emil Fink-Jensen så derfor gerne, at der bliver kigget både detaljeret og overordnet på det lovapparat, der i dag skaber en i DI’s øjne negativ effekt for danske virksomheders konkurrence evne.

"Vores ønskescenarie ville jo være, at det kunne være en lovgivning, der favnede bredt. Altså forvaltningsloven, databeskyttelsesloven. Så kan vi diskutere, hvor sandsynligt det er, men det ville være vores ønske. Det ville være den letteste måde at komme det her til livs på. Den svære er, at du skal ned i hver enkelt special lovgivning og finde ud af, står der noget i den her lovgivning om, at vi gerne må de her ting".

Charlotte Bagger Tranberg er enig og tilføjer, at vi i dag står med et problem, der er fundamentalt for alt, der har med det offentlige at gøre, da det er et område, der er ”tæppebombet” med lovgivning.

Hvordan de to faggæster forholder sig til spørgsmålet, om vi virkelig står overfor et nødvendigt valg mellem privatliv og konkurrenceevne, kan du høre cirka halvvejs i den tre kvarter lange podcastepisode. Men om dataindsamling i forbindelse med produktforbedringer siger Charlotte Bagger Tranberg, at det har firmaer altid gjort. Uanset om det handler om dæk på en traktor, og hvordan de slides, eller anden fysisk hardware, så har producenter og leverandører altid undersøgt og indsamlet data for at forbedre sine produkter. At hjulet nu er software, og at data kan og bliver udvekslet i realtime, er vores tids grå zone og karambolage med eksisterende lovgivninger.

Kort sagt bryder vi af alle mulige årsager og med konstant brug af internettet i dag meget let loven, og vi har så svært ved ikke at bryde loven, at hun efterlyser lovændringer.

 

En profeti gået i opfyldelse og tre løsninger

Til sidst, som lovet, skal vi lige opridse de tre løsninger, som Datatilsynet udstak sammen med deres påbud i januar.

Overordnet accepterer Datatilsynet faktisk nogle konkrete datavideregivelser. De fastslår, at der er hjemmel til at videregive elevernes oplysninger ”med henblik på levering af tjenesterne, forbedring af sikkerheden og pålideligheden af tjenesterne, kommunikation med bl.a. kommunerne og overholdelse af retlige forpligtelser.”

Men tilsynet gør det også tydeligt, at det ikke er tilladt at aflevere data, der bruges til at udvikle firmaets produkt. Som de skriver:

”Det er vurderingen, at folkeskoleloven ikke tilstrækkeligt klart hjemler, at kommunerne videregiver elevernes oplysninger til vedligeholdelse og forbedring af Google Workspace for Education-tjenesten, ChromeOS og Chrome-browseren, eller til måling af ydeevnen og udvikling af nye funktioner og tjenester i ChromeOS og Chrome-browseren.”

Det er med de konklusioner, at tilsynet i januar gav påbuddet til kommunerne om at bringe behandlingen i overensstemmelse med reglerne. Og så anviser Datatilsynet hvordan det kan lovliggøres.

De skriver, at det ”eksempelvis” kan ske ved at - og vi citerer herunder de tre punkter direkte:

* At kommunerne ikke længere videregiver personoplysninger til Google til disse formål. Det vil sandsynligvis kræve, at Google udvikler en teknisk mulighed for, at de pågældende datastrømme afskæres.

*At Google selv afstår fra at behandle oplysningerne til disse formål.

*At Folketinget tilvejebringer et tilstrækkeligt klart retsgrundlag for videregivelse til disse formål.

Screenshot 2024-07-04 at 15.41.55

Udsnit fra Datatilsynets afgørelse 30. januar 2024

 

Afslutningsvis kan vi tilføje, hvordan det er endt. I hvert fald indtil videre. Og vi kan tilmed give den ene af vores Magtens Tredeling-gæster prædikatet profetisk. For i interviewet, da vi spørger, hvordan de to gæster tror, det løser sig inden første august, svarer Charlotte Bagger Tranberg, at Google kommer til at afstå fra at behandle oplysningerne.

Og dagen efter optagelsen blev netop det meddelt.

Du kan lytte hele Magtens Tredeling episode 186 via playeren, der er indsat øverst i artiklen her. Eller du kan finde den i den mobilapp, hvor du normalt lytter til podcast.

Vores ønskescenarie ville jo være en lovgivning, der favnede bredt. Det ville være den letteste måde at komme det her til livs på. Så kan vi diskutere, hvor sandsynligt det er. 

Emil Fink-Jensen

 

Episode 186 er i øvrigt den sidste Magtens Tredeling vi på K-NEWS publicerer på den her side af sommerferien.

Vi vender til august tilbage med nye episoder. Også et par serielle af slagsen.

Blandt andet har vi fire afsnit på vej om krænkelses- og chikanesager, og den svære balance det er at sikre retfærdig behandling af både anklager og anklaget.

TILFØJELSE: Datatilsynet meddelte 10. juli at kommunerne nu efterlever det senest givne påbud - altså det fra januar 2024. I meddelelsen oplyser de også, at de har anmodet om en udtalelse fra det Europæiske Databeskyttelsesråd om blandt andet "rækkevidden af den dataansvarliges dokumentationsforpligtelse for databehandlerens brug af underdatabehandlere." Når denne udtalelse er modtaget forventer det danske datatilsyn, skriver de, at lave en yderligere endelig vurdering vedrørende kommunernes brug af Google-produkter.

Del denne fra K-NEWS

Skal vi holde dig opdateret?

Få besked om nye artikler og podcast direkte i din mailboks ved at tilmelde dig herunder.

Vi indsamler ikke data om dig – og journalistikken, vi leverer, er gratis.

Nyhedsmail. Ja tak