Publisert: 05.02.2024
Hva er spørsmålet i Helsingørsaken?
Spørsmålet det danske datatilsynet tok stilling til, var hvorvidt kommunen kan ta i bruk tjenester fra Google når det betyr at Google bruker personopplysninger i form av metadata til egne formål.
Metadata kalles gjerne også diagnostiske data. Dette er data som viser hvordan en elev eller lærer bruker Google Workspace for Education. Disse dataene er pseudonymisert. Det betyr at de er indirekte identifiserbare. Dette er personopplysninger, siden det er mulig for Google å identifisere enkeltindivider.
Metadata er ikke det samme som innholdsdata. Innholdsdata er f.eks. teksten i oppgaven en elev leverer inn til læreren, den skriftlige tilbakemeldingen som eleven får fra læreren, eller meldinger som elevene sender til hverandre i løsningen. Disse personopplysningene bruker ikke Google til egne formål.
Så hva bruker Google metadata om hvordan elevene bruker løsningen til?
Ifølge avgjørelsen til det danske datatilsynet bruker Google disse personopplysningene til å vedlikeholde, forbedre og utvikle nye Google-tjenester.
Hva er problemet med «behandling av personopplysninger til egne formål»?
Norske kommuner kan kun bruke elevers personopplysninger til de formålene som kan utledes av opplæringsloven. Det samme gjelder danske kommuner, de er bundet av sin «folkeskolelov».
Det betyr at de ikke kan bruke en leverandør som Google, der leverandøren behandler personopplysninger til andre formål enn de som fremgår av opplæringsloven.
Og det er her kjernen i Helsingørsaken ligger: er det å bruke norske elevers personopplysninger til å vedlikeholde, forbedre og utvikle nye Google-tjenester greit?
Det danske datatilsynet sier nei, det er det ikke.
Det danske datatilsynet la særlig vekt på at personopplysningene ikke bare ble brukt til videreutvikling av Google-produktene som kommunen hadde kjøpt. De ble også brukt til utvikling av Googles generelle produkter.
Finnes det et handlingsrom?
Spørsmålet som er oppe i Helsingørsaken, er et spørsmål vi i det nasjonale DPIA-prosjektet også må besvare. Dansk og norsk opplæringslov er forskjellige, men det er også så mange likheter at Helsingørsaken absolutt er relevant for norske forhold.
Nederlandske myndigheter som har forhandlet med Google lenge, fikk høsten 2023 på plass ny funksjonalitet for Chrome nettleser og Chrome OS (operativsystemet på Chromebooks) kalt Data Processor Mode.
Poenget med Data Processor Mode var at Google skulle rendyrke rollen sin som databehandler, og ikke bruke personopplysninger til egne formål. Det vi ser på nå er om dette kan være en løsning for norske kommuner.
Sagt på en annen måte skal vi ta stilling til om Data Processor Mode er satt opp slik at Google ikke bruker elevers personopplysninger til å videreutvikle sine generelle tjenester.
Generelle bemerkninger om felles vurderinger, adferdsnorm og en oppfordring til politikerne
Avgjørelsen fra det danske datatilsynet er interessant fordi de kommer med noen generelle bemerkninger og anbefalinger som går videre enn bare å behandle denne saken.
For det første oppfordrer de til samarbeid om felles vurderinger som DPIAer. Veldig mange kommuner bruker de samme systemene i skolen. Selv om kommunene vil kunne sette opp f.eks. Google Workspace for Education på litt forskjellige måter og de kan ha ulike lisenser som gir dem forskjellige verktøy, er det også mye som er likt. Det betyr at det er mye å hente på å gjøre f.eks. DPIAer eller vurderinger ifbm overføringer av personopplysninger ut av EU/EØS sammen.
KS har sammen med blant annet Bergen kommune etablert en pilot for hvordan vi i Norge kan samarbeide om slike vurderinger. I det nasjonale DPIA-prosjektet ser vi nettopp på Google Workspace for Education. Vi ser allerede nå at å jobbe sammen om dette, er mye mer effektivt enn at hver kommune skal gjøre denne jobben alene.
For det andre sier de at å etablere en adferdsnorm etter GDPR artikkel 40, er et verktøy som kan brukes for å konkretisere kravene i GDPR. En adferdsnorm for informasjonssikkerhet og personvern i skolen, vil typisk inneholde spesifikke regler for hva en kommune må gjøre for å ivareta elever og læreres personvern.
Dette er noe KS også mener er en god idé på visse vilkår.
For det tredje kommer det danske datatilsynet med en tydelig oppfordring til danske politikere om å klargjøre i hvilket omfang personopplysninger om borgere, som en del av samfunnskontrakten, kan eller skal kunne overføres til leverandører for behandling generell videreutvikling. Dette særlig i offentlig-private samarbeid.
Dette er et spørsmål som også norske politikere bør svare på: skal vi akseptere at opplysninger om vår bruk av løsninger kan brukes av private til videreutvikling av akkurat den tjenesten det er snakk om?