Mange kommuner frygter i disse dage nok afgørelsen i deres Chromebook-vurderinger hos Datatilsynet, især efter tilsynet holdt fast i forbuddet af Chromebooks i Helsingør Kommune.
Denne frygt er ikke ubegrundet. Som Version 2’s og ComplianceTechs undersøgelse viser, har kommunerne foretaget til dels vidt forskellige vurderinger af den samme sag: Brugen af Chromebook-computere og Google Workspace i folkeskolerne. Som Version 2 og ComplianceTech konstaterer, kan vurderingerne umuligt være rigtige alle sammen.
Derfor må der være en vis sandsynlighed for, at Datatilsynet vil nedlægge forbud mod flere kommuner på baggrund af utilstrækkelig dokumentation og risikovurderinger.
I debatten lyder det ofte som om Helsingør Kommune har svært ved at navigere i de vanskelige vurderinger omkring en stor cloudløsning som Google Workspace.
Er kommunerne de rigtige til at foretage analyserne?
Det kan der være noget i – men kritikken af kommunen løser ikke et afgørende problem, som Chromebook-sagen udstiller.
GDPR-lovgivningen med dens krav om risikovurderinger og konsekvensanalyser er uhyre kompleks. At kommunerne kommer frem til forskellige vurderinger, er altså ikke nødvendigvis udtryk for et dårligt stykke arbejde, men snarere for, at selv specialiserede fagfolk kan have svært ved at udarbejde holdbar dokumentation.
Vi må derfor stille spørgsmålstegn ved, om kommunerne er de rigtige til at foretage disse analyser. Samfundsøkonomisk er det spild af ressourcer, at der skal foretages den samme risikovurdering 40 gange, når 40 kommuner bruger Chromebooks.
Samtidig er kommunerne under økonomisk pres – noget der i måske har ført til, at kommunerne anskaffede de billige Chromebooks i første omgang.
Vi kan ikke kræve af hver kommune at hyre en hær af jurister, der kan gennemskue hele GDPR-komplekset og softwarevirksomhedernes ugennemskuelige måder at indsamle data på.
Derfor har vi brug for en sammenslutning eller en national aktør, som kan varetage denne opgave. Der er brug for store muskler til at administrere de komplicerede regler og krav.
Staten, KL, som i øvrigt selv er gået ind i sagen i fredags, eller Digitaliseringsstyrelsen er oplagte aktører, små danske kommuner er ikke. Det kan sagtens være, at resultatet stadigvæk bliver, at Googles løsninger er i strid med GDPR.
Men et eksempel fra Holland, hvor staten har taget opgaven i egen hånd og genforhandlet en national kontrakt med Google i overensstemmelse med GDPR, kunne pege på den rigtige vej.
Overfor techgiganterne er der brug for statens vægt. Google bliver næppe udfordret, når Langeland Kommune ringer.
Vi har brug for en proces, hvor kommunerne fra starten af kan få udarbejdet fælles risikovurderinger og GDPR-analyser, som er holdbare i praksis.
Der er brug for de bedste IT-jurister og professionelle, og opgaven skal løftes i fællesskab. Hvis vi derimod insisterer på, at de enkelte kommuner bare skal få styr på GDPR og techgiganternes IT-løsninger hver for sig, så er den næse skandale snart på vej.
Vil du bidrage til debatten med et synspunkt? Så skriv til vores PRO debatredaktion på pro-sekretariat@ing.dk
