Chrome Crescendo

Dramaet om Helsingør Kommunes brug af Google Workspace og Chromebooks tager til i styrke.

Både kommunaldirektør og borgmester har nu kastet deres respektive handsker for foden af Datatilsynet, i form af en 1.700(!) sider lang DPIA / konsekvensanalyse, der efter det oplyste er helt kongruent med deres oprindelige risikoanalyse:

  • Risiko: Ja.
  • Høj: Nej.
  • Kan nedbringes: Nej.

Datatilsynets behandlingsforbud, der er den direkte anledning til udarbejdelsen af DPIA’en, efterlader ellers ikke tvivl om, at risikoen, efter Datatilsynets mening, bør anses som høj.

 Det er […] Datatilsynets opfattelse, at brug af ny, kompleks teknologi, herunder software – især på undervisningsområdet, hvor de registrerede er børn og unge – normalt indebærer en høj risiko for disse elevers rettigheder og frihedsrettigheder.

Datatilsynets afgørelse vedr. kommunens brug af Google-tjenester

Det er måske værd at dvæle 2 ekstra sekunder ved ovenstående passage fra Datatilsynets afgørelse. Hvis man fjerner den indskudte sætning og skærer ind til benet, står der faktisk, at brug af ny software normalt indebærer en høj risiko – hvilket, hvis man tager det for pålydende, vil sige, at der normalt skal udarbejdes DPIA når man ibrugtager ny software. Er det mon faktisk det, Datatilsynet mener, eller har de formuleret sig lidt for bastant her?

Hvorom alting er, var Helsingør Kommunes konklusion på deres DPIA fuldstændig som ventet – hvorfor skulle de konkludere noget andet end i deres første risikoanalyse, der var resultatet af et “stort og dygtigt arbejde” iflg. tilsynet selv? Nu afventer vi så Datatilsynets reaktion på, at kommunen i praksis modsiger dem fsva. risikoniveauet:

  • Hvis kommunen slipper afsted med dette, betyder det groft sagt, at adgangsbilletten til at bruge amerikansk cloud er blevet fastsat til at være ca. 1.700 siders DPIA udarbejdet af et af de store advokatfirmaer. Dette vil i nogen grad være en lettelse for store virksomheder og myndigheder, der har råd og tid til det, men vil selvsagt ikke være nogen hjælp for små og mellemstore virksomheder.
  • Hvis kommunen, mod forventning, får en milli0nbøde og endnu et behandlingsforbud, kan vi forvente at den ulmende cloud-panik vil bryde ud i lys lue på privacy-kontorene i myndigheder og virksomheder af alle størrelser over hele landet – og endda i et vist omfang uden for landets grænser.

Ingen af de mulige udfald gør i første omgang en væsentlig forskel for de personer, hvis data behandles. Eneste egentlige vinder på kort sigt er vel Bech-Bruun, der må antages at have taget sig godt betalt for at levere en så omfangsrig DPIA (som i sidetal altså svarer ret præcist til Minkkommissionens rapport!) på ganske få uger henover sommerferien. Tillykke til dem.