Datatilsynet udsteder påbud vedrørende en kommunes anvendelse af Chromebooks i folkeskolerne

Nyhed

06.10.2021

Ifølge Datatilsynet har Helsingør Kommune som dataansvarlig – i forbindelse med folkeskolernes anvendelse af såkaldte Chromebooks, herunder af programpakken G-Suite - tilsidesat flere af de forpligtelser, der følger af databeskyttelsesreglerne. Datatilsynet har derfor udstedt et påbud til Helsingør Kommune, der indebærer, at kommunen skal bringe sin anvendelse af Chromebooks og G-Suite i overensstemmelse med Databeskyttelsesforordningen.

Folkeskolers anvendelse af Chromebooks og G-Suite

Folkeskoleeleverne i Helsingør Kommune fik udleveret såkaldte Chromebooks til brug i undervisningen. I forbindelse hermed oprettede kommunen en Google-konto til hver enkelt elev, således at eleverne kunne få adgang til programpakken G-Suite, der indeholder diverse undervisningsmaterialer.

Programpakken G-Suite gav udover undervisningsmaterialer eleverne adgang til en række tillægsprogrammer, der blandt andet gav eleverne mulighed for at lave opslag og kommentere andres opslag på YouTube.

Af disse opslag og kommentarer fremgik elevernes fulde navn samt oplysninger om skole og klassetrin. Derudover var elevernes login-oplysninger påklistret computerne, og der var således ikke – ifølge Datatilsynet - foretaget en sikring mod uautoriseret adgang.

Helsingør Kommune var af den overbevisning, at de i kraft af folkeskoleloven havde hjemmel til på vegne af den enkelte elev at oprette en Google-konto. Derfor indhentede de ikke samtykke fra den enkelte elevs værge. Datatilsynet var enig i dette - dog mente de, at der var en række betingelser, der skulle være opfyldt, før kommunen lovligt kunne anvende Chromebooks og G-Suite.

Datatilsynets krav til Helsingør Kommune

På baggrund af Helsingørs Kommunes behandling af elevernes personoplysninger har Datatilsynet udstedt et påbud om, at kommunen skal bringe anvendelsen af Chromebooks og G-Suite i overensstemmelse med Databeskyttelsesforordningen.

Påbuddet indebærer, at Helsingør Kommune skal foretage en risikovurdering af anvendelsen af Chromebooks og G-Suite (i hvilken de registreredes personoplysninger og mulighederne for at konfigurere produktet inddrages).

Vurderer Helsingør Kommune, at anvendelsen af Chromebooks og G-Suite er af høj risiko for de registrerede (eleverne), skal Helsingør Kommune ifølge Datatilsynet tillige udarbejde en konsekvensanalyse.

Datatilsynet bemærker desuden, at Helsingør Kommune er forpligtet til at berigtige og slette oplysninger, og at Helsingør Kommune således skal rette henvendelse til elevernes forældre med henblik på at udføre berigtigelser, anonymiseringer og sletninger.

HjulmandKaptains kommentarer til sagen

Afgørelsen fra Datatilsynet tydeliggør vigtigheden af, at man som dataansvarlig altid foretager de krævede risikovurderinger og – hvis nødvendigt - konsekvensanalyser.

En stor del af landets kommuner anvender Chromebooks og G-Suite. Afgørelsen kan således give disse kommuner en indikation af, hvilke foranstaltninger der skal træffes for at sikre, at anvendelsen af Chromebooks og G-Suite er i overensstemmelse med de gældende regler.

Har du spørgsmål eller brug for rådgivning?

Har du spørgsmål til afgørelsen eller brug for rådgivning i forbindelse med kravene til korrekt brug af Chromebook, G-Suite samt tillægsprodukter, er du altid velkommen til at kontakte en af vores jurister med speciale i databeskyttelse.