Alvorlig kritik af Helsingør Kommune i Chromebook-sag

Dato: 10-09-2021
Afgørelse Offentlige myndigheder Alvorlig kritik Påbud Advarsel Anmeldt brud på persondatasikkerheden Behandlingsgrundlag Risikovurdering og konsekvensanalyse Grundlæggende principper Databehandler Børn

Datatilsynet har afgjort den første i en række af sager, der vedrører brugen af Google Chromebooks og G Suite for Education (nu kaldet Workspace) i folkeskolen.

Journalnummer: 2020-431-0061.

Resume 

Datatilsynets afgørelse i den konkrete sag om brugen af Google Chromebooks i Helsingør Kommune konstaterer, at folkeskoleloven giver kommunerne ret til at vælge det IT-udstyr og de programmer, der skal bruges i undervisningen.

Det påhviler kommunen som dataansvarlig at sikre, at IT-udstyret og programmerne bliver brugt på en sådan måde, at databeskyttelsesreglerne overholdes. Særligt, at de udførte behandlinger ikke går ud over det formål, folkeskoleloven foreskriver. Datatilsynet nævner som eksempel på et sådan formål videregivelse, hvor oplysninger bruges til markedsføring eller profilering af ydelser.

I den konkrete sag havde kommunen ikke foretaget de fornødne vurderinger af risikoen for de registreredes rettigheder.

Datatilsynet udtaler i afgørelsen, at det for dele af brugeroprettelsen til Chromebook og brugen af G-Suite er nødvendigt at konfigurere adgangen til applikationerne og måden, de fungerer på, for, at disse kan benyttes lovligt.

Da kommunen ikke havde vurderet dette, havde kommunen heller ikke dokumentation for, at konfiguration var sket på en måde, der passede til de risici, der var for de registrerede.

Datatilsynet konstaterede, at de manglende vurderinger førte til flere overtrædelser af forordningen.

Datatilsynet gav Helsingør Kommune et påbud om at bringe behandlingen af oplysninger i overensstemmelse med forordningen. Hvis kommunen ikke kunne nedbringe risikoen ved behandlingerne, fik kommunen pålagt en begrænsning, der gør, at kommunen ikke må behandle de pågældende oplysninger efter en given frist.

Herudover udtalte tilsynet alvorlig kritik af kommunens behandlinger. Tilsynet gav også Helsingør kommune en advarsel om, at brug af tillægsprodukter til G-Suite ikke ville kunne behandles lovligt uden en foretaget konsekvensanalyse, hvor risici ved behandlingen var nedbragt til mindre end en høj risiko for de registreredes rettigheder og frihedsrettigheder.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor Helsingør Kommune den 29. januar 2020 har anmeldt et brud på persondatasikkerheden til Datatilsynet.

Anmeldelsen har følgende referencenummer: ce0e5422ddfb3fefaa9f621cfa0f129127058500.

På baggrund af flere relativt ensartede brud fra andre dataansvarlige, har dele af sagsoplysningen foregået samlet og sideløbende i disse sager.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at meddele Helsingør Kommune et påbud om, at bringe behandlingerne ved brug af Chromebooks i overensstemmelse med forordningen jf. databeskyttelsesforordningens artikel 58, stk. 2, litra d. Dette skal ske ved, at Helsingør kommune inden den 1. november 2021, foretager følgende: Risikovurdering af behandlingerne i Chromebooks og G-Suite, der afspejler de strømme af persondata behandlingerne indebærer. Risikovurderingen skal dels behandle de nødvendige muligheder for at konfigurere produktet og behandle de spørgsmål om rækkevidden af hjemlen i folkeskoleloven giver i forhold til den brug der kræves af eleverne. Såfremt risikoen for de registrerede og disses frihedsrettigheder vurderes som værende høj, indeholder påbuddet også udfærdigelse af konsekvensanalyse.

Datatilsynet meddeler Helsingør kommune en advarsel om, at brugen af G-Suites tillægsprogrammer uden foretagelse af databeskyttelsesretlig konsekvensanalyse vil være i strid med databeskyttelsesforordningen, med mindre det godtgøres ved den udførte nu påbudte vurdering, at risikoen for de registreredes rettigheder og frihedsrettigheder, ikke er høj. Advarslen meddeles efter databeskyttelsesforordningens artikel 58, stk. 2, litra a.

Såfremt de vurderinger af risikoen Helsingør Kommune udfærdiger, udviser en høj risiko for de registreredes rettigheder og frihedsrettigheder, og disse risici ikke er nedbragt til et niveau mindre end høj, inden påbudsfristen udløber den 1. november 2021, meddeler Datatilsynet hermed, Helsingør Kommune en midlertidig begrænsning i behandlingerne, sådan at behandlinger der indebærer en høj risiko for de registreredes rettigheder og frihedsrettigheder, efter denne dato, ikke må ske, så længe risikoen ikke er nedbragt til et lavere niveau end høj.  Behandlingsbegrænsningen meddeles efter databeskyttelsesforordningens artikel 58, stk. 2, litra f.

Undladelse af, at efterkomme et påbud eller en midlertidig begrænsning, kan med mindre højere straf er forskyldt straffes med bøde eller fængsel indtil 6 måneder jf. databeskyttelseslovens § 41, stk. 2, nr. 4.

For de konstaterede overtrædelser, udtaler Datatilsynet, ud over de allerede valgte korrigerende foranstaltninger, alvorlig kritik af at Helsingør Kommunens behandling af personoplysninger ikke har været i overensstemmelse med databeskyttelsesforordningens

artikel 5, stk. 2, jf. artikel 5, stk. 1, litra c og litra f.,

artikel 5, stk. 1, litra a jf. artikel 6, stk.1,

artikel 32, stk., 1, 33, stk. 1 og 35, stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Helsingør Kommune har den 29. januar 2020 anmeldt et brud på persondatasikkerheden til Datatilsynet.

Det fremgår af anmeldelsen og efterfølgende uddybende udtalelser, at Helsingør Kommune har udleveret Google Chromebooks til kommunens skoleelever til brug for undervisning i kommunens folkeskoler. Kommunen har i forbindelse med udleveringen oprettet adgang til Google G-Suite for education (herefter G-suite), til hvilket brug, der skal anvendes en Google-konto. Til denne skolekonto har elevens fulde navn været anvendt og således været tilgængelig for andre af Google Inc.’ (herefter Google) produkter, hvortil de oprettede skolekonti blev videregivet af Google – her under programmet YouTube – hvilket Helsingør Kommune ikke var vidende om, ligesom det ikke var hensigten. Det fremgår videre af sagen, at eleverne – såfremt de anvendte programmet YouTube – automatisk fik adgang med deres skolekonto og fik deres fulde navn vist i forbindelse med deres opslag på denne platform, med mindre eleverne af kommunen var blevet tildelt anonymiserede brugernavne.

Det fremgår af sagen, at Google – efter det oplyste siden 2015 – har tilbudt en programpakke ved navn G-Suite. Programpakken er særligt rettet mod undervisning af børn og unge og betragtes derfor som velegnet i undervisningen. Programmerne kan leveres af en række virksomheder som en pakkeløsning, hvori der kan indgå en bærbar computer, programpakke, installation og opsætning, samt særligt udviklede undervisningsmaterialer. For at eleverne kan få adgang til programmerne i G-Suite, skal de have oprettet en skolekonto hos Google. Kontoen kan oprettes manuelt, men det er også muligt at oprette skolekonti ved at overføre for- og efternavn, skole og klassetrin fra skolernes administrative systemer, dog således, at elever med beskyttede navne- og adresseoplysninger kunne anonymiseres ved at tildele eleven et alias i stedet for elevens navn. Trods dette har der været flere tilfælde hvor elevers fulde navne har været anført i stedet for alias.

Helsingør Kommune har – i lighed med en lang række af landets kommuner – anskaffet og udleveret bærbare computere med den installerede programpakke med hjemmel i deres myndighedsudøvelse i henhold til folkeskoleloven, hvorfor de ikke har anset, at det har været nødvendigt at indhente værgers samtykke til oprettelse af elevernes skolekonti hos Google.

I 2019 ændrede Google brugerbetingelserne for G-Suite, således at en række tillægsprodukter blev opfattet af den indgåede aftale. Disse produkter omfattede YouTube, G-mail, Blogger, Google+ m.v. og Google anfører, at brugerbetingelserne gælder for alle tjenester, der udbydes af Google og de tilknyttede virksomheder, herunder YouTube.

Af Googles bestemmelser om brugen af G-Suite fremgår, at adgang til systemet for børn under 13 år forudsætter forældrenes tilsagn og for unge under 18 år forudsætter adgang til tillægssystemerne, herunder YouTube, ligeledes forældrenes tilsagn.

G-Suite har et brugeradministrationsmodul, der giver mulighed for at vælge hvilke systemer og tillægssystemer eleverne skal have adgang til. Det er således muligt, ved aktiv handling, at lukke for elevers adgang til f.eks. YouTube, G-Mail mv..

Skoleelever i Helsingør Kommune har med deres skolekonti fået adgang til tillægsprodukterne og dermed mulighed for at lave opslag og kommentere på andres opslag på f. eks. YouTube. Ved denne anvendelse vil oplysninger om navn, skole og klasse, som eleven er oprettet med, blive vist i forbindelse med opslaget.

Datatilsynet har modtaget 2 klager vedrørende Helsingør Kommunes behandling af personoplysninger i forbindelse med udlevering af Chromebooks. Af begge klager fremgår, at Helsingør Kommune uden forældrenes vidende og samtykke, har oprettet Google-konti til eleverne, hvormed eleverne har fået adgang til en række af Googles programmer under G-suite, herunder G-mail og tillægsproduktet YouTube. Af klagerne fremgår videre, at elevernes fulde navn bliver vist ved anvendelse af G-mail og at forældrene ikke har mulighed for at rette eller anonymisere disse oplysninger, da det kun er Helsingør Kommune, der har adgang til brugeradministrationspanelet.

Videre fremgår det, at elevernes fulde navn, skole og klassetrin fremgår af YouTube, såfremt eleven har lavet eller kommenteret opslag.

Klagerne påpeger videre, at de udleverede computere har påklistret elevernes login-oplysninger, hvorfor der reelt ikke er nogen sikkerhed mod uautoriseret adgang til elevernes konti.

3. Helsingør kommunes oplysninger

Helsingør Kommune har i høringssvar til Datatilsynet anført, at kommunen har indgået en databehandler med Google om brugen af Chromebooks og oprettelsen af skolekonti, der indeholder elevernes navn, skole og klassetrin. Skoleprofilerne er blevet oprettet med henvisning til skolernes myndighedsudøvelse i henhold til folkeskoleloven, hvor de lovmæssigt er forpligtet til at undervise i IT. Af denne årsag har kommunen ikke indhentet forældrenes samtykke til oprettelsen af konti til eleverne. Kommunen har videre oplyst, at for en skoleprofil til G-suite, ejer eleven alle data.

Ved oprettelse af elevernes skolekonti, hentes data fra skoleadministrationssystemet, men i forbindelse med beskyttede navneoplysninger, følges en procedure, hvor der tildeles et alias i stedet for elevens fulde navn. Helsingør Kommune har dog anført, at kommunen i flere tilfælde, har anført en elevs fulde beskyttede navn i stedet for alias, hvorved der således har været risiko for, at det beskyttede navn kunne blive genstand for offentliggørelse.

I forbindelse med ændring af Googles betingelser for anvendelse af G-suite, blev en række tillægsprogrammer, herunder Youtube, gjort tilgængelige for skoleeleverne via deres skolekonto. Dette har Helsingør Kommune ikke været opmærksom på.

Helsingør Kommune har i høringssvar af 6. januar 2020 har bekræftet, at en forælder i 2019 klagede over at hans barn – uden hans vidende – havde fået oprettet en konto til YouTube, hvorved barnets navn kunne blive offentliggjort på Youtube.

Da det ikke har været hensigten, at eleverne skulle anvende andre programmer end kerneprogrammerne i G-suite, har Helsingør Kommune ikke være opmærksom på, at anvendelse af tillægsprogrammerne kunne resultere i offentliggørelse af elevernes navne på bl.a. Youtube. Af samme grund har Helsingør Kommune ikke foretaget en risikovurdering, herunder for tab af fortrolighed, for den pågældende behandling. På samme måde har Helsingør Kommune ikke implementeret tekniske eller organisatoriske foranstaltninger for at sikre de registreredes rettigheder i forbindelse med anvendelse af de sociale medier ved brug af den oprettede skolekonto.

Helsingør Kommune har lukket for adgangen til Youtube via G-Suite og dermed sikret, at elever fremadrettet ikke har kunnet offentliggøre oplysninger om sig selv. Kommunen oplyser dog, at det påhviler elevens forældre at slette elevens profil og evt. uønsket indhold på de sociale medier, da det ikke kan gøres via kommunens brugeradministrationspanel. Kommunen har oplyst, at kommunen har ændret de offentligt tilgængelige oplysninger til kun at omfatte fornavn og skole.

Helsingør Kommune har vurderet, at det var usandsynligt, at hændelsen kunne medføre en risiko for de registreredes rettigheder og frihedsrettigheder og derfor ikke har givet anledning til underretning til Datatilsynet. Helsingør Kommune har lagt til grund, at de oplysninger, der utilsigtet blev delt med Youtube, består af almindelige personoplysninger i form af navne, skole og klassetrin, oplysninger, der efter kommunens opfattelse i sig selv ikke giver mulighed for at kontaktet personen direkte eller indsamle oplysninger om adfærd. Derudover har Helsingør Kommune lagt til grund, at Youtube ejes af Google og at Google ikke har fået adgang til yderligere oplysninger, end hvad der allerede er givet adgang til inden for den oprindelige G-suite aftale. Kommunen har videre lagt til grund, at de pågældende oplysninger er almindelige oplysninger, hvor det er usandsynligt, at disse i sig selv vil kunne misbruges til f.eks. identitetstyveri.

Helsingør kommune har den 21. januar 2020 underrettet samtlige forældre om hændelsen og kommunen har skærpet opmærksomheden på de indstillinger, der er i brugeradministrationskonsollen til G-suite.

4. Begrundelse for Datatilsynets afgørelse

4.1 Generelt

Det følger af folkeskolelovens § 2, stk. 1, at kommunalbestyrelsen har ansvaret for folkeskolen.

Herudover følger det for grundskolen, af samme lovs § 18, stk.1 og § 19, at dette inkluderer undervisningens tilrettelæggelse, herunder valg af undervisnings- og arbejdsformer, metoder, undervisningsmidler og stofudvælgelse, samt betalingen for dette.

Det er Datatilsynets opfattelse, at både valg omkring brugen af IT i undervisningen og hvilket fabrikat og software, der skal benyttes, falder inden for dette råderum.

Databeskyttelsesreglerne er teknologineutrale, og Datatilsynet kan alene vurdere de forhold der følger af de behandlinger af personoplysninger der foretages, jf. databeskyttelsesforordningens artikel 2, stk. 1.

Denne afgørelse vedrører derfor alene behandlingerne af personoplysninger, der sker på det valgte udstyr og software, og om disse sker inden for de rammer databeskyttelsesforordningen og databeskyttelsesloven foreskriver.

4.2 Brugen af Chromebooks og G-Suite

Børn og unges rettigheder nyder en særlig beskyttelse i databeskyttelsesreglerne. Det er Datatilsynets opfattelse, at dette hensyn indgår i vurderingen af hvilke behandlinger, der kan udføres på baggrund af den hjemmel, folkeskoleloven giver den enkelte kommune.

Sådan som sagen foreligger oplyst for tilsynet, og efter en gennemgang af det indsendte materiale, databehandleraftalen med Google, samt en gennemgang af mulighederne for konfiguration ved oprettelse af brugere samt konfiguration af indstillinger i applikationerne, er det Datatilsynets opfattelse, at Helsingør kommune, ville have kunnet udlevere Chromebooks og ibrugtage G-Suite (de oprindelige kerneprogrammer) til undervisningsformål, og behandle de påkrævede oplysninger med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra e, dette gælder også oprettelse af den enkelte elev som bruger af systemet.

Datatilsynet har ved denne vurdering særligt lagt, vægt på, at såvel brugen af en Chroomebook, grundoprettelsen af elever i systemet og brugen af den del af G-Suite der udgør grundpakken, vil kunne konfigureres sådan, at der ikke sker behandlinger, der overstiger det råderum kommunen har inden for rammerne af kommunens myndighedsudøvelse, i henhold til folkeskolelovens bestemmelser om folkeskolens formål og tilvejebringelse af undervisningsmidler. Datatilsynet har lagt til grund, at det fremgår af databehandleraftalen, og mulighederne for konfiguration af de enkelte enheder, at data også persondata kan styres sådan, at dette, ikke behandles uden for EU/EØS, at oplysningerne om den enkelte bruger vil kunne dataminimeres til et alias og, at data herunder persondata der skabes ved brug af applikationerne i G-Suite (Kerneprogrammerne) vil kunne konfigureres sådan, at kun den enkelte registrerede elev og af kommunen autoriserede administratorer vil kunne tilgå disse data, herunder særligt, at oplysningerne ikke vil blive benyttet til markedsføring, hverken direkte som målrettet den enkelte elev eller indirekte som en del af en gruppe (klasse, årgang, skole osv.).

Det er Datatilsynets vurdering, at denne konfiguration, især i forhold til enkelte af applikationerne, vil kræve, at der skal lukkes ned for dele af funktionaliteten. Det er herudover Datatilsynets vurdering, at det ved brug af produktet uden denne konfiguration, og ved hel ordinær og forventet brug af udstyret, vil kunne ske overførsel af persondata til tjenester uden for EU/EØS. Sådanne overførsler vil kræve at reglerne i databeskyttelsesforordningens kap 5, bliver iagttaget.      

Det er en forudsætning, at der forinden ibrugtagning er foretaget nogle dokumenterede valg, der dels sikrer overholdelse af principperne i databeskyttelsesforordningens artikel 5, stk. 1, i denne sag særligt litra c og f, dels sikrer at det inden ibrugtagning er vurderet. om der skal foretages en konsekvensanalyse efter databeskyttelsesforordningens artikel 35. Denne vurdering skal også benyttes for, at kunne vælge det fornødne sikkerhedsniveau efter artikel 32.

Datatilsynet lægger – i overensstemmelse med Helsingør Kommunes egen forklaring herom – til grund, at kommunen ikke har foretaget en særskilt vurdering af hvilke risici for elevernes rettigheder og frihedsrettigheder, der vil være ved de behandlinger af elevernes personoplysninger, brugen af de indkøbte Chromebooks, oprettelsen af eleverne som brugere heraf og brugen af programmerne i G-Suite samt tillægsprogrammerne, indeholder,

Datatilsynet lægger videre til grund, at kommunen ikke har foretaget en afdækning, afprøvning og/eller test af konfigurationer, og heraf følgende persondatastrømme, der opstod ved brugen af de pågældende Chromebooks og G-Suite applikationer, der blev stillet til rådighed for eleverne.

Datatilsynet konstaterer, at den manglende dokumentation af overvejelserne om risici for den registreredes rettigheder, og vurderingerne af de foretagne behandlinger, medfører, at Helsingør Kommune ikke har kunne påvise overholdelsen af databeskyttelsesforordningens artikel 5, stk. 1, litra c, for så vidt angår hvilke persondata der var nødvendige ved brugeroprettelsen. Datatilsynet har herved lagt særlig vægt på, at kommunen selv, efterfølgende har konstateret, at det var muligt at minimere oplysningerne, og stadig tilgodese behandlingernes formål. Herudover har Helsingør Kommune ikke kunne påvise overholdelsen af databeskyttelsesforordningens artikel 5, stk. 1, litra f. Datatilsynet har herved lagt særligt vægt på, at kommunen ikke har kunne påvise, hvilken konfiguration der skete ved ibrugtagning og dermed kunne påvise at der på dette tidspunkt var sikret tilstrækkelig sikkerhed ved de skete behandlinger.

Datatilsynet finder på den baggrund, at Helsingør kommune har overtrådt databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra c og litra f.

4.3 G-Suites tillægsprodukter

Det er Datatilsynets opfattelse, at behandlingshjemlen i Folkeskoleloven, ikke kan dække situationer hvor personoplysninger bliver benyttet til andet end den nødvendige realisering af formålet i folkeskoleloven, og heller ikke lovligt kan videregives til andre dataansvarlige til brug for disses formål. Dette inkluderer også, at elevernes brug af udstyret, og programmerne ikke generer personhenførbare oplysninger, herunder metadataoplysninger, der benyttes til markedsføring og profilering, herunder særligt, at oplysningerne ikke vil blive benyttet til markedsføring hverken direkte som målrettet den enkelte elev eller indirekte som en del af en gruppe (klasse, årgang, skole osv.).

Datatilsynet lægger i overensstemmelse med det af Helsingør Kommune oplyste til grund, at der er sket behandling af personoplysninger i G-Suites tillægsprodukter, med deraf følgende risiko for utilsigtet offentliggørelse af elevens personoplysninger, samt mulighed for videregivelse af oplysninger til en 3. part – uden at dette var tilsigtet fra kommunens side – efter tilladt specifikt af elevernes forældre.

Datatilsynet finder, at en sådan videregivelse ikke kan anses for nødvendig for kommunens myndighedsudøvelse. De behandlinger der er sket i G-Suites tillægsprodukter, og har medført videregivelse af personoplysninger til Google, har derfor ikke haft fornøden behandlingshjemmel.

På den baggrund finder Datatilsynet at Helsingør Kommune har overtrådt databeskyttelsesforordningens artikel 5, stk. 1, litra a jf. artikel 6, stk.1.

4.4 Risiko og konsekvenser

Datatilsynets lægger til grund, at Helsingør Kommune ikke har foretaget analyse af hvilke

risici ændringerne i Googles brugerbetingelser kunne have for skoleeleverne, hvis de anvendte G-suite og tillægsprodukterne, herunder Youtube.

Det er Datatilsynets opfattelse, at brugen af ny kompleks teknologi, herunder software, især på undervisningsområdet hvor de registrerede er børn og unge, generelt ligger i det område hvor tilsynet vurderer, at det normalt indebærer en høj risiko for disse elevers rettigheder og frihedsrettigheder. I det konkrete tilfælde hvor det ved valget af Chromebooks og de teknologier der benyttes til leverancen af systemunderstøttelsen er alment kendt, at en del af forretningsmodellen for øvrige dele af Googles produkter, er oplysningsindsamling, målrettet markedsføring og salg af disse oplysninger, vil disse forhold skulle indgå i vurderingen af de pågældende risici.

Henset hertil, er det Datatilsynets opfattelse, at der konkret har været tale om en høj risiko for de registreredes rettigheder og frihedsrettigheder. Betingelserne for at udføre en konsekvensanalyse jf. databeskyttelsesforordningens artikel 35, er derfor opfyldt.

Ved ikke at foretage en sådan har Helsingør Kommune overtrådt databeskyttelseslovens artikel 35, stk. 1.

Det er Datatilsynets opfattelse, at konkret risikovurdering og konsekvensanalyse – inden udlevering af IT-udstyr til elever og behandling af elevernes oplysninger – er essentiel med henblik på at fastlæggelse hvilke sikkerhedsforanstaltninger, der er nødvendige at gennemføre et sikkerhedsniveau, der passer til disse risici og hvilke konsekvenser behandlingen af elevernes personoplysninger, kan have for de pågældende. Datatilsynet skal anføre, at flere af de ovenfor nævnte overtrædelser kunne være undgået ved en foretaget vurdering af risikoen ved behandlingerne, og en herpå følgende ageren på disse konstateringer.

4.5 Brud på persondatasikkerheden og behandlingssikkerhed

Datatilsynet lægger – ud fra Helsingør Kommunes egen forklaring – til grund, at der har været flere tilfælde, hvor Helsingør Kommune har anvendt elevers beskyttede fulde navn i stedet for et alias, som ellers er kommunens procedure. Derved har der været risiko for at elevernes fulde navn – såfremt de pågældende elever havde anvendt de sociale medier, som de via deres skolekonto fik adgang til – ville blive offentliggjort på disse medier, hvorfor tilsynet finder, at der er sket et brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.

4.6 Databeskyttelsesforordningens artikel 32

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Datatilsynet lægger til grund, at Helsingør Kommune – i nogle tilfælde –  har forsynet elevernes computere med angivelse af elevens login-oplysninger, hvorved enhver, der fik adgang til computeren, kunne logge ind på denne og få adgang til den pågældende elevs øvrige data og personoplysninger, ligesom det ville være muligt bl.a. at lave opslag eller tagging på Youtube eller andre medier i elevens navn. En sådan procedure medfører typisk at sedlen ikke fjernes og login information dermed ikke holdes fortrolig.

Det følger videre af artikel 32, at den dataansvarlige skal gennemføre passende tekniske og organisatoriske foranstaltninger til at sikre bl.a. vedvarende fortrolighed og integritet af behandlingssystemer og -tjenester, hvilket efter Datatilsynets opfattelse ikke er opfyldt, idet den dataansvarlige har forsynet computere, der er udleveret til skoleelever, med synlige login-oplysninger.

Der påhviler den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed, normalt vil indebære, at der i systemer med et stort antal fortrolige oplysninger om et stort antal brugere, skal stilles højere krav til den dataansvarliges omhyggelighed i tilfælde, hvor personoplysninger offentliggøres, herunder sikring af at der ikke sker uautoriseret offentliggørelse af særligt beskyttelsesværdige eller følsomme personoplysninger.

Det er videre Datatilsynets opfattelse, at alle sandsynlige fejlscenarier bør testes i forbindelse med ibrugtagningen af nye programmer, hvor der behandles personoplysninger.

Datatilsynet finder på ovenstående baggrund, at Helsingør Kommune – ved ikke at foretage en risikoanalyse for at identificere de risici adgang til G-suites tillægsprodukter ville indebære for eleverne, Ikke at have udført en analyse af hvilke konsekvenser det kunne have, at skoleelever fik adgang til G-suites tillægsprodukter, herunder Youtube, ikke at have foretaget tilstrækkelig afprøvning af omfang og virkemåde af G-suites tillægsprodukter inden disses ibrugtagning, ikke at sikre, at navne for elever med navne- og adressebeskyttelse blev anonymiseret og ikke at foretage tilstrækkelig sikring mod uautoriseret brug af de til skoleeleverne udleverede computere – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der var ved Helsingør Kommuns behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

  • anmeldelse af bruddet.

Datatilsynet finder videre, at Helsingør Kommunes vurdering af, at der ikke skulle ske anmeldelse jf. databeskyttelseslovens artikel 33, da det var usandsynligt at bruddet på persondatasikkerheden kunne indebære en risiko for fysiske personers rettigheder eller frihedsrettigheder, åbenlyst ikke har grundlag i de faktiske omstændigheder. Datatilsynet har her lagt vægt på at der er tale om adskillige brud, hvoraf flere af disse har manifesteret en realiseret risiko. Helsingør kommune skulle derfor inden 72 timer efter at kommunen var blevet bekendt med bruddet på persondatasikkerheden, have anmeldt dette til Datatilsynet.

Derved har Helsingør Kommune ikke levet op til kravene i databeskyttelsesforordningens artikel 33, stk. 1.

4.8 Sammenfatning

Datatilsynet har ved valg af reaktion lagt vægt på, umiddelbart, at sikre at Helsingør Kommunes behandlinger bliver bragt i overensstemmelse med databeskyttelsesforordningen.

Datatilsynet meddeler derfor Helsingør Kommune et påbud om, at bringe behandlingerne ved brug af Chromebooks i overensstemmelse med forordningen jf. databeskyttelsesforordningens artikel 58, stk. 2, litra d. Dette skal ske ved, at Helsingør kommune inden den 1. november 2021, foretager følgende: Risikovurdering af behandlingerne i Chromebooks og G-Suite, der afspejler de strømme af persondata behandlingerne indebærer, Risikovurderingen skal dels behandle de nødvendige muligheder for at konfigurere produktet og behandle de spørgsmål om rækkevidden af hjemlen i folkeskoleloven giver i forhold til den brug der kræves af eleverne. Såfremt risikoen for de registrerede og disses frihedsrettigheder vurderes som værende høj, indeholder påbuddet også udfærdigelse af konsekvensanalyse.

Datatilsynet meddeler Helsingør kommune en advarsel om, at brugen af G-Suites tillægsprogrammer uden foretagelse af databeskyttelsesretlig konsekvensanalyse vil være i strid med databeskyttelsesforordningen, med mindre det godtgøres ved den udførte nu påbudte vurdering, at risikoen for de registreredes rettigheder og frihedsrettigheder, ikke er høj. Advarslen meddeles efter databeskyttelsesforordningens artikel 58, stk. 2, litra a.

Datatilsynet har noteret sig, at Helsingør Kommune har lukket for elevernes adgang via skolekonti til G-Suites tillægsprogrammer, herunder Youtube.

Såfremt de vurderinger af risikoen Helsingør Kommune udfærdiger, udviser en høj risiko for de registreredes rettigheder og frihedsrettigheder, og disse risici ikke er nedbragt til et niveau mindre end høj, inden påbudsfristen udløber den 1. november 2021, meddeler Datatilsynet hermed, Helsingør Kommune en midlertidig begrænsning i behandlingerne, sådan at behandlinger der indebærer en høj risiko, efter denne dato, ikke må ske, så længe risikoen ikke er nedbragt til et lavere niveau end høj.  Behandlingsbegrænsningen meddeles efter databeskyttelsesforordningens artikel 58, stk. 2, litra f.

Undladelse af, at efterkomme et påbud eller en midlertidig begrænsning, kan med mindre højere straf er forskyldt straffes med bøde eller fængsel indtil 6 måneder jf. databeskyttelseslovens §41, stk. 2, nr. 4.

For de konstaterede overtrædelser, udtaler Datatilsynet, ud over de allerede valgte korrigerende foranstaltninger, alvorlig kritik af at Helsingør Kommunens behandling af personoplysninger ikke har været i overensstemmelse med databeskyttelsesforordningens

artikel 5, stk. 2, jf. artikel 5, stk. 1, litra c og litra f.,

artikel 5, stk. 1, litra a jf. artikel 6, stk.1,

artikel 32, stk., 1, 33, stk. 1 og 35, stk. 1.

5. Afsluttende bemærkninger

Datatilsynet bemærker, at det påhviler Helsingør Kommune at berigtige og slette oplysninger i overensstemmelse med afgørelsen. Kommunen må derfor kontakte de registrerede børns forældre med henblik på at udføre de berigtigelser, anonymiseringer eller sletninger af de registrerede personoplysninger, forældrene ikke selv kan foretage i de systemer, hvor elevernes personoplysninger utilsigtet er offentliggjort eller videregivet.

Datatilsynet bemærker, at Datatilsynets afgørelse ikke kan indbringes for anden administrativ myndighed, jf. databeskyttelseslovens § 30.

Datatilsynets afgørelse kan dog indbringes for domstolene, jf. grundlovens § 63.

Datatilsynet anser hermed sagen for afsluttet og foretager sig herefter ikke yderligere i sagen.

Bilag: Retsgrundlag

Uddrag af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

Artikel 2, stk. 1. Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.

Artikel 4. I denne forordning forstås ved:

  • »personoplysninger«: enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet
  • »behandling«: enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse

[…]

  • »dataansvarlig«: en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger; hvis formålene og hjælpemidlerne til en sådan behandling er fastlagt i EU-retten eller medlemsstaternes nationale ret, kan den dataansvarlige eller de specifikke kriterier for udpegelse af denne fastsættes i EU-retten eller medlemsstaternes nationale ret

[…]

  • »brud på persondatasikkerheden«: et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet

Artikel 30. Hver dataansvarlig og hvis det er relevant, den dataansvarliges repræsentant fører fortegnelser over behandlingsaktiviteter under deres ansvar. Disse fortegnelser skal omfatte alle af følgende oplysninger:

  1. navn på og kontaktoplysninger for den dataansvarlige og, hvis det er relevant, den fælles dataansvarlige, den dataansvarliges repræsentant og databeskyttelsesrådgiveren
  2. formålene med behandlingen
  3. en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger
  4. de kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer
  5. hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder angivelse af dette tredjeland eller denne internationale organisation og i tilfælde af overførsler i henhold til artikel 49, stk. 1, andet afsnit, dokumentation for passende garantier
  6. hvis det er muligt, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger
  7. hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 32, stk. 1.

Artikel 32. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant:

  1. pseudonymisering og kryptering af personoplysninger
  2. evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og -tjenester
  3. evne til rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse
  4. en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.

Stk. 2. Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Stk. 3. Overholdelse af en godkendt adfærdskodeks som omhandlet i artikel 40 eller en godkendt certificeringsmekanisme som omhandlet i artikel 42 kan bruges som et element til at påvise overholdelse af kravene i nærværende artikels stk. 1.

Stk. 4. Den dataansvarlige og databehandleren tager skridt til at sikre, at enhver fysisk person, der udfører arbejde for den dataansvarlige eller databehandleren, og som får adgang til personoplysninger, kun behandler disse efter instruks fra den dataansvarlige, medmindre behandling kræves i henhold til EU-retten eller medlemsstaternes nationale ret.

Artikel 33. Ved brud på persondatasikkerheden anmelder den dataansvarlige uden unødig forsinkelse og om muligt senest 72 timer, efter at denne er blevet bekendt med det, bruddet på persondatasikkerheden til den tilsynsmyndighed, som er kompetent i overensstemmelse med artikel 55, medmindre at det er usandsynligt, at bruddet på persondatasikkerheden indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder. Foretages anmeldelsen til tilsynsmyndigheden ikke inden for 72 timer, ledsages den af en begrundelse for forsinkelsen.

Stk. 2. Databehandleren underretter uden unødig forsinkelse den dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden.

Stk. 3. Den i stk. 1 omhandlede anmeldelse skal mindst:

  1. beskrive karakteren af bruddet på persondatasikkerheden, herunder, hvis det er muligt, kategorierne og det omtrentlige antal berørte registrerede samt kategorierne og det omtrentlige antal berørte registreringer af personoplysninger
  2. angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes
  3. beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden
  4. beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger.

Stk. 4. Når og for så vidt som det ikke er muligt at give oplysningerne samlet, kan oplysningerne meddeles trinvist uden unødig yderligere forsinkelse.

Stk. 5. Den dataansvarlige dokumenterer alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet på persondatasikkerheden, dets virkninger og de trufne afhjælpende foranstaltninger. Denne dokumentation skal kunne sætte tilsynsmyndigheden i stand til at kontrollere, at denne artikel er overholdt.

Artikel 34. Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden.

Stk. 2. Underretningen af den registrerede i henhold til denne artikels stk. 1 skal i et klart og forståeligt sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i artikel 33, stk. 3, litra b), c) og d).

Stk. 3. Det er ikke nødvendigt at underrette den registrerede som omhandlet i stk. 1, hvis en af følgende betingelser er opfyldt:

  1. den dataansvarlige har gennemført passende tekniske og organisatoriske beskyttelsesforanstaltninger, og disse foranstaltninger er blevet anvendt på de personoplysninger, som er berørt af bruddet på persondatasikkerheden, navnlig foranstaltninger, der gør personoplysningerne uforståelige for enhver, der ikke har autoriseret adgang hertil, som f.eks. kryptering
  2. den dataansvarlige har truffet efterfølgende foranstaltninger, der sikrer, at den høje risiko for de registreredes rettigheder og frihedsrettigheder som omhandlet i stk. 1 sandsynligvis ikke længere er reel
  3. det vil kræve en uforholdsmæssig indsats. I et sådant tilfælde skal der i stedet foretages en offentlig meddelelse eller tilsvarende foranstaltning, hvorved de registrerede underrettes på en tilsvarende effektiv måde.

Stk. 4. Hvis den dataansvarlige ikke allerede har underrettet den registrerede om bruddet på persondatasikkerheden, kan tilsynsmyndigheden efter at have overvejet sandsynligheden for, at bruddet på persondatasikkerheden indebærer en høj risiko, kræve, at den dataansvarlige gør dette, eller beslutte, at en af betingelserne i stk. 3 er opfyldt.