Datatilsynets seneste afgørelse kan have store konsekvenser for leverandører af it-løsninger til det offentlige og i sidste ende hæmme den offentlige sektors produktivitet og evne til at levere velfærdsydelser.
Datatilsynet er kommet med en afgørelse i den såkaldte Chromebook-sag, der handler om kommunernes brug af Google Workspace i folkeskolerne.
Her vurderer Datatilsynet, at kommunerne ikke må videregive personlige brugsoplysninger til Google til alle de formål, der videregives til i dag.
Sagen handler primært om de såkaldte ”Service Data”, der er er pseudonymiserede og aggregerede data om, hvordan brugerne anvender løsningerne.
Konklusionen fra Datatilsynet er, at man gerne må videregive elevernes brugsoplysninger, hvis disse data bruges med henblik på levering af tjenesterne, forbedring af sikkerheden og pålideligheden af tjenesterne, kommunikation med bl.a. kommunerne og overholdelse af retlige forpligtelser.
Men selvom der er tale om pseudonomiserede og aggregerede data – og altså ikke personfølsomme data eller data der bruges til markedsføringsformål – vurderer Datatilsynet, at Google ikke må bruge denne data om brugen af tjenesterne til at gøre f.eks. Google Workspace for Education bedre – altså programmer som Docs og Sheets.
Og de må heller ikke bruge disse data til at blive klogere på ydeevnen af løsningerne eller til at udvikle nye funktioner og tjenester i ChromeOS og Chrome-browseren.
En stopklods for fremtidig softwareudvikling
Afgørelsen og det efterfølgende påbud er meget central, fordi den i princippet ikke kun handler om de 53 kommuners anvendelse af Google Workspace i skolerne.
Hvis Datatilsynet anvender den samme fortolkning på andre områder som skat, sundhed eller lignende, som Allan Frank fra Datatilsynet indikerede i et interview med Danmark Radio, vil det have meget store konsekvenser for alle, der udvikler softwareløsninger. Og især for de it-leverandører som udvikler løsninger til den offentlige sektor.
”Data, om hvordan brugerne anvender en løsning, er helt essentielle for løbende at kunne forbedre bl.a. brugervenligheden i en it-løsning. Uden de data vil videreudvikling og drift foregå i blinde, og vi vil ende med dårligere løsninger, en ringe brugeroplevelse, huller i it-sikkerheden samt fejl og nedbrud på løsningerne,” udtaler Martin Jensen Buch, chefkonsulent i IT-Branchen.
IT-Branchen frygter, at den manglende anvendelse af brugsdata i praksis vil umuliggøre videreudvikling af offentlige løsninger.
Det vil uden tvivl bremse Danmarks digitale udvikling, hæmme den offentlige sektors produktivitet og gøre det endnu sværere at udvikle løsninger, som gavner alle danske borgere. Afgørelsen er dermed i modstrid med det politiske ønske om en mere effektiv og veldreven offentlig forvaltning.
”Det er helt på månen at tro, at man kan afskære sig fra brugen af disse data, uden det vil få store konsekvenser for driften og kvaliteten af de digitale løsninger. Det viser med al tydelighed, at Datatilsynets meget strikse fortolkning af kravene i GDPR slet ikke hænger sammen med den virkelighed vi lever i,” siger Martin Jensen Buch.
Vi følger naturligvis sagen tæt, og arbejder for yderligere afklaring af, hvilke konsekvenser afgørelsen kommer til at få for den fortsatte udvikling af digitale løsninger.