Sagen om hvorvidt landets folkeskoler må benytte Googles Chromebooks i undervisningen har nået sin ende, efter at KL og Google har indgået en aftale. Men problemet har været en øjenåbner, mener Allan Frank, der er it-sikkerhedsspecialist og jurist i Datatilsynet.
- Jeg tror, at det har åbnet manges øjne for, hvad det er for et komplekst landskab, man sender sine data ind i, når man får behandlet data ved hjælp af den type leverancer, siger han.
Derudover har sagen også vist, at der er større behov for, at de dataansvarlige – altså dem, der behandler oplysninger om borgerne – rent faktisk sætter sig ind i, hvad der foregår i den løsning, man har valgt at købe, lyder det fra Allan Frank.
- Man kan ikke bare takke ja til et databehandlingssystem og så være ligeglad med alle de behandlinger, der foregår nede i maven på systemet. Man bliver nødt til at have et vist overblik, siger han.
Præcis hvor stort et overblik de dataansvarlige skal have, skal Det Europæiske Databeskyttelsesråd tage stilling til, særligt i forhold til databehandlernes brug af underdatabehandlere. For der er stadigvæk nogle generelle problemstillinger ved at anvende såkaldte cloudbaserede ydelser.
Særdeles komplekst
Ifølge Allan Frank benyttes en slags udliciteringsaftale, hvor den dataansvarlige giver sine data til en databehandler, der typisk har en hel samling databehandlere under sig til at behandle det givne data.
- Så er der en hel skov af underdatabehandlere nedenunder, som man ikke rigtig ved, hvad gør, og hvis man læser kontrakterne, så er det et særdeles komplekst område, siger han.
Hvor meget de dataansvarlige egentlig skal kende til databehandlingsprocessen og kunne dokumentere over for Datatilsynet, er det, som Det Europæiske Databeskyttelsesråd skal give svar på.
- Altså hvad er dokumentationskravene, og hvad for nogle undersøgelser skal de dataansvarlige generelt foretage sig, inden de begynder at entrere med nogle cloud-leverandører med mange underleverandører, siger Allan Frank.
Datatilsynet forventer, at der kommer et svar fra Det Europæiske Databeskyttelsesråd senest til oktober.
- Men det gør altså ikke, at dem, der bruger de her produkter, ikke allerede nu kan gå i gang med at lave alle de samme øvelser, som KL har lavet på vegne af de 53 kommuner.
- Sagen har jo netop vist, at der er et kæmpe stort afklaringsarbejde. Og det kan jo lige så godt komme i gang med det samme, lyder det fra Allan Frank.
/ritzau/
Tekst, grafik, billeder, lyd og andet indhold på dette website er beskyttet efter lov om ophavsret. DK Medier forbeholder sig alle rettigheder til indholdet, herunder retten til at udnytte indholdet med henblik på tekst- og datamining, jf. ophavsretslovens § 11 b og DSM-direktivets artikel 4.
Kunder med IP-aftale/Storkundeaftaler må kun dele DK Indkøbs artikler internt til brug for behandling af konkrete sager. Ved deling af konkrete sager forstås journalisering, arkivering eller lignende.
Kunder med personligt abonnement/login må ikke dele DK Indkøbs artikler med personer, der ikke selv har et personligt abonnement på DK Indkøb.
Afvigelse af ovenstående kræver skriftlig tilsagn fra det pågældende medie.
