Sollentuna måste sluta använda Googles molntjänst

Datainspektionen har fattat beslut om Google-användningen i Sollentuna inom utbildnings- och arbetsmarknadsnämndens område (gymnasiet) och säjer att kommunen  inte följer Personuppgiftslagen (PUL). Kommunen har inte tecknat ett specifikt personuppgiftsbiträdesavtal. Datainspektionen förelägger därför skolan att antingen snarast teckna ett personuppgiftsbiträdesavtal som lever upp till reglerna i personuppgiftslagen eller sluta använda molntjänsten. Jag gillar speciellt att Datainspektionen uppmärksammat detta: ”I just skolmiljö där exempelvis integritetskänsliga personuppgifter som rör barn och unga kan förekomma är det extra viktigt att de ansvariga verkligen ser till att personuppgifterna hanteras på ett lagligt sätt , säger Ingela Alverfors som lett granskningen.”

I Barn- och utbildningsnämnden där jag är verksam skulle vi därför teckna det standardavtal som  Google tillhandahåller föreslog kontoret och den moderatledda majoriteten. I förslaget stod att
”Med ovanstående i åtanke så är det med stor sannolikhet så att även Sollentunas personuppgiftbiträdesavtal med Google skulle underkännas av Datainspektionen vid en granskning. Rekommendationen är dock ändå att vi bör ha ett avtal med Google då vi saknar ett sådant idag”.
Standardavtalen vi fick i ärendet var på engelska. Med tanke både på det juridiska innehållet och den svenska Språklagen, var det i sig felaktigt. Google hade representanter med på mötet och jag tänkte att jag ändå skulle göra ett försök att få veta var i deras avtal man kunde få svar på följande frågor som Datainspektionen tagit upp:

Var framgår det i avtalet att varje underbiträde har samma skyldigheter som det personuppgiftsbiträde som den personuppgiftsansvarige ingått avtal med?

Var står det att personuppgiftsbiträdet är skyldigt att tillämpa svensk lagstiftning när det gäller behandlingen av personuppgifter?
När jag kommit så här långt visade det sig att Googles representanter inte kunde svara på någon av frågorna. Enligt min uppfattning hittade de inte i avtalen. De erbjöd att en jurist skulle kunna svara dagen efter, men vi skulle ju ta beslut samma kväll. Så jag upplevde inte att det var någon idé att ställa följande frågor:
Vilka andra personuppgiftsbiträden som kan komma att behandla den personuppgiftsansvariges personuppgifter?
Var står det om möjligheten  att följa upp att personuppgiftsbiträden lever upp till den personuppgiftsansvariges krav på personuppgiftsbehandlingen och verkligen vidtar lämpliga säkerhetsåtgärder?
Var framgår det att man kan säkerställa att det finns tekniska och praktiska förutsättningar att utreda misstankar om att någon hos den personuppgiftsansvarige eller hos något personuppgiftsbiträde haft obehörig åtkomst till personuppgifterna

Jag frågade ändå om förändringar av avtalen görs  ensidigt av Google? På det var svaret ja.
Vi yrkade givetvis på avslag och att ett giltigt personuppgiftsbiträdesavtal skulle tecknas.
Det yrkandet avslogs och avtalet antogs. Vi är inte förvånade över att den styrande majoriteten utan att tveka ställer sig bakom ett sådant förslag eftersom majoriteten sedan Google apps började användas i Sollentuna kommun har varit ointresserade och nonchalanta när det gäller en trygg hantering av elevernas personuppgifter. Vi vet att det idag fortfarande är så att de riktlinjer man tagit fram för känsliga personuppgifter och Google apps-användning tolkas väldigt olika ute i organisationen. Anställda  måste ha möjlighet att kommunicera på ett säkert sätt i arbetet.  Rekommendationer från granskande säkerhetskonsulter bör följas. Dessutom bör man hantera det faktum att kommunen inom barn- och ungdomsnämndens verksamheter, utan att ha fått samtycke från berörda vilket krävs, i åratal har hanterat känsliga personuppgifter för barn innefattande t ex namn, personnummer, hälsoproblem, insatser/åtgärder, information om kontakt med Socialtjänst och psykiatri, funktionshinder i en molntjänst som Google utan avtal. Dessa uppgifter bör således gallras, något vi föreslagit men den styrande majoriteten avslagit ett flertal gånger.

Fortsättning följer..

 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *

*