Omdiskuteret Chromebook-sag: Vi skal finde balancen mellem databeskyttelse og digital innovation
I sidste uge kom Datatilsynet med en foreløbig afgørelse i Chromebook-sagen. Med afgørelsen slog tilsynet fast, at der ikke er hjemmel til videregivelse af personoplysninger til Google til mange af de formål, der videregives til i dag. Med afgørelsen fik 53 danske kommuner et påbud om at bringe behandlingen i overensstemmelse med reglerne.
Centralt for afgørelsen er netop de afledte formål, som kommunerne videregiver metadata om brugen af systemerne til; vedligeholdelse, forbedring, måling af ydeevne samt til udvikling af nye funktioner og tjenester.
Afgørelsen har været imødeset længe i kommunerne og af alle med interesse for databeskyttelse og digital nyudvikling af det offentlige. I DI Digital kastede vi os også over afgørelsen og gav udtryk for en vis bekymring for de konsekvenser, som afgørelsen kan have for udvikling af digitale løsninger i den offentlige sektor - en udmelding, der fik flere til at fare til tasterne.
Sagen er kompliceret, og i komplicerede sager bør vi som bekendt anstrenge os for at få nuancerne med. Det er selvsagt hævet over enhver tvivl, at vi skal sikre optimal beskyttelse af den enkeltes oplysninger, og at vi skal være ekstra forsigtige, når vi har med børn at gøre.
Det er også selvindlysende, at softwareleverandører bør være særligt opmærksomme på deres ansvar for at informere om ændringer i deres produkter på tværs af de aftalegrundlag, der aftales, og klæde virksomhederne på, så de har de nødvendige forudsætninger for at implementere systemer ansvarligt.
Bekymringen går dog mere på afgørelsens afledte konsekvenser end på selve den sag, som har været genstand for afgørelsen.
Det er nemlig en fundamental dynamik i udviklingen af produkter – såvel analoge som digitale – at leverandører løbende modtager feedback om brugen af deres systemer, som de bruger til at forbedre og forfine deres produkter. Når datatilsynet siger, at det ikke er muligt, når produktet bliver leveret til en bredere kreds end kommunerne, så hæmmer det dynamikken i produktudviklingen. Særligt i udviklingen og videreudviklingen af digitale løsninger er data om brugen helt central, og manglende adgang til metadata om brugernes brug af løsningerne gør det langt sværere at tilpasse og forbedre løsningerne.
Samtidig er det givet, at hvis vi har med offentlige løsninger at gøre, gælder der særlige regler for datasikkerheden. For at have tillid til løsningerne, skal vi kunne stole på, at data alene anvendes til lovlige formål, og at det sker på en sikker måde. Vi er glade for at Datatilsynet med afgørelsen også anerkender, at brug af personoplysninger til at forbedre pålideligheden og sikkerheden af produkter er et lovligt formål.
Vi er dog uenige med Datatilsynet i den linje tilsynet har lagt, hvor brug af pseudonymiserede og aggregerede data, som er grundlæggende for at kunne udvikle og tilbyde digitale brugervenlige løsninger, ikke udgør et lovligt formål, fordi løsningen også kan udbydes til andre end det offentlige.
Det er i alles interesse, at vi gør brug af disse data til at forbedre de løsninger, vi alle bruger på tværs af det offentlige og det private.
Vi er bekymrede for, hvad afgørelsen reelt kommer til at betyde for alle de digitale løsninger, der i dag bruges til det offentlige, men samtidig udbydes til et bredere marked.
Det er en vigtig sag, som vi tager meget alvorligt, og det er også en sag, der giver anledning til at diskutere, hvordan vi som samfund bruger og deler data. Der skal være de rigtige rammer, så de digitale løsninger kan videreudvikles til alles bedste.