Lektor i it-sikkerhed: Kommunerne pantsætter vores børns data for økonomisk gevinst

Datatilsynets beslutning, om at folkeskoleelever i Helsingør Kommune fortsat ikke må bruge chromebooks i undervisningen, giver anledning til en diskussion omkring den måde, vi digitaliserer Danmark.  

For sagen i Helsingør er kun en prøvesag, men afgørelsen vil sandsynligvis blive udbredt til alle andre folkeskoler, der benytter chromebooks. Ifølge tal i dagspressen bliver de brugt i cirka halvdelen af landets kommuner. 

Brugen af chromebooks stiller os grundlæggende overfor tre spørgsmål: Et juridisk spørgsmål, som er det primære spørgsmål for Datatilsynets jurister.

Et dataetisk spørgsmål, som er det primære spørgsmål for den far i Helsingør kommune, der har klaget over brugen af chromebook i skolen. Og et nationalt sikkerhedsspørgsmål, som ingen lader til at bekymre sig om.

Jeg mener imidlertid, at det sidste også er essentielt at tage med i overvejelserne, før vi tager teknologi som for eksempel chromebooks i brug. 

Data til usikre tredjelande

Det juridiske spørgsmål drejer sig i høj grad om persondataforordningen, også kaldet GDPR, og reglerne omkring overførsel af persondata til usikre tredje lande som for eksempel USA.

I usikre tredjelande ligger reglerne for persondatabeskyttelse og retshåndhævelsen af dem under det niveau, vi forventer i EU. GDPR’s forbud mod overførsel af persondata til usikre tredjelande sikrer, at EU-borgeres rettigheder under GDPR stadig bliver overholdt, efter persondata er overført til det pågældende land.

I usikre tredjelande ligger reglerne for persondatabeskyttelse og retshåndhævelsen af dem under det niveau, vi forventer i EU.

Christian Damsgaard Jensen
Lektor, DTU Compute

Det er ikke som sådan ulovligt at overføre persondata til usikre tredjelande. Det sker for eksempel, når flyselskaber overfører passagerlister ved oversøiske flyvninger. En række betingelser skal dog opfyldes, før data bliver overført for at forhindre at beskyttelsen af persondata udvandes. 

USA udgør et særligt problem. Dels fordi hovedparten af big tech-virksomheder hører hjemme i USA. Dels fordi USA har regler om elektronisk overvågning af kommunikation, der ikke lever op til reglerne i GDPR.

Selvom de amerikanske big tech-virksomheder tilbyder at lagre data på datacentre i EU, er der stadig risiko for overførsel til USA, hvis medarbejdere i USA har adgang til data over Internettet. For eksempel hvis en netværksspecialist hos Google i USA har adgang til et af Googles datacentre i EU. 

Det er noget nær umuligt for en virksomhed eller offentlig institution at vurdere, om en sådan overførsel kan finde sted, hvilket generelt gør det problematisk at benytte amerikanske udbydere af tjenester i skyen til lagring af persondata.

Problemstillingen bliver ikke mindre af, at næsten alle data bliver identificerende og dermed persondata, hvis de kan sammenholdes med tilstrækkeligt mange andre data, for eksempel alle de andre data, som big tech-virksomhederne lagrer for og om os. 

Forklaringen her belyser ikke til fulde kompleksiteten af det juridiske spørgsmål, men den illustrerer kompleksiteten af problemstillingen og viser, hvorfor Datatilsynet og juristerne i Helsingør Kommune kan være uenige om, hvorvidt brugen af chromebooks er i konflikt med reglerne. 

Kommunerne sparer ikke på samarbejde med Google

Det dataetiske spørgsmål er mere diffust, men det handler dybest set om, hvilket ansvar en organisation har for behandling af de persondata, de indsamler for og om andre. I vidensøkonomi tjener big tech-virksomheder som Google og Facebook i høj grad deres penge på den indsigt, de får om deres brugere, så de kan målrette reklamer netop til dem.

Det er derfor i virksomhedernes interesse at levere kvalitetsprodukter, der får flere til at vælge deres løsninger og dermed sikre flere brugere, de kan profilere og sælge indsigten fra.

Denne mulighed, for at big tech-virksomheder tvinges til at udlevere persondata, gør det nødvendigt med en striks fortolkning af GDPR

Christian Damsgaard Jensen
Lektor, DTU Compute

Data bliver altså den valuta, vi bruger til at betale big tech-virksomhederne. Som det ofte bliver sagt: If something is free, you’re the product.

Det etiske spørgsmål drejer sig derfor om, hvorvidt den besparelse kommunerne opnår ved at købe chromebooks retfærdiggør, at man som modydelse afleverer elevernes data, hvilket svarer til at kommunerne pantsætter børnenes data mod en umiddelbar økonomisk gevinst.

Selvom kommunerne måtte indgå databehandleraftaler med big tech-virksomheden, der forbyder videresalg eller brug af data til målrettede reklamer, er det stadig muligt, at big tech-virksomheden benytter data til at træne de bagvedliggende ’machine learning’ algoritmer til bedre profilering af andre kunder. 

Tag nationalt sikkerhedsperspektiv alvorligt

Det nationale sikkerhedsperspektiv – og det som jeg mener, vi bør tage meget alvorligt - drejer sig om at se big tech-virksomhedernes opsamling af data i det lange perspektiv.

Hvis halvdelen af de danske kommuner benytter chromebooks eller lignende systemer fra andre big tech-virksomheder i USA, er der en overvejende sandsynlighed for, at der ud fra opsamlede data vil kunne opbygges en omfattende profil på eksempelvis Danmarks kommende statsminister.

Denne profil vil være baseret på observationer af, hvad vedkommende har interesseret sig for, skrevet om i sine skoleopgaver og søgt på gennem alle de ti år, hvor personligheden formes og det unge menneske bliver voksent. 

Ifølge amerikansk lovgivning kan efterretningstjenester kræve alle data udleveret fra en virksomhed. Så selvom big tech-virksomheder ikke selv har opbygget en profil på en bruger, vil det være muligt for en amerikansk efterretningstjeneste at få adgang til disse data og selv opbygge en profil, der sandsynliggør, hvordan den danske statsminister vil reagere i forskellige situationer.