Datatilsynet har utfärdat reprimander mot Sandnes kommun, Bergen kommun och Strand kommun för felaktig användning av Googles lösningar i skolan.
Av Datatilsynets pressmeddelande framgår att flera kommuner har använt Googles lösningar i grundskolan. Efter att flera föräldrar visat oro har Datatilsynet tittat närmare på tre kommuner som använt Google Chromebook och G Suite for Education.
Enligt Datatilsynets måste de som använder Google eller andra tjänster veta vad detta betyder för elevers integritet. De måste ha en översikt över vilka uppgifter som samlas in och vad de används till, först då har de en fullständig översikt över vad som står på spel för studenterna. Kommunerna Sandnes, Bergen och Strand har inte haft denna översikt i det här fallet varför de brutit mot flera dataskyddsregler.
Kommunerna har enligt Datatilsynet bland annat inte informerat om rätt rättslig grund för deras behandling av personuppgifter. De har inte heller lämnat tillräcklig information till elever och föräldrar om de lösningar som kommunen använder.
Datatilsynet betonar vidare att kommunerna inte bör använda tjänster som innebär profilering och att alla lösningar ska ha inbyggd integritet (Privacy by Design). Datatilsynet betonar även att kommunerna ska ha en översikt över alla personuppgifter de samlar in om eleverna och vad denna information ska användas till, då en sådan detaljerad översikt är avgörande för att kommunerna ska kunna bedöma vilken information som behöver behandlas.
Vidare betonar Datatilsynet att all behandling av personuppgifter förutsätter att riskbedömningar utförs innan tjänsterna används. Enligt Datatilsynet har sådana riskbedömningar inte gjorts tillräckligt bra i dessa fall. Kommuner som använder molntjänster i grundskolan måste bekanta sig med de speciella utmaningar som gäller för användning av sådana tjänster och ha en realistisk relation till de risker som användningen av molntjänster kan medföra.
Kommunerna måste också överväga konsekvenserna för elevers integritet när de behandlar personuppgifter genom ny teknik och lösningar. Enligt Datatilsynet måste bedömningen göras utifrån elevernas och användarnas intresse, inte kommunens. Syftet med en sådan bedömning är enligt Datatilsynet bland annat att kommunerna ska kunna identifiera risker för elevers integritet som de inte skulle identifiera genom en allmän riskbedömning.
För att hjälpa kommuner som använder eller vill använda Google Chromebook och G Suite for Education (eller andra molntjänster) har Datatilsynet tagit fram en omfattande vägledning baserad på resultaten i granskningen. De ämnen Datatilsynet har valt att ta med i vägledningen baseras på de fel som myndigheten hittat i de tre fallen. Enligt Datatilsynet kan stora delar av den här vägledningen också överföras till andra molntjänster.