Efter Schrems II - I praksis


08/05/2022 Lisbeth Kjeldgaard 2021

Den 31. december 2019 lukkede SkoleKom.

SkoleKom var et konferenceprogram stillet til rådighed for uddannelsesinstitutioner af STIL (Styrelsen for It og Læring).

Som begrundelse for lukningen oplyste STIL at antallet af brugere på SkoleKom de seneste år har været støt faldende, og at der i dag findes et marked for kommunikationsløsninger, som mange skoler allerede benytter sig af. Aabenraa Statsskole, og en del andre gymnasier, stod således pludseligt i den situation, at vi skulle finde et andet system til at varetage kommunikationen inden for lærerteams.

Lærerteams blev oprettet i forbindelse med gymnasiereformen af 2005, hvor det blev pålagt lærerne at afholde teammøder, planlægge og lave skemaer for tværfaglige forløb, hjælpe eleverne med at føre studiebøger, holde øje med og vurdere elevernes kompetencer individuelt og på klasseniveau, samt skriftligt og fysisk fravær.

Med overenskomsten i 2013 blev det pålagt lærerne ikke at holde så mange møder, men planlægningskravene og evalueringskravene bestod, nu hedder det dog flerfaglige forløb i stedet for tværfaglige forløb. Løsningen er elektronisk kommunikation.

Microsoft Teams
Valget faldt på Microsoft Teams, da vi allerede havde Office 365. På det tidspunkt havde jeg som databeskyttelsesrådgiver (DPO) forhørt mig hos kammeradvokaten, angående overførelsesgrundlaget for personoplysninger imellem Europa og USA, EU-US Privacy Shield.

Kammeradvokaten oplyste at der ingen problemer var med EU-US Privacy Shield i forhold til GDPR. Så jeg godkendt Teams løsningen, særlig da Microsoft allerede på det tidspunkt også benyttede sig af SCC (Standard Contractual Clauses) som del af deres overførelsesgrundlag.

Som bekendt lukkede Danmark d. 11/3 2020 ned grundet COVID 19. Vores brug af Teams steg markant, fordi løsningen nu også skulle anvendes til kommunikation med og undervisning af eleverne.

Midt i denne Corona-tid var det næsten ubemærket, at der i juli faldt en dom i sagen mellem Max Schrems og Facebook. Det var ikke den første gang af Max Schrems var ude med riven efter store virksomheders behandling af personoplysninger og derfor blev dommen også kendt som Schrems II dommen.

Dommen gjorde EU-US Privacy Shield ugyldig og rykkede dermed fundamentalt på hele modellen for anvendelsen af amerikanske (Cloud og andet) løsninger. SCC var stadig gyldige, men kunne ikke stå alene.

Så inden for bare 2 år skulle vi for anden gang forsøge at finde et konferencesystem. Uagtet at STIL’s oprindelige begrundelse for at lukke SkoleKom var, at der var mange af den slags systemer, er de dog ikke lige til at finde, hvis man skal være uafhængig af amerikansk Cloud.

Derudover var der i de næste mange måneder stor usikkerhed omkring, hvor stor betydning dommen ville få. Ville man kunne lave en erstatning for Privacy Shield? Ville man kunne gå over til en risikobaseret vurdering?

En juridisk vurdering af lovgvningen
EDPB (European Data Protection Board) sendte anbefalinger i høring og resultatet kom endeligt tilbage d. 18 juni 2021. Ifølge retningslinjerne fra EDPB, er det ikke længere tilstrækkeligt at indgå SCC og databehandleraftale.

Vi skulle nu også foretage en konkret juridisk vurdering af lovgivningen og praksis i tredjelandet med henblik på at afklare, om beskyttelsesniveauet i tredjelandet svarer til beskyttelsesniveauet i EU/EØS.

Herefter skulle vi på baggrund heraf foretage en juridisk risikovurdering og implementere supplerende sikkerhedsforanstaltninger der bringer sikkerhedsniveauet for de registrerede op på et "lignende niveau". 

Efter at have været hele turen rundt, må vi erkende, at i praksis så er konsekvenserne af EDPB’s retningslinjer at det er så godt som umuligt at benytte amerikanske cloudtjenester.

Den amerikanske lovgivning, som blandt andet stiller ikke-amerikanske borgere dårligt i retssystemet – og i øvrigt giver de amerikanske efterretningstjenester nærmest uindskrænket magtbeføljelser, kapaciteter og praksis (tak til Edward Snowden for at gøre hele verden opmærksom på dette) gør det nemlig utroligt vanskeligt at opstille tekniske sikkerhedsforanstaltninger som meningsfyldt kan beskytte personoplysningerne.

Alternative løsninger
Det var på tide at se sig om efter alternativer.

En søgning gav mig følgende løsning: Mail: Protonmail. Protonmail er krypteret med mulighed for egen pgp-kryptering oveni. Der medfølger vpn. Oprindelse og cloud: Schweiz. Konferencesystem: Nextcloud. Enten på egen server, eller på server i EU. Måske kan govcloud anvendes?

Officeprogrammer: Hvis man benytter applikationerne på computeren (og passwordsikrer dokumenter med personoplysninger) burde man kunne benytte Microsoft office programmer. Ellers: Open Office. Det er tekstbehandling, slides (powerpoint analog), regneark, tegneprogram og endda database.

Så hvad nu? I et år er der ikke sket så meget med vores brug af amerikanske cloudsystemer. Dels har mange ventet på en endelig udmelding fra EDPB i håbet på at der ville vise sig en løsning (i.e. Microsoft retter ind og opretter et europæisk datterselskab eller lignende), dels fordi det i bund og grund er ligegyldigt, hvis FE alligevel afleverer alle data til NSA (Tak til DR for at opdage dette), dels fordi vi står stærkere, hvis flere af os på samme tid skifter til det samme system som afløser for Microsoft.

I mellemtiden laves risikovurdering og konsekvensanalyse.

Protonmail, Nextcloud og Open Office står i kulissen og afventer et muligt endeligt farvel til Microsoft.

Lisbeth Kjeldgaard Skrevet af Lisbeth Kjeldgaard
Top