Jesper Graugaard havde aldrig forestillet sig at blive GDPR aktivist på fuld tid. Og han havde bestemt ikke forventet at starte en af de største debatter nogensinde om beskyttelse af børns data og amerikanske tech-virksomheders rolle i danske skoler.
I løbet af 4,5 år har Graugaard, forælder til et skolebarn, arbejdet utrætteligt for at skabe opmærksomhed og holde kommuner ansvarlige for beskyttelsen af skolebørn, der bruger Google Chromebooks til uddannelsesmæssige formål.
Ulovlig brug af data
Det hele startede med et datalæk i sommeren 2019. Børnene på hans barns skole fik ufrivilligt deres fulde navne, karakterer og skolens navn offentliggjort på YouTube.
"Det kunne ikke være rigtigt, at mit barns navn, og navnene på de 8000 andre børn i kommunen, skulle ligge på sociale medier som følge af, at de går i skole," siger Jesper Graugaard, da han medvirker i Wired Relations podcast Sustainable Compliance.
Med datalækagen gik det op for Graugaard, at Google indsamler forskellige personlige oplysninger om eleverne, når de bruger Chromebooks, og bruger dem til alt fra at forbedre sikkerheden samt udvikle deres produkter.
Nu, 4,5 år efter Jesper Graugaards første møde med Chromebooks, har Datatilsynet afgjort, at data ikke lovligt kan videregives til Google med henblik på at forbedre og udvikle deres produkter. Det er Graugaard ivrig efter at tale om, og derfor har han inviteret os til sit hjem i Helsingør, hvor det hele startede.
Manglende risikovurdering
Tilbage i 2019 stod det hurtigt klart, at Helsingør Kommune ikke havde lavet den nødvendige risikovurdering (DPIA), inden de begyndte at bruge Chromebooks, hvilket resulterede i datalækagen og delingen af børnenes data uden forældrenes samtykke.
Det var ikke acceptabelt for Graugaard, der hurtigt gik til skolebestyrelsen og byrådet i håb om en løsning. Her blev han mødt af beskeden: "Hvis du ikke kan leve med de fejl, burde du måske finde en anden skole".
"Den udmelding chokerede mig," siger Jesper Graugaard. Han besluttede at indrapportere det til Datatilsynet, og før han vidste det, var sagen vokset og involverede ikke mindre end 53 kommuner med det samme problem.
Tre mulige løsninger
Sagen har haft adskillige afgørelser fra Datatilsynet undervejs samt et midlertidigt forbud mod Chromebooks, der varede en sommer.
Datatilsynet har nu besluttet at give kommunerne en chance for at finde en løsning, der gør brugen af Chromebooks lovlig og har givet dem tre muligheder. Enten stopper kommunerne med at videregive personlige data til Google, de indgår en aftale med Google, så de ikke længere bruger dataen, eller Folketinget ændrer loven, så brugen af Chromebooks, som det fungerer nu, bliver lovlig.
"Min frygt er, at de vælger mulighed nummer tre og gør det lovligt," siger Jesper Graugaard.
Stod det til ham, ville forbuddet være fortsat, og skolerne kunne begynde at kigge efter alternative - danske - udbydere.
Har startet en vigtig debat
For Jesper Graugaard er kernen i sagen, at børn har ret til privatliv, når de går i skole, og at deres data ikke deles med nogen.
"Jeg vil ikke have, at mine børn, når de bliver 18 år, siger: Tak far, du lærte mig at cykle og leve et fornuftigt liv. Men der er den her digitale tvilling. Hvorfor er der ikke blevet gjort noget ved den? Ja, jeg ved det, nogen lavede en kopi af dig, men de ejer den. Du har ingen rettigheder, og du har ingen indvendinger. Du kan ikke tilbagekalde den".
"Så Jesper. I de sidste 4,5 år – er det blevet sikrere at være skolebarn i Danmark?"
"Ja absolut. Det har startet en opvågningsproces i kommunerne, men det har også igangsat en opvågningsproces i befolkningen. Det er en af de vigtigste gevinster ved sagen."
Lav juridisk holdbare DPIA’er hurtigere
I Wired Relations finder du et DPIA rammeværktøj udarbejdet af Poul Schmith / Kammeradvokaten, og som er opdateret i henhold til Datatilsynets nyeste skabelon.