8 minute read
Schrems II – nu lettes låget på Pandoras æske
Schrems II dommen fra juli 2020 betyder, at de juridiske rammer for tredjelandsoverførsler er ændret radikalt. Selvom dommen i skrivende stund er over ca. 7 måneder gammel, så er denne Pandoras æske først nu ved at nå sit endelige klimaks – et klimaks – der, som jeg ser det, også vil få meget store konsekvenser for elever og læreres brug af digitale platforme i folkeskolen.
af Marcus Bennick, direktør, Webtjenesten LærIT.dk ApS (Skoletube)
Advertisement
Jeg er ikke jurist, men ejer og stifter af Webtjenesten LærIT ApS, som leverer den digitale værktøjskasse og videodistributionsplatform www.skoletube.dk, som de fleste grundskoler i Danmark abonnerer på.
Jeg har skrevet denne artikel, da vi på Skoletube har været meget optaget af hele sagen qua, at vi har en række underleverandører, som Schrems II kan få konsekvenser for.
Da jeg ikke er jurist, og da sagen udvikler sig nærmest fra dag til dag, så vil jeg gerne, at I ikke holder mig juridisk og faktuelt op på de ting, jeg skriver her. Det skal læses som min egen opfattelse og forståelse af et emne, som er uhyre komplekst jo mere, man graver ned i det.
Jeg vil i denne artikel redegøre for, hvordan vi har oplevet tiden efter Schrems 2. Hvad vi har gjort, hvad vi gør for indeværende, og hvad vi påtænker at gøre fremadrettet. Hvad der skete en dag i juli 2020
Først vil jeg gerne understrege, at Skoletube før Schrems II var en distributionsplatformmed værktøjer til multimodal tekstproduktion, og det vil vi også fortsat være efter Schrems II, da en stor del af Skoletube heldigvis slet ikke er berørt af Schrems II – her kan vi bare være glade over, at vi oprindeligt, da vi udviklede Skoletube ikke valgte at bruge en public cloud provider, som fx Amazon, Google eller Microsoft (selvom det havde været det nemmeste, og var det, som alle anbefalede), men vi valgte at bruge egne fysiske servere placeret her i Danmark. Det betyder, at alle de filer, fx video, lyd, billeder, men også tekstdokumenter mv., som elever og lærere ubegrænset kan uploade direkte til Skoletube, ligger trygt og sikkert i ”vores egen cloud” og er 100% lovligt efter alle GDPRregler.
Derfor var det alligevel et chok, da dommen faldt midt i juli 2020. Den dag sluttede vores
sommerferie brat. Hvilken betydning ville Schrems II få for os som leverandør?
Dommen betød kort fortalt, at EUDomstolen erklærede Privacy Shield ugyldig og skærpede kravene til brug af EUs standardkontraktbestemmelser. Dvs. de to lovlige overførselsgrundlag, der eksisterede, når data skulle sendes fra EU til USA, stort set var ugyldige, hvilket var ensbetydende med, at en egentlig datamur mellem EU og USA blev en realitet. Det ville altså reelt betyde, at en række værktøjer på Skoletube ikke længere ville kunne benyttes, fx Prezi, Wevideo, Book Creator, padlet m.fl, for deres servere er placeret i USA
Heldigvis brugte og bruger vi ikke Privacy Shield – så vi havde stadig det lovlige overførselsgrundlag i orden via standardkontrakterne, men hvad betød de skærpede krav til dem ?
Vi fik fat i vores GDPRjurister, selvom det var midt i sommerferien. Det var juristernes vurdering, at vi stadig kunne fortsætte overførslerne, og allerede d. 28. juli 2020 sendte vi et notat til alle vores abonnerende kommuner, som redegjorde for vores bevågenhed om den nye dom og samtidig informerede om, at vi indtil videre ville fortsætte med overførslerne, da vi brugte EUs standardkontrakter og ikke Privacy Shield.
Ugerne og månederne gik. Analyser og konsekvenser af Schrems IIs blev og bliver diskuteret flittigt og offentligt blandt GDPRjurister og eksperter, og igen vil jeg gøre en lang historie kort.
USA ser ud til at være stort set umuligt at overføre almindelige persondata til, fordi USA anses for at være et usikkert tredje land i GDPR regi. USA kan ikke garantere ”a level of protection that is essentially equivalent to the one guaranteed by the GDPR in light of the EU Charter”, og det kan de ikke på grund af USA’s masseovervågningsprogram, kendt under navnet FISA702, som håndteres af NSA.
Der kunne dog i standardkontraktbestemmelserne implementeres ”additional measures to those included in the SCCs”, som herefter kan sikre et passende beskyttelsesniveau.
Det Europæiske Databeskyttelsesråd ville sidst i 2020 udgive nye opdaterede retningslinjer for, hvad der kunne udgøre sådanne ”additional measures”. Vi afventede så disse guidelines og brugte tiden på at briefe vores mange amerikanske underleverandører om situationen.
November-noter og synlige tiltag
Retningslinjerne blev sendt i høring i november 2020, og de var desværre nedslående. Umiddelbart siger de, at der IKKE KAN implementeres ekstra foranstaltninger, der kan sikre et passende beskyttelsesniveau og dermed et lovligt overførselsgrundlag – ikke når det handler om brug af US-public hostingproviders. Men ikke nok med overførsel til servere placeret i USA, så blev det også klart, at det faktisk også gælder overførsel til servere ejet af de store US techgiganter Google, Amazon og Microsoft m.fl. indenfor Europas grænser, fordi de US-ejede firmaer er med i Cloud Act, som betyder, at NSA også kan requeste og kræve adgang til data fra disse servere, selvom de er placeret i Europa.
Retningslinjerne var endnu ikke de endelige – men kun i høring, men på grund af sagens alvor og flere henvendelser fra vores kunder – kommunerne (de dataansvarlige), valgte vi i november 2020 at begynde med at oplyse platformens brugere om den aktuelle udfordring med de amerikanske værktøjer. Det var jo stadig muligt at bruge værktøjerne, man skulle bare ikke tilføje persondata. Derfor lagde vi i november 2020 en popup box på alle vores værktøjer, som med illustrationer viste, hvilke persondata man ikke skulle bruge i det pågældende værktøj.
Fx kan man jo stadig lave en fin Prezi præsentation om fx broer, med billeder og tekst, uden at det indeholder persondata, og selve brugerprofilen er jo pseudonymiseret. Dog betyder begrænsningen i forhold til at inkludere almindelige personoplysninger i flere af værktøjerne en del, da det fx er svært at lave kreative multimodale flipbøger mm, når eleverne ikke engang må lægge/indtale speak på deres bøger.
Det er virkelig trist. Nu har vi arbejdet intenst med GDPR siden indførelsen i foråret 2018. Vi har altid haft fokus på at minimere mængden af personoplysninger, og vores underleverandører er nøje udvalgt. Vores underleverandører får slet ikke overført rigtige navne, emails osv., men kun pseudonymiserede persondata, og de opbevarer vores brugeres data og brugergenereret indhold privat og beskyttet, og de følger vores sletningsprocedurer og tilsyn. De deler eller sælger selvfølgelig ikke vores brugeres persondata, og Amazons/Googles/Microsofts hostingcentre er ”state of the art” mht. hardware, software og databeskyttelse - og så bliver det hele ødelagt, fordi USA’s efterretningstjeneste har et masseovervågningsprogram (FISA702), der ikke føres tilsyn med. Europas efterretningstjenester, heriblandt den danske efterretningstjeneste har også mulighed for at overvåge, men det er under tilsyn, og deri ligger den afgørende forskel altså, og USA har dermed som land ikke samme databeskyttelsesniveau som Europa – og lever dermed ikke op til GDPR.
Schrems II, Skoletube og fremtiden
Skoletube bliver delvist ramt af de nye retningslinjer, som indvarsles af Schrems II. Værre ser det i skrivende stund ud for andre online Cloudtjenester, som også spiller en stor rolle for hele det workflow, som i praksis fungerer i landets folkeskoler. Googles ”G suite for education” og ”Microsofts O365” er amerikanske, og det er svært, for ikke at sige umuligt, at disse tjenester kan fungere i en dansk folkeskole under de nuværende retningslinjer efter Schrems II dommen.
Der er ingen tvivl om at dette bliver et kæmpe tilbageslag for mulighederne for at bruge digitale værktøjer i undervisningen, og jeg tror, at det vil føles ekstra hårdt for mange af vores brugere her på Skoletube, da der jo har været nem og gnidningsfri adgang til et overflødighedshorn af state of the art værktøjer i en årrække.
Når Skoletube kun delvist bliver ramt, så skyldes det, at vi på Skoletube har vores kernefunktionalitet placeret på vores egne danske servere i Danmark. Alt, hvad du f.eks. uploader på Skoletube, ligger på Skoletubes egne servere i Danmark. Du kan derfor fortsat uploade og dele via skoletube, som du altid har gjort. I disse dage er vi ved at konsoliderer Skoletube yderlige ved at trække værktøjer hjem og placere dem på vores egne servere – det gælder f.eks. et værktøj som Easel.ly. Vi forstærker og opretter også nye versioner af f.eks. Skoleblogs og H5P, og vi har allerede sikret Screencast-O-Matic, Stop Motion Studio, Tiki Toki, Flowcharts, Photopea og Codinglab, som alle ligger sikkert, lovligt og efter de nye retningslinjer på vores egne servere i Danmark
Vigtigst er dog Skoletubes komplette videostreamingsplatform, som heldigvis ligger på danske servere. Upload og deling af video og andre medier via kanaler er ikke ramt af Schrems II. Vi har allerede implementeret en ny online videoeditor, som betyder, at I fortsat kan redigere video på Skoletube – også med almindelige persondata - nu og i fremtiden.
Direkte adgang til Skoletubes medier og videoer er allerede muligt i jeres læringsplatforme, og i skrivende stund er vi i dialog med Kombit og ser meget frem til en kommende integration af Skoletube direkte i AULA.
I den græske mytologi kæmpede Pandora for at få sat låg på æsken. Det eneste der ikke undslap, var håbet. Det håb har vi stadigvæk tilbage, for ingen ved endnu, hvad de endelige retningslinjer bliver. Rygterne siger, at de lander i marts. Vi kan håbe på, at de åbner for, at vi fortsat kan bruge ALLE de lækre produktionsværktøjer, der ligger på Skoletube. Men at værne om vores brugeres persondata står før alt andet. Det ér og har altid været vigtigt for os, og fremadrettet vil vi fortsat efterleve GDPR, og kun overføre data til underleverandører, hvis der er et lovligt overførselsgrundlag.
Skoletube vil fortsat være jeres lovlige digitale værktøjskasse og distributionsplatform - også efter Schrems II. Det vil være dér, at I lægger og deler medier lovligt, og dér, I producerer multimodale tekster.
