I salgsteksten for Google Workspace for Education fremhæves det, at det er en komplet cloudløsning, som omfatter de mest brugte værktøjer til arbejde og undervisning, og som kan tilgås online uanset hvor du er, og hvilken platform du bruger.
Og det lyder jo alt sammen meget godt, så hvad er problemet egentlig, kunne man spørge? Svaret er enkelt, det handler om dataoverførsel, og løsningen viser sig også at være enkel, selv om problemstillingen fortsat er kompleks.
Hovedproblemet er, at data sendes til USA uden elevens eller forældrenes samtykke. Faktisk uden nogen har samtykket overhovedet. Det sker i Helsingør – og alle andre steder, hvor Google Workspace for Education benyttes. Det har Datatilsynet kritiseret Helsingør Kommune for. Faktisk så kraftigt, at kommunalbestyrelsen kunne holdes personligt ansvarlige, hvis praksissen ikke blev ændret. Derfor stoppede kommunen med brugen. Faktum er dog, at både KL og regeringen har sovet gevaldigt i timen om folkeskolens bruge af Chromebooks. De kan ikke være overrasket over sagen, hvis de blot har fulgt lidt med i historierne om de amerikanske efterretningstjenester. Snowdens afsløringer i 2013 viste med al tydelighed, at efterretningstjenesterne har deres fangarme langt ind i den nye olie: Techgiganternes opsnappede data om snart sagt alle borgere om snart sagt alt.
Den amerikanske lov, FISA 702, giver amerikanske myndigheder ret til at spionere mod enhver ikke-amerikansk statsborger uden for USA - herunder alle danske skoleelever. Og oplysninger er langt nemmere at få fat i for de amerikanske myndigheder, hvis en amerikansk virksomhed har adgang til data.
FISA 702 strider mod GPDR, og affødte Schrems-II-afgørelsen. Det er svært at få dokumentation for brugen af FISA 702, for de, som skal udlevere data, får mundkurv på: De må ikke fortælle, at de udleverer data, men juraen bag er klar: Data skal udleveres til USA, hvis de amerikanske myndigheder ønsker det.
Det er derfor ikke muligt at løse sagen om Chromebook med et juridisk kvikfiks, som der nu lægges op til. Ingen amerikanske udbydere kan nogensinde garantere, at de ikke kommer til at udlevere data til de amerikanske efterretningstjenester, så længe der findes love som FISA 702.
Hvad der dog kan fikses, er teknikken, så etikken passer med formålet. Der skal ikke være tvivl om, hvem der tilgår Emils stil om Vietnamkrigen eller Idas dagbog om sommerferien.
Tilbage omkring årtusindskiftet begyndte PROSA at kryptere datatrafik, fordi vi kendte til aflytningsnetværket Echelon. Vi kunne ikke bevise aflytningen, men vi kunne allerede dengang træffe vores forholdsregler. Beviset kom med Snowdens afsløringer i 2013, og i dag er det så almindelig kendt, at ingen sætter spørgsmålstegn ved rigtigheden.
I dag kan vi (endnu) ikke bevise, at FISA 702 bruges mod Helsingørs skoleelever, men ligesom med Echelon, så kan vi faktisk tage vores – tekniske og etiske - forholdsregler – og det er nemt.
Der findes en dansk løsning baseret på standardkomponenter (https://classroomplus.eu/). Løsningen er browserbaseret, så den virker, hvis blot eleven har en browser – og dermed også på Chromebook; så investeringen i hardware ikke går tabt.
Med løsningen forbliver data i Danmark, og kan ikke udleveres til USA med en FISA-kendelse. Man kan endda køre det på kommunens egne servere, hvis man ikke har tillid til de virksomheder, der udbyder løsningen.
Der findes altså en løsning på Chromebook-sagen, og der er ikke nogen grund til at vente med at rulle den ud.
Lad den derfor være løftestang for det generelle problem. Vi – Danmark og Europa - bør, med afsæt i den aktuelle sag, udvikle løsninger, der gør os uafhængige af tech-giganterne og andre datahøstere. Det er den bedste måde at sikre, at vores data ikke havner utilsigtet i hænderne på udenlandske efterretningstjenester.
Læs også artiklen i Ingeniørens PRO-medie ComplianceTech.
