0
Læs nu

Du har ingen artikler på din læseliste

Hvis du ser en artikel, du gerne vil læse lidt senere, kan du klikke på dette ikon
Så bliver artiklen føjet til din læseliste, som du altid kan finde her, så du kan læse videre hvor du vil og når du vil.

Næste:
Næste:
Artiklen er føjet til din læseliste Du har ulæste artikler på din læseliste
Tine Hvolby
Foto: Tine Hvolby
Uddannelse
Læs artiklen senere Gemt (klik for at fjerne) Læst

Helsingør Kommune videregav personlige oplysninger om skoleelever til Google

Helsingør Kommune har givet byens elevers personoplysninger til YouTube uden forældres samtykke. Fejlen blev ikke indberettet til Datatilsynet. Eksperter frygter, at det samme sker i flere kommuner.

Uddannelse
Læs artiklen senere Gemt (klik for at fjerne) Læst

Glæden var stor, da alle skoleelever i Helsingør Kommune efter sommerferien sidste år fik en bærbar computer. Men hverken elever eller deres forældre vidste, at det betød, at elevernes personoplysninger blev videregivet til det Google-ejede YouTube. Da kommunen opdagede fejlen, blev det ikke oplyst til Datatilsynet.​​

Jesper P. Graugaard er forælder til en skoleelev i Helsingør, og han opdagede bruddet på elevernes datasikkerhed.

»Det er meget bekymrende, hvis jeg er den eneste, som har opdaget så oplagt et databrud. Hvis det kan ske, er forældre, skoler og kommunen ikke klædt på til at håndtere den nye teknologi«, siger Jesper P. Graugaard.

»Det er vigtigt, at vi får en debat om, hvordan digitaliseringen håndteres«, siger han og understreger, at det er den principielle debat, som er vigtig for ham. Derfor er han kritisk over for, at Helsingør Kommune ikke har indberettet fejlen til datatilsynet.

Et er, at man får et godt tilbud på bærbare computere. Men det kan også have implikationer, når det handler om persondata

Cirka halvdelen af landets kommuner samarbejder med Google om Chromebooks. Men det er ikke alle kommuners skoler, som er omfattet af aftalen. Derfor findes der ikke et præcist tal på, hvor mange elever der har en Chromebook i skoletasken.

Helsingør Kommune er ikke den eneste, som uforvarende har brudt databeskyttelsesloven, vurderer eksperter, som Politiken har talt med.

»Krumtappen her er den aftale, kommunerne laver, i forbindelse med at de køber Chromebook. Og det er en kompleks verden, som kommunerne skal gennemskue, og det er vanskeligt at have styr på, hvad man skriver under på«, siger Catrine Søndergaard Byrne, der er partner i advokatfirmaet Labora Legal, som blandt andet har specialiseret sig i sager om datasikkerhed.

Lovbrud

Politiken har fået aktindsigt i alle sager, Datatilsynet har behandlet om brud på datasikkerhed i forbindelse med indkøb af Chromebooks og tilhørende undervisningspakker. Der er kun en enkelt indberetning og ingen fra Helsingør.

»Når der foreligger et brud på persondatasikkerheden, skal det altid anmeldes inden for 72 timer, medmindre det er usandsynligt, at der er en risiko for de registreredes rettigheder«, siger Allan Frank, it-sikkerhedskonsulent i Datatilsynet. Han understreger, at når det gælder brud på datasikkerheden, der involverer oplysninger om personer, er der næsten altid en risiko for de registreredes rettigheder.

Allan Frank oplyser, at Datatilsynet har bedt Helsingør Kommune om en beskrivelse af databruddet og et svar på, hvorfor det ikke blev anmeldt. Datatilsynet afventer stadig kommunens svar, og han kan derfor ikke udtale sig om den konkrete sag.

»Men det er et område, vi har fokus på. Det er et stort ansvar hos skoler og kommuner, når de slipper stærke kræfter løs i klasselokalerne og børneværelserne, at de selv undersøger, hvad det er, eleverne skal sige ja til. For ét er, at man får et godt tilbud på bærbare computere. Men det kan også have implikationer, når det handler om persondata«, siger han.

Hvilke implikationer?

»De vilkår, der er knyttet til aftalen, og den måde, applikationerne på computerne spiller sammen på, kan betyde, at der siver personoplysninger til Google«, siger Allan Frank.

Annonce

Krumtappen her er den aftale, kommunerne laver, i forbindelse med at de køber Chromebook. Og det er en kompleks verden, som kommunerne skal gennemskue, og det er vanskeligt at have styr på, hvad man skriver under på

Google oplyser, at tillægstjenester til det, som hedder GSuite for Education – eksempelvis YouTube – er slået fra, når kommunerne køber computerne og undervisningspakkerne. Det betyder, at den dataansvarlige i kommunen aktivt skal gå ind og slå servicen til, hvis vedkommende ønsker det.

Direktør i Helsingør Kommune Lars Rich siger, at kommunen rettede fejlen hurtigst muligt.

»Problemet er, at elever kunne logge direkte på YouTube, og at man der fik barnets navn, klassetrin og skole at se, når man skrev en kommentar. Det skal man selvfølgelig ikke kunne, og da vi bliver bekendt med det, slår vi det fra med det samme«.

Hvorfor bliver det ikke indberettet til Datatilsynet?

»Vi har jurister siddende i kommunen, som forholder sig til sagen. Desuden har vi en data protection officer, som er rådgiver på området. Han vurderer, at hændelsen skal registreres på vores interne liste over datasikkerhed, men ikke skal indberettes til Datatilsynet. Hvis Datatilsynet vurderer det anderledes, indberetter vi det selvfølgelig«, siger han.

Læs mere: