Glæden var stor, da alle skoleelever i Helsingør Kommune efter sommerferien sidste år fik en bærbar computer. Men hverken elever eller deres forældre vidste, at det betød, at elevernes personoplysninger blev videregivet til det Google-ejede YouTube. Da kommunen opdagede fejlen, blev det ikke oplyst til Datatilsynet.
Jesper P. Graugaard er forælder til en skoleelev i Helsingør, og han opdagede bruddet på elevernes datasikkerhed.
»Det er meget bekymrende, hvis jeg er den eneste, som har opdaget så oplagt et databrud. Hvis det kan ske, er forældre, skoler og kommunen ikke klædt på til at håndtere den nye teknologi«, siger Jesper P. Graugaard.
»Det er vigtigt, at vi får en debat om, hvordan digitaliseringen håndteres«, siger han og understreger, at det er den principielle debat, som er vigtig for ham. Derfor er han kritisk over for, at Helsingør Kommune ikke har indberettet fejlen til datatilsynet.
Et er, at man får et godt tilbud på bærbare computere. Men det kan også have implikationer, når det handler om persondata
Allan Frank,
it-sikkerhedskonsulent i Datatilsynet
Cirka halvdelen af landets kommuner samarbejder med Google om Chromebooks. Men det er ikke alle kommuners skoler, som er omfattet af aftalen. Derfor findes der ikke et præcist tal på, hvor mange elever der har en Chromebook i skoletasken.
Helsingør Kommune er ikke den eneste, som uforvarende har brudt databeskyttelsesloven, vurderer eksperter, som Politiken har talt med.
»Krumtappen her er den aftale, kommunerne laver, i forbindelse med at de køber Chromebook. Og det er en kompleks verden, som kommunerne skal gennemskue, og det er vanskeligt at have styr på, hvad man skriver under på«, siger Catrine Søndergaard Byrne, der er partner i advokatfirmaet Labora Legal, som blandt andet har specialiseret sig i sager om datasikkerhed.
Lovbrud
Politiken har fået aktindsigt i alle sager, Datatilsynet har behandlet om brud på datasikkerhed i forbindelse med indkøb af Chromebooks og tilhørende undervisningspakker. Der er kun en enkelt indberetning og ingen fra Helsingør.
»Når der foreligger et brud på persondatasikkerheden, skal det altid anmeldes inden for 72 timer, medmindre det er usandsynligt, at der er en risiko for de registreredes rettigheder«, siger Allan Frank, it-sikkerhedskonsulent i Datatilsynet. Han understreger, at når det gælder brud på datasikkerheden, der involverer oplysninger om personer, er der næsten altid en risiko for de registreredes rettigheder.
Allan Frank oplyser, at Datatilsynet har bedt Helsingør Kommune om en beskrivelse af databruddet og et svar på, hvorfor det ikke blev anmeldt. Datatilsynet afventer stadig kommunens svar, og han kan derfor ikke udtale sig om den konkrete sag.
»Men det er et område, vi har fokus på. Det er et stort ansvar hos skoler og kommuner, når de slipper stærke kræfter løs i klasselokalerne og børneværelserne, at de selv undersøger, hvad det er, eleverne skal sige ja til. For ét er, at man får et godt tilbud på bærbare computere. Men det kan også have implikationer, når det handler om persondata«, siger han.
Hvilke implikationer?
»De vilkår, der er knyttet til aftalen, og den måde, applikationerne på computerne spiller sammen på, kan betyde, at der siver personoplysninger til Google«, siger Allan Frank.