0
Læs nu

Du har ingen artikler på din læseliste

Hvis du ser en artikel, du gerne vil læse lidt senere, kan du klikke på dette ikon
Så bliver artiklen føjet til din læseliste, som du altid kan finde her, så du kan læse videre hvor du vil og når du vil.

Næste:
Næste:
Artiklen er føjet til din læseliste Du har ulæste artikler på din læseliste
Staff / Reuters / Ritzau Scanpix
Foto: Staff / Reuters / Ritzau Scanpix

En sag er blevet til ti på blot to måneder, viser en aktindsigt.

Uddannelse
Læs artiklen senere Gemt (klik for at fjerne) Læst

Sager om brud på elevers datasikkerhed hober sig op

Mindst ti kommuner er nu anmeldt til Datatilsynet om brud på elevers persondatasikkerhed. Google maner til besindighed og forsikrer, at elevers data ikke kan misbruges.

Uddannelse
Læs artiklen senere Gemt (klik for at fjerne) Læst

Der er ikke oplæsning af denne artikel, så den oplæses derfor med maskinstemme. Kontakt os gerne på automatiskoplaesning@pol.dk, hvis du hører ord, hvis udtale kan forbedres. Du kan også hjælpe ved at udfylde spørgeskemaet herunder, hvor vi spørger, hvordan du har oplevet den automatiske oplæsning.

Spørgeskema om automatisk oplæsning

Listen over kommuner, der har brudt skoleelevers persondatasikkerhed, bliver længere og længere.

Før jul havde Datatilsynet blot en enkelt sag om en kommune, der uretmæssigt havde videregivet elevers data til YouTube og andre Google-tjenester. Nu har tilsynet i alt ni sager, viser en aktindsigt, Politiken Skoleliv har fået.

Derudover er der mindst en sag mere undervejs.

Siden 20. januar i år har Datatilsynet modtaget sager fra Skanderborg, Ishøj, Hvidovre, Ballerup, Sorø, Holbæk og Glostrup, mens Tårnby ligeledes har anmeldt en sag, som dog ikke er registreret endnu.

Den første sag fra efteråret omhandler Odense Kommune, som havde anmeldt et brud på persondatasikkerheden, der kunne omfatte op til 8.000 personer. I slutningen af december modtog Datatilsynet en klage fra Helsingør Kommune, som Politiken beskrev i sidste uge.

Alle sager omhandler utilsigtet videregivelse eller offentliggørelse af elevernes fulde navn - og i flere tilfælde skole og klassetrin - uden udtrykkelig samtykke fra elev eller forældre.

I alle sager bliver de pågældende skolers brug af Chromebooks eller Googles skoleplatform GSuite for Education nævnt som kilden til bruddet.

Politiken Skoleliv har bedt Google om at forholde sig til de stigende antal sager, og den ansvarlige hos Google for Education for Europe Liz Sproat maner til besindighed.

»For at gøre det helt klart: Når Google leverer GSuite for Education til skoler i Danmark, sker det under udførlige databehandleraftaler. Både GSuite og Chrome-operativsystemet er i overensstemmelse med GDPR og beskytter dermed brugernes data. Chromebooks sælges af hardwareproducenter til skoler gennem lokale forhandlere og ikke direkte af Google,« skriver Liz Sproat i en mail.

»Der bliver heller ikke vist reklamer i GSuite for Education, og data bliver ikke brugt til kommercielle formål. Når det gælder YouTube, er det slet ikke en del af GSuite og er som andre tjenester slået fra som standard. Selv hvis en kommune vælger at slå den til, vil brugerne ikke være underlagt f.eks. målrettet annoncering, når de er logget ind på deres GSuite for Education-konto,« skriver Liz Sproat yderligere.

YouTube lukkes

Der hersker ikke desto mindre tvivl og bekymringer ude i de danske skoleforvaltninger. Det er indtrykket, der står tilbage, når man har læst alle aktindsigterne.

I Ishøj Kommune kan man blandt andet læse, at elever og ansatte siden 2017 har kunnet »lægge data op på Google-ejede Blogger, Google+ og YouTube uden nogen databehandleraftale.«

Det kan berøre op til 3.000 personer, skriver de, og fejlen blev opdaget 21. januar 2020.

I Skanderborg Kommune får eleverne oprettet en skolekonto til Google af it-afdelingen, når de modtager en Chromebook. Der var i forvejen lukket ned for anvendelsen af Google Drev og Gmail, fremgår det. Men der er ikke blevet lukket ned for YouTube. Det betyder, »at elevernes data potentielt kan være videregivet til YouTube uden forældrenes samtykke,« står der i anmeldelsen.

Det potentielle brud kan påvirke op til 1.600 personer og blev opdaget 20. januar.

I anmeldelsen fra Holbæk Kommune kan man læse, at »ved opsætning af ny skolestruktur har det i perioden november 2019 fremtil 24. januar 2020 været muligt for elever under 13 år at uploade og kommentere video på Youtube. Hvis en elev har gjort dette, fremgår elevens navn, klasse og skole.«

I Hvidovre er det en bekymret mor til en specifik skole, der har sendt en klage. I klagen kan man læse, at moderen har kunnet finde sønnens fulde navn, den by, han befandt sig i, samt skole og klassetrin på YouTube. Det er uden forældrenes samtykke og på trods af forsikringer om, at elevernes oplysninger ikke vil kunne findes på nettet, står der i klagen.

I de fleste sager har kommunerne som konsekvens lukket ned for elevernes adgang til YouTube.

Der vil komme flere sager

I en række af sagsakterne kan man læse, at det er de seneste ugers medieomtale, der har gjort kommuner og forældre opmærksomme på problemerne.

Mandag i sidste uge kunne Politiken fortælle, hvordan Helsingør Kommune havde videregivet elevers personoplysninger til det Google-ejede YouTube. Det var en forælder til en elev, der opdagede fejlen og kontaktede Helsingør Kommune, der valgte ikke at anmelde sagen til Datatilsynet.

Annonce

På baggrund af den klage er der dog oprettet en sag om Helsingør, og selvom Datatilsynet behandler alle de indkomne sager, er det den sag, der lige nu behandles først og bliver udgangspunktet for en udtalelse, fortæller it-sikkerhedskonsulent i Datatilsynet Allan Frank.

»Helsingør-sagen kommer til at danne præcedens, fordi det er den, der nået længst i sagsoplysningen. For at få forholdene omkring problemstillingen afklaret så hurtigt som overhovedet muligt bruger vi den sag som udgangspunkt,« fortæller Allan Frank.

Datatilsynet afventer lige nu en redegørelse fra Helsingør Kommune og vil hurtigst muligt bringe en udtalelse. I mellemtiden skal kommunerne dog stadig indberette, hvis der er mistanke om sikkerhedsbrud, påpeger Allan Frank.

Kommunerne er som dataansvarlige nemlig forpligtet til at anmelde sager til Datatilsynet inden for 72 timer, hvis de bliver bekendt med brud på persondatasikkerheden, fremgår det af Databeskyttelsesforordningen. Desuden skal berørte elever og forældre ligeledes underettes hurtigst muligt.

Der skal imidlertid registreres et konkret tilfælde af brud på datasikkerheden, før den regel træder i kraft. Flere kommuner har dog valgt at indberette sagerne, fordi de har en formodet mistanke om brud.

Det er Allan Franks vurdering, at der vil dukke endnu flere sager op af den karakter, og den seneste medieomtale bør da også sætte nogle overvejelser i gang ude i kommunerne, påpeger han.

Denne artikel er fra Politiken Skoleliv

Læs mere:

Læs mere

Annonce

For abonnenter

Annonce

Podcasts

  • Du lytter til Politiken

    Vi holder sommerferie, men der er masser...
    Vi holder sommerferie, men der er masser...

    Henter…

    Du lytter til Politiken går på sommerferie. Vi er tilbage mandag 10. august. Men vi har masser af nye lydoplevelser til din sommerferie.

    Vi har lavet en Roskilde-special til sommeren uden festivaler - det er tre afsnit, hvor du kan høre vores musikskibenter tale om tre årtier med orange musik, de ikke kan glemme.

    Så er der også Poptillægget - det udkommer det meste af juli og bruger sommeren på sit helt eget Protesttillæg om den bevægelse mod racisme og undertrykkelse, som skyller hen over verden lige nu. Hvordan den viser sig i samfundet og kulturen, kan du høre om i fem afsnit.

    I uge 29 har vi premiere på første afsnit af serien 'Elsk mig for evigt'.

    Det er en personlig historie om angsten for at blive forladt - for, at den du elsker, holder op med at elske dig. Og hvad det kan få et menneske til at gøre.

    Og har du ikke allerede hørt den, så er der også serien om skibsbranden på Scandinavian Star, der slog 158 mennesker ihjel. Her gennemgår Politiken-journalist Lars Halskov, hvis journalistik også blev til en prisbelønnet tv-serie på DR, den tragiske historie om Skandinaviens største mordgåde.

    Til sidst kan du også  tage Politikens bedste interview, portrætter og reportager med på stranden. I Politiken Longread, som udkommer senere i juli, kan du høre avisens journalister læse nogle af deres bedste artikler op.

    Hav en smuk sommer.

    Find os både i vores egen podcast-app, Politiken Podcast, og i iTunes

  • Du lytter til Politiken

    SPECIAL: Roskilde i hjertet (3): »Det var bare så uvirkeligt at man kunne dø af at være på den plads«
    SPECIAL: Roskilde i hjertet (3): »Det var bare så uvirkeligt at man kunne dø af at være på den plads«

    Henter…

    Pernille var 16 år gammel og den eneste punker i Tommerup på Fyn, hvor hun kom fra. Det var år 2000, og hun var taget til Roskilde Festival med nogle venner for at høre musik og for at blive grebet af det store fællesskab. Fredag aften stod hun Orange Scene, klar til at høre The Cure, hendes yndlingsband, da en mand trådte frem på scenen og græd. ”People have died”, sagde han.

  • Pelle Rink/Ritzau Scanpix

    Du lytter til Politiken

    3. juli: Hvorfor undersøger medierne ikke om drab på Bornholm var racistisk?
    3. juli: Hvorfor undersøger medierne ikke om drab på Bornholm var racistisk?

    Henter…

    I sidste uge døde en 28-årig mand i Nordskoven ved Rønne. Senere samme dag anholdt de to brødre, som nu sidder fængslet. De har indrømmet, at de slog manden i skoven, men nægter et overlagt drab. Den døde mand var sort, og de to anholdte er hvide. En af dem har en video liggende på Facebook, hvor man kan se, at han har et hagekors på benet. Og ifølge politiet lagde en af dem et knæ på den dræbtes hals. Ligesom da George Floyd blev dræbt af betjente i USA.

    Alligevel tror politiet ikke, at drabet handler om race. Men kan det være rigtigt? Hvorfor tror medierne på politiet? Og har Politiken gjort det godt nok?