Læs nu

Du har ingen artikler på din læseliste

Hvis du ser en artikel, du gerne vil læse lidt senere, kan du klikke på dette ikon
Så bliver artiklen føjet til din læseliste, som du altid kan finde her, så du kan læse videre hvor du vil og når du vil.

Næste:
Næste:
Artiklen er føjet til din læseliste Du har ulæste artikler på din læseliste
Staff / Reuters / Ritzau Scanpix
Foto: Staff / Reuters / Ritzau Scanpix

En sag er blevet til ti på blot to måneder, viser en aktindsigt.

Uddannelse
Læs artiklen senere Gemt (klik for at fjerne) Læst

Sager om brud på elevers datasikkerhed hober sig op

Mindst ti kommuner er nu anmeldt til Datatilsynet om brud på elevers persondatasikkerhed. Google maner til besindighed og forsikrer, at elevers data ikke kan misbruges.

Uddannelse
Læs artiklen senere Gemt (klik for at fjerne) Læst

Der er ikke oplæsning af denne artikel, så den oplæses derfor med maskinstemme. Kontakt os gerne på automatiskoplaesning@pol.dk, hvis du hører ord, hvis udtale kan forbedres. Du kan også hjælpe ved at udfylde spørgeskemaet herunder, hvor vi spørger, hvordan du har oplevet den automatiske oplæsning.

Spørgeskema om automatisk oplæsning

Listen over kommuner, der har brudt skoleelevers persondatasikkerhed, bliver længere og længere.

Før jul havde Datatilsynet blot en enkelt sag om en kommune, der uretmæssigt havde videregivet elevers data til YouTube og andre Google-tjenester. Nu har tilsynet i alt ni sager, viser en aktindsigt, Politiken Skoleliv har fået.

Derudover er der mindst en sag mere undervejs.

Siden 20. januar i år har Datatilsynet modtaget sager fra Skanderborg, Ishøj, Hvidovre, Ballerup, Sorø, Holbæk og Glostrup, mens Tårnby ligeledes har anmeldt en sag, som dog ikke er registreret endnu.

Den første sag fra efteråret omhandler Odense Kommune, som havde anmeldt et brud på persondatasikkerheden, der kunne omfatte op til 8.000 personer. I slutningen af december modtog Datatilsynet en klage fra Helsingør Kommune, som Politiken beskrev i sidste uge.

Alle sager omhandler utilsigtet videregivelse eller offentliggørelse af elevernes fulde navn - og i flere tilfælde skole og klassetrin - uden udtrykkelig samtykke fra elev eller forældre.

I alle sager bliver de pågældende skolers brug af Chromebooks eller Googles skoleplatform GSuite for Education nævnt som kilden til bruddet.

Politiken Skoleliv har bedt Google om at forholde sig til de stigende antal sager, og den ansvarlige hos Google for Education for Europe Liz Sproat maner til besindighed.

»For at gøre det helt klart: Når Google leverer GSuite for Education til skoler i Danmark, sker det under udførlige databehandleraftaler. Både GSuite og Chrome-operativsystemet er i overensstemmelse med GDPR og beskytter dermed brugernes data. Chromebooks sælges af hardwareproducenter til skoler gennem lokale forhandlere og ikke direkte af Google,« skriver Liz Sproat i en mail.

»Der bliver heller ikke vist reklamer i GSuite for Education, og data bliver ikke brugt til kommercielle formål. Når det gælder YouTube, er det slet ikke en del af GSuite og er som andre tjenester slået fra som standard. Selv hvis en kommune vælger at slå den til, vil brugerne ikke være underlagt f.eks. målrettet annoncering, når de er logget ind på deres GSuite for Education-konto,« skriver Liz Sproat yderligere.

YouTube lukkes

Der hersker ikke desto mindre tvivl og bekymringer ude i de danske skoleforvaltninger. Det er indtrykket, der står tilbage, når man har læst alle aktindsigterne.

I Ishøj Kommune kan man blandt andet læse, at elever og ansatte siden 2017 har kunnet »lægge data op på Google-ejede Blogger, Google+ og YouTube uden nogen databehandleraftale.«

Det kan berøre op til 3.000 personer, skriver de, og fejlen blev opdaget 21. januar 2020.

I Skanderborg Kommune får eleverne oprettet en skolekonto til Google af it-afdelingen, når de modtager en Chromebook. Der var i forvejen lukket ned for anvendelsen af Google Drev og Gmail, fremgår det. Men der er ikke blevet lukket ned for YouTube. Det betyder, »at elevernes data potentielt kan være videregivet til YouTube uden forældrenes samtykke,« står der i anmeldelsen.

Det potentielle brud kan påvirke op til 1.600 personer og blev opdaget 20. januar.

I anmeldelsen fra Holbæk Kommune kan man læse, at »ved opsætning af ny skolestruktur har det i perioden november 2019 fremtil 24. januar 2020 været muligt for elever under 13 år at uploade og kommentere video på Youtube. Hvis en elev har gjort dette, fremgår elevens navn, klasse og skole.«

I Hvidovre er det en bekymret mor til en specifik skole, der har sendt en klage. I klagen kan man læse, at moderen har kunnet finde sønnens fulde navn, den by, han befandt sig i, samt skole og klassetrin på YouTube. Det er uden forældrenes samtykke og på trods af forsikringer om, at elevernes oplysninger ikke vil kunne findes på nettet, står der i klagen.

I de fleste sager har kommunerne som konsekvens lukket ned for elevernes adgang til YouTube.

Der vil komme flere sager

I en række af sagsakterne kan man læse, at det er de seneste ugers medieomtale, der har gjort kommuner og forældre opmærksomme på problemerne.

Mandag i sidste uge kunne Politiken fortælle, hvordan Helsingør Kommune havde videregivet elevers personoplysninger til det Google-ejede YouTube. Det var en forælder til en elev, der opdagede fejlen og kontaktede Helsingør Kommune, der valgte ikke at anmelde sagen til Datatilsynet.

Annonce

På baggrund af den klage er der dog oprettet en sag om Helsingør, og selvom Datatilsynet behandler alle de indkomne sager, er det den sag, der lige nu behandles først og bliver udgangspunktet for en udtalelse, fortæller it-sikkerhedskonsulent i Datatilsynet Allan Frank.

»Helsingør-sagen kommer til at danne præcedens, fordi det er den, der nået længst i sagsoplysningen. For at få forholdene omkring problemstillingen afklaret så hurtigt som overhovedet muligt bruger vi den sag som udgangspunkt,« fortæller Allan Frank.

Datatilsynet afventer lige nu en redegørelse fra Helsingør Kommune og vil hurtigst muligt bringe en udtalelse. I mellemtiden skal kommunerne dog stadig indberette, hvis der er mistanke om sikkerhedsbrud, påpeger Allan Frank.

Kommunerne er som dataansvarlige nemlig forpligtet til at anmelde sager til Datatilsynet inden for 72 timer, hvis de bliver bekendt med brud på persondatasikkerheden, fremgår det af Databeskyttelsesforordningen. Desuden skal berørte elever og forældre ligeledes underettes hurtigst muligt.

Der skal imidlertid registreres et konkret tilfælde af brud på datasikkerheden, før den regel træder i kraft. Flere kommuner har dog valgt at indberette sagerne, fordi de har en formodet mistanke om brud.

Det er Allan Franks vurdering, at der vil dukke endnu flere sager op af den karakter, og den seneste medieomtale bør da også sætte nogle overvejelser i gang ude i kommunerne, påpeger han.

Denne artikel er fra Politiken Skoleliv

Læs mere:

Annonce

For abonnenter

Annonce

Podcasts

Forsiden