To ministre er kaldt i samråd om brud på elevers datasikkerhed

Sager om brud på elevers datasikkerhed i skolen hober sig op. På to uger er mindst otte kommuner blevet anmeldt til Datatilsynet for utilsigtet at have videregivet elevers data til YouTube eller andre Google-tjenester uden forældres samtykke, skriver Politiken.

Der er nu sager om mindst ti kommuner af den karakter. Derfor bliver to ministre - børne- og undervisningsminister Pernille Rosenkrantz-Theil (S) og justitsminister Nick Hækkerup (S) - nu indkaldt til samråd for at svare på, hvad regeringen har i sinde at gøre for at beskytte elevernes persondatasikkerhed. Alternativets it- og retsordfører, Sikandar Siddique, står bag indkaldelsen.

- Det er i sidste ende børne- og undervisningsministeren, der har ansvaret for skolerne og børnene, og det er i sidste ende justitsministeren, der har ansvaret for vores retssikkerhed. Derfor er det relevant at indkalde begge ministre, så vi kan komme i dybden med emnet, siger Sikandar Siddique.

Han kalder det en 'meget alvorlig sag', og sagsforløbet vidner om, at vi stadig ikke er gode nok til at beskytte borgernes digitale rettigheder, siger Sikandar Siddique.

- Det er vigtigt for mig at understrege, at vi ikke er ude efter kommunerne eller skolerne. De er også ofre, fordi de ikke kan gennemskue regler og betingelser. Det her handler om, at Datatilsynet skal styrkes. Vi har behov for et tilsyn, der er mere opsøgende og proaktivt. De skal også kunne udstede bøder i en størrelse, der har en afskrækkende effekt, siger han.

Sikandar Siddique opfordrer samtidig ministrene til at 'screene' de aftaler, kommunerne har gennemgået.

Helsingør danner grundlag
Datatilsynet behandler i øjeblikket en klage fra Helsingør, som kommer til at danne grundlag for en generel udtalelse om problemstillingen.

Politiken skrev i forrige uge om tilfældet i Helsingør, hvor en elevs personlige oplysninger var offentliggjort på YouTube uden forældrenes samtykke.

Fejlen blev opdaget af en forælder, men Helsingør valgte ikke at anmelde sagen til Datatilsynet, hvilket ellers skal ske senest 72 timer efter, man er blevet bekendt med et brud på datasikkerheden. Siden er yderligere otte kommuner blevet anmeldt med lignende sager.

Computeren er ikke problemet
I alle tilfælde er Chromebooks eller GSuite for Education blevet angivet som kilden til problemet, viser en aktindsigt Politiken Skoleliv har fået.

Chromebooks er en type computer, der er udviklet af Google, og det er den mest solgte bærbare computer til folkeskoler og gymnasier i USA, fremgår det af Googles hjemmeside. Herhjemme tilbyder flere kommuner eleverne en Chromebook. Senest har Aarhus indkøbt 23.000 eksemplarer til kommunens elever.

Chromebooks købes imidlertid ikke hos Google, og det er heller ikke computeren, der har vist sig at være kilden til problemet. Det er ved brugen af skoleplatformen GSuite for Education, hvor den utilsigtede deling af data foregår. GSuite for Education er en samlet pakke, der tilbydes gratis til kommunerne med en række - for mange velkendte - løsninger som Gmail, Google Docs og Google Drev. Op imod halvdelen af de danske kommuner har en aftale om GSuite for Education.

I den samlede pakke indgår YouTube imidlertid ikke, og elevernes adgang til platformen skal altså aktiveres af en medarbejder. Googles Head of Education Liz Sproat har derfor manet til besindighed og samtidig forsikret, at elevers data ikke kan blive misbrugt i forbindelse med brugen af hverken Chromebooks eller GSuite for Education.

- For at gøre det helt klart: Når Google leverer GSuite for Education til skoler i Danmark, sker det under udførlige databehandleraftaler. Både GSuite og Chrome-operativsystemet er i overensstemmelse med GDPR og beskytter dermed brugernes data. Chromebooks sælges af hardwareproducenter til skoler gennem lokale forhandlere og ikke direkte af Google, skrev Liz Sproat i en mail til Politiken Skoleliv i sidste uge.

ibs