Kommuner lækker elevers personnumre

Listen over kommuner, der har brudt skoleelevers persondatasikkerhed, bliver længere og længere.

Før jul havde Datatilsynet blot en enkelt sag om en kommune, der uretmæssigt havde videregivet elevers data til YouTube og andre Google-tjenester.

Nu har tilsynet i alt ni sager, viser en aktindsigt, Politiken Skoleliv har fået.

Derudover er der mindst en sag mere undervejs.

Artiklen fortsætter under videoen

Siden 20. januar 2020 har Datatilsynet modtaget sager fra Skanderborg, Ishøj, Hvidovre, Ballerup, Sorø, Holbæk og Glostrup, mens Tårnby ligeledes har anmeldt en sag, som dog ikke er registreret endnu.

Den første sag fra efteråret omhandler Odense Kommune, som havde anmeldt et brud på persondatasikkerheden, der kunne omfatte op til 8.000 personer. I slutningen af december modtog Datatilsynet en klage fra Helsingør Kommune, som Politiken beskrev i sidste uge.

Alle sager omhandler utilsigtet videregivelse eller offentliggørelse af elevernes fulde navn – og i flere tilfælde skole og klassetrin – uden udtrykkelig samtykke fra elev eller forældre.

Chromebooks og GSuite

I alle sager bliver de pågældende skolers brug af Chromebooks eller Googles skoleplatform GSuite for Education nævnt som kilden til bruddet.

Politiken Skoleliv har bedt Google om at forholde sig til de stigende antal sager, og den ansvarlige hos Google for Education for Europe Liz Sproat maner til besindighed.

– For at gøre det helt klart: Når Google leverer GSuite for Education til skoler i Danmark, sker det under udførlige databehandleraftaler. Både GSuite og Chrome-operativsystemet er i overensstemmelse med GDPR og beskytter dermed brugernes data. Chromebooks sælges af hardwareproducenter til skoler gennem lokale forhandlere og ikke direkte af Google, skriver Liz Sproat i en mail til Politiken Skoleliv.

– Der bliver heller ikke vist reklamer i GSuite for Education, og data bliver ikke brugt til kommercielle formål. Når det gælder YouTube, er det slet ikke en del af GSuite og er som andre tjenester slået fra som standard. Selv hvis en kommune vælger at slå den til, vil brugerne ikke være underlagt f.eks. målrettet annoncering, når de er logget ind på deres GSuite for Education-konto, skriver Liz Sproat yderligere.

Tvivl hos skoleforvaltninger

Der hersker ikke desto mindre tvivl og bekymringer ude i de danske skoleforvaltninger. Det er indtrykket, der står tilbage, når man har læst alle aktindsigterne.

I Ishøj Kommune kan man blandt andet læse, at elever og ansatte siden 2017 har kunnet »lægge data op på Google-ejede Blogger, Google+ og YouTube uden nogen databehandleraftale.«

Det kan berøre op til 3.000 personer, skriver de, og fejlen blev opdaget 21. januar 2020.

Date kan være videregivet

I Skanderborg Kommune får eleverne oprettet en skolekonto til Google af it-afdelingen, når de modtager en Chromebook. Der var i forvejen lukket ned for anvendelsen af Google Drev og Gmail, fremgår det. Men der er ikke blevet lukket ned for YouTube. Det betyder, »at elevernes data potentielt kan være videregivet til YouTube uden forældrenes samtykke,« står der i anmeldelsen.

Det potentielle brud kan påvirke op til 1.600 personer og blev opdaget 20. januar.

Lukket ned for YouTube

I anmeldelsen fra Holbæk Kommune kan man læse, at »ved opsætning af ny skolestruktur har det i perioden november 2019 fremtil 24. januar 2020 været muligt for elever under 13 år at uploade og kommentere video på Youtube. Hvis en elev har gjort dette, fremgår elevens navn, klasse og skole.«

I de fleste sager har kommunerne som konsekvens lukket ned for elevernes adgang til YouTube.

I en række af sagsakterne kan man læse, at det er de seneste ugers medieomtale, der har gjort kommuner og forældre opmærksomme på problemerne.

Forælder opdagede fejl

Mandag i sidste uge kunne Politiken fortælle, hvordan Helsingør Kommune havde videregivet elevers personoplysninger til det Google-ejede YouTube. Det var en forælder til en elev, der opdagede fejlen og kontaktede Helsingør Kommune, der valgte ikke at anmelde sagen til Datatilsynet.

På baggrund af den klage er der dog oprettet en sag om Helsingør, og selvom Datatilsynet behandler alle de indkomne sager, er det den sag, der lige nu behandles først og bliver udgangspunktet for en udtalelse, fortæller it-sikkerhedskonsulent i Datatilsynet Allan Frank.

– Helsingør-sagen kommer til at danne præcedens, fordi det er den, der nået længst i sagsoplysningen. For at få forholdene omkring problemstillingen afklaret så hurtigt som overhovedet muligt bruger vi den sag som udgangspunkt, siger Allan Frank til Politiken Skoleliv.

Afventer redegørelse

Datatilsynet afventer lige nu en redegørelse fra Helsingør Kommune og vil hurtigst muligt bringe en udtalelse. I mellemtiden skal kommunerne dog stadig indberette, hvis der er mistanke om sikkerhedsbrud, påpeger Allan Frank.

Kommunerne er som dataansvarlige nemlig forpligtet til at anmelde sager til Datatilsynet inden for 72 timer, hvis de bliver bekendt med brud på persondatasikkerheden, fremgår det af Databeskyttelsesforordningen. Desuden skal berørte elever og forældre ligeledes underettes hurtigst muligt.

Der skal imidlertid registreres et konkret tilfælde af brud på datasikkerheden, før den regel træder i kraft. Flere kommuner har dog valgt at indberette sagerne, fordi de har en formodet mistanke om brud.

Det er Allan Franks vurdering, at der vil dukke endnu flere sager op af den karakter, og den seneste medieomtale bør da også sætte nogle overvejelser i gang ude i kommunerne, påpeger han.

Kilde:Politiken Skoleliv

• Slut: Kommuner lukker for skoleelevers YouTube
• Kommune lækker 537 CPR-numre til borger