Aula viste billeder af skole-ansatte uden samtykke: »Kombit har vurderet, at det er et brud på GDPR«

10. marts 2020 kl. 05:0011
Aula viste billeder af skole-ansatte uden samtykke: »Kombit har vurderet, at det er et brud på GDPR«
Illustration: Kombit.
Kommunikationsplatformen Aula har vist billeder af kommunalt ansatte fra andre systemer, uden at have samtykke til det. Det er et brud på GDPR, vurderer Kombit selv, og fejlen ligger tilsyneladende i samspillet mellem Aula og administrative systemer fra KMD.
Adam Fribo
Adam Fribo
Redaktionschef
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
Adam Fribo
Adam Fribo
Redaktionschef

2020 har indtil videre været et hårdt år for Aula, der både har været genstand for mere end 130 anmeldelser til Datatilsynet og har røbet en mindreårig piges beskyttede adresse.

Og ifølge Kombit selv har en sag om manglende samtykke til brug af billeder nu også betydet, at Aula-systemet har forbrudt sig imod GDPR.

Det fremgår af en orientering fra Kombit til en række danske kommuner, som Version2 har fået aktindsigt i.

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
Opret brugerLog ind
11 kommentarer.  Hop til debatten

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
11
Henning Wettendorff
19. marts 2020 kl. 15:27

Profilbillederne af voksne med flere roller er en ting - der bliver også brug for at holde øje med evt. forekomst af andre slags billeder i Aula, hvor der optræder mindst et barn, der ikke er givet generelt samtykke til visning af. Billedet risikerer at blive synligt alligevel, hvis ikke billedet ved upload tagges korrekt med alle de børn, der er genkendelige på billedet.

  • more_vert
    • insert_linkKopier link
10
Nikolaj Brinch Jørgensen
19. marts 2020 kl. 14:51

Jeg tænker ikke at kildesystemet aner at det er Aula der spørger eller har Aula bruger-/rettighedsregler indbygget. Det ville i hvert fald være en rimelig slem arkitektur. CPR udstiller jo heller ikke koder for hvert abonnement om hvad de enkelte abonnenter må med de data de aftager. Det må det aftagne system afgøre. Det som kildesystemet kan er at have sin egen bruger-/rettighedsmodel, hvor f.eks. Aula har en bruger med nogle roller, disse kan så påvirke hvilke data der sendes med.

Servicen i kildesystemet er sikkert en generel service der kan udstille data, og det er så op til dataforbruger at behandle disse data efter de retningslinjer der er udstukket for systemet.

Jeg tænker at reglen om '3' bor i Aula, at Aula ikke må vise billeder (data) med koden 3. Det er da også sådan jeg mener man bør læse artiklen. Det er Aula der har et krav om at fortolke koden 3 i forhold til konteksten Aula, det kan kildesystemet jo ikke.

  • more_vert
    • insert_linkKopier link
9
Nikolaj Brinch Jørgensen
19. marts 2020 kl. 14:14

Elsker når der i dataudveksling og generelt benyttes magic numbers...

  • more_vert
    • insert_linkKopier link
8
Povl Hansen
12. marts 2020 kl. 10:33

Og heri ligger pointen. Angiver '3' at der er tale om en personalebillede, at billedet aldrig nogensinde må vises, eller at der kun er samtykke til professionel brug? Jeg har set nok integrationer til at være i tvivl om hvorvidt citatet i artiklen er fyldestgørende som dokumentation for tiltænkt funktionalitet.

ifølge ar iklenhvis denne kode er 3, må billedet ikke vises i AulaHvis billedet ikke på noget som helst tidspunkt må vises i Aula, så kan jeg ikke forstå hvorfor det skal sends til Aula

Da jeg ikke ved hvad koderne betyder, må jeg gå ud fra aritklens indhold, og derfor undrer det mig hvorfor et billedet Aula ikke må bruge, sendes til Aula

  • more_vert
    • insert_linkKopier link
7
Søren Steinmetz
11. marts 2020 kl. 10:16

Jeg vil tro samme system, ligesom Skole Intra, har interne/personale og eksterne/forældre data. Dermed er et personale billede nødvendigvis overført, af hensyn til opslag fra den "professionelle" kant.

Problemet er at der åbentbart ikke er taget højde for en ansat, som også er forælder, og måske ikke vil have sit billede vist i forældre mappen men kun den af arbejdsgiver bestemte personale mappe.

  • more_vert
    • insert_linkKopier link
4
Jesper Jepsen
10. marts 2020 kl. 17:12

Billedet må ikke vises... hvad skal det så sendes med for? Ingen må se det, ingen har brug for det så hvorfor?

  • more_vert
    • insert_linkKopier link
3
Malthe Høj-Sunesen
10. marts 2020 kl. 14:33

Det er ikke unormalt at systemer udveksler data, som ikke må vises i visse sammenhænge. F.eks. kan mange systemer have reelt brug for at opbevare CPR-numre, men det er kun udvalgte brugere, som skal kunne se dem.

  • more_vert
    • insert_linkKopier link
2
Ditlev Petersen
10. marts 2020 kl. 14:04

Videns autem Pilatus quia nihil proficeret, sed magis tumultus fieret: accepta aqua, lavit manus coram populo, dicens: Innocens ego sum a sanguine justi hujus: vos videritis.

  • more_vert
    • insert_linkKopier link
1
Povl Hansen
10. marts 2020 kl. 10:37

"Hver enkelt billede bliver sendt fra KMD med en visningskode, og hvis denne kode er 3, må billedet ikke vises i Aula."

Jeg undrer mig over hvorfor KMD sender billeder til Aula, som Aula ikke må vise ?

  • more_vert
    • insert_linkKopier link