Læs advokatfirmaet Bech-Bruuns privacy-kritik af gymnasie-it

Advokatfirmaet Bech-Bruun har på foranledning af Danske Erhvervsskoler rejst en række kritikpunkter mod it-systemet Lectio. Firmaet bag systemet, Macom, afviser kritikken og har ikke imødekommet kritikpunkterne. Systemet anvendes på størstedelen af landets gymnasier.

En stribe erhvervsskoler har sidste år via deres interesseorganisation Danske Erhvervsskoler bedt advokatfirmaet Bech-Bruun gennemgå it-systemet Lectio i forhold til, om systemet overholder lovgivningen, særligt persondataloven. Systemet er særligt udbredt på landets almene gymnasier, men anvendes også på en del erhvervsskoler i forbindelse med de erhvervsgymnasiale uddannelser.

Advokatundersøgelsen udsprang af en artikel her på Version2 om en algoritme, der kan forudsige frafald i gymnasierne. Algoritmen var blevet til ved at anvende machine-learning på data fra de skoler, som anvender systemet. Og det vakte bekymring på flere af landets uddannelsesinstitutioner i forhold til, hvem der fik adgang til deres data. I dette tilfælde en datalogistuderende på Københavns Universitet.

Efter at have undersøgt Lectio har Bech-Bruun fundet frem til flere kritisable punkter ved systemet.

I en skriftlig henvendelse dateret oktober 2014 beder firmaet derfor Macom om straks at rette det, der beskrives som uregelmæssigheder. Og senest 27. oktober 2014 skal rettelserne være på plads. Henvendelsen er underskrevet persondataspecialist ved Bech Bruun Charlotte Bagger Tranberg.

Siden har Macom imidlertid endnu ikke efterkommet opfordringen, da virksomheden er uenig i kritikken.

Kritikpunkterne

Bech-Bruuns anmoder i skrivelsen til Macom om at »Lectio ændres, så der ikke automatisk offentliggøres oplysninger på internettet i forbindelse med elevers og læreres anvendelse af Lectio.«

Macom har svaret på kritikken i et brev dateret 23. oktober sendt via virksomhedens advokat. I forhold til ovenstående kritikpunkt, står der i svaret fra Macom:

»Min klient oplyser, at Lectio ikke fungerer således, at der sker automatisk offentliggørelse på Internettet i forbindelse med elevers og læreres anvendelse af Lectio. Af sikkerhedsmæssige årsager registreres alle brugeres ændringer af data i Lectio. Disse registreringer er tilgængelige som logfiler, som kun personale med administrative rettigheder har adgang til.«

Bech-Bruun anmoder desuden om, »at adgangen til Lectio og dermed til alle personoplysninger i systemet beskyttes af brugernavn og password.«

Til det står der i svaret fra Macoms advokat:

»Min klient oplyser, at det alene er navn og skema for de enkelte elever, som er tilgængelig i Lectio uden brugernavn og password. Øvrige personoplysninger er beskyttet af brugernavn og password. Såfremt den enkelte erhvervsskole finder eller er i tvivl om, hvorvidt tilgængeligheden af navn og skema for den enkelte elev kan være i konflikt med gældende regler, kan dette relativt enkelt løses ved, at den enkelte elev giver samtykke til erhvervsskolen.«

Og endeligt anmoder Bech-Bruun om, at »Lectio ændres, så historiske oplysninger om tidligere elever og lærere på den enkelte erhvervsskole hverken er tilgængelige på internettet eller på skolens intranet.«

Heller ikke her er Macom enig i kritikken. Via advokaten oplyser virksomheden:

»Min klient er alene systemejer, mens den enkelte erhvervsskole er ejer af de data, som tilføjes og slettes i Lectio. Det er således den enkelte erhvervsskoles suveræne beslutning, hvilke data, der skal være tilgængelig i Lectio og i hvilket tidsrum de pågældende data skal være tilgængelige, min klient er således helt uden indflydelse på hvorvidt der i Lectio eller andet sted forefindes data om tidligere elever og lærere. Det står således den enkelte erhvervsskole frit, med respekt af gældende opbevaringsregler, at slette historiske oplysninger.«

Afviser kritik af frafaldsalgoritme

Udover de tre konkrete anmodningerne om systemændringer i Lectio, anmoder Bech-Bruun Macom om en redegørelse i forhold til Macoms forvaltning af skolernes data i forbindelse med tilblivelsen af frafalds-algoritmen.

Også den kritik bliver afvist af Macom:

»Min klient oplyser, at det i Deres skrivelse omtalte IT-funktion til forudsigelse af elevers frafald, hvor datalogistuderende på Københavns Universitet har bidraget til udviklingen, er gennemført med udgangspunkt i de oplysninger, som var tilgængelige i Lectio. Oplysningerne er anvendt og bearbejdet på en sådan måde, at konkrete personoplysninger ikke er gjort tilgængelige for udenforstående.«

Derudover bliver der i svaret fra Macom nævnt en stribe andre funktionaliteter i Lectio, som også er blevet til via samarbejder med universitetsstuderende på Københavns Universitet og DTU.

»Samarbejdet er både til gavn for de universitetsstuderende, der skriver deres afgangsspecialer med udgangspunkt i en virkelig problemstilling, og til gavn for min klient, der får belyst problemstillinger, som min klient ellers ikke ville have ressourcer til at belyse, og som i sidste ende kommer brugerne af Lectio til gode,« står der i svaret sendt via Macoms advokat.

Åben for ny databehandleraftale

Endeligt opfordrer Bech-Bruun Macom til at indgå i dialog med erhvervsskolerne om databehandleraftaler og licensaftaler vedrørende Lectio.

Her åbner Macom op for at se på, hvorvidt en ny databehandleraftale kan udarbejdes. Macom bemærker ganske vist, at virksomheden allerede har lagt en forhåndsunderskrevet databehandleraftale ud på virksomhedens hjemmeside, men at man er villig til at se på, om der kan udarbejdes en ny databehandleraftale.

Macom har oplyst til Version2, at man ikke har tilpasset Lectio jf. ønskerne fra Bech-Bruun. Det bunder i, at man hos Macom ikke mener, systemet har problemer med lovgivningen.

Og hos Danske Erhvervsskoler afventer man en kommende bekendtgørelse på området med krav til, hvad it-systemer som Lectio skal leve op til. I bekendtgørelsen skulle det være særligt præciseret, at systemerne skal leve op til persondataloven for at de kan blive godkendt til brug på landets ungdomsuddannelser. Bekendtgørelsen skulle være lige på trapperne.

Henvendelsen til Macom fra Bech-Bruun

Svaret fra Macom til Bech-Bruun

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#4 Mogens Winther

Interessant at Macom endnu en gang skråsikkert afviser at sikre mod uvedkommende personers adgang http://gymnasieskolen.dk/gl-skolerne-skal-have-styr-p%C3%A5-kontrakter-m... .

På nuværende tidspunkt kan hvem som helst gå ind på www.lectio.dk – og finde frem til hvor på skolen navngivne elever måtte befinde sig og hvornår. Bare klik på den pågældende skole, og vælg f.eks. ”elev”, og straks kan ENHVER uden password følge med i hvor eksakt det pågældende barn befinder sig hvornår.

En tilsvarende åben struktur er IKKE tilladt i f.eks. Tyskland – men her har man selvfølgelig måttet lære af flere tragiske hændelser.

/mw

  • 1
  • 0
Log ind eller Opret konto for at kommentere