Danske Erhvervsskoler: Udbredt gymnasie-it har privacy-problemer

23. september 2015 kl. 06:294
It-systemet Lectio er på kant med persondataloven, mener Danske Erhvervsskoler, der har advaret sine medlemmer om systemet på baggrund af en advokatundersøgelse. Systemet bliver idag anvendt på flere erhvervsgymnasier.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Frit tilgængelige data om elever og lærere. Det er et af de kritikpunkter af it-systemet Lectio, som Danske Erhvervsskoler har peget på, og som vækker bekymring hos organisationen. Lectio bliver blandt andet anvendt på flere af de erhvervsgymnasiale uddannelser, som hører under Danske Erhvervsskoler.

»Vores vurdering er, at der er nogle problemer med persondatalovgivningen. Og det skal selvfølgeligt rettes i systemet, så vi trygt kan bruge det alle sammen,« siger direktør i Danske Erhvervsskoler Lars Kunov.

Han henholder sig til en advokatundersøgelse, som eksperter fra advokatfirmaet Bech-Bruun foretog af systemet sidste år, og som peger på flere problemer ved Lectio i relation til persondatalovgivningen.

Også hos Styrelsen for IT og Læring, STIL, er man bekendt med Danske Erhvervsskolers undersøgelse. Og på den baggrund har styrelsen været i dialog med virksomheden bag Lectio, Macom.

Artiklen fortsætter efter annoncen

»Vi har forklaret Macom, at vi har modtaget et brev fra Danske Erhvervsskoler, som vi ser på med stor alvor og bekymring. Og at vi vil tage højde for brevet i forhold til den bekendtgørelse, vi er på vej med nu,« siger vicedirektør i STIL Aino Olsen.

Hun henviser til en kommende bekendtgørelse med krav til it-systemerne på området, og hvor det skulle blive præciseret, at systemerne skal overholde persondataloven.

Bekendtgørelsen er siden interviewet med Aino Olsen nu blevet udstedt af STIL. Den kan findes her.

‘Ulovlig databehandling’

Lars Kunov ønsker ikke at tage stilling til, hvorvidt Lectio faktisk er i strid med persondataloven eller ej, med henvisning til, at han jo ikke er dommer.

Et af landets førerende advokatvirksomheder er mere klar i mælet. Version2 er imidlertid i besiddelse af en PDF med titlen 'Oplæg til direktørmøde' fra februar i år med Bech-Bruuns logo på. Og her bliver der umiddelbart ikke efterladt nogen tvivl om, at direktørerne på landets erhvervsskoler kan betragte systemet som ulovligt.

En af siderne i PDF'en er således dekoreret med et rødt trafiklys under overskriften ‘Risikovurdering ved fortsat anvendelse af Lectio’.

Og under det første punkt på denne side står der ‘Den ulovlige behandling af personoplysninger, som foregår i Lectio, er skolernes ansvar’.

Peter Enevold er direktør for Tietgenskolen i Odense og næstformand i Danske Erhvervsskoler - lederne. Og hans umiddelbare indtryk af Lectio er, at systemet ikke overholder lovgivningen.

»Sådan som jeg er informeret, så er der problemer med Macoms overholdelse af persondataloven. Det er det indtryk, advokaterne har efterladt hos mig.«

Version2-artikel

Det var en artikel på Version2, der sidste år var anledningen til, at Danske Erhvervsskoler i første omgang kontaktede Bech-Bruun i relation til Lectio. Artiklen handlede om, hvordan en datalogistuderende på Københavns Universitet havde udviklet en algoritme til forudsigelse af frafald på landets gymnasiale uddannelser baseret på de data fra skolerne, Lectio indeholder. Som Version2 tidligere har fortalt, vakte det også betænkeligheder hos Danske Gymnasier, der straks krævede funktionaliteten fjernet.

Det har ikke umiddelbart været muligt at få Bech-Bruun til mundtligt at uddybe kritikken af Lectio. Version2 er dog i besiddelse af en henvendelse fra brev fra Bech-Bruun til Macom, hvor advokatfirmaet oplister flere punkter i relation til Lectio, der skal ‘rettes op omgående’ i relation til lovgivningen.

Macom har imidlertid ikke ændret noget i koden i henhold til brevet fra Bech-Bruun, der blev sendt til virksomheden i oktober 2014. Direktør i Macom, Martin Holbøll, mener, Bech-Bruun har misforstået flere elementer i forhold til kritikken.

»Jeg synes, det er ærgerligt. Vi vil hellere end gerne snakke med dem (Danske Erhvervsskoler, red.). I forhold til deres fremfærd med advokater så synes jeg egentlig, vi har tilbagevist de misforståelser, de havde,« siger Martin Holbøll.

Martin Holbøll understreger desuden, at Macom ingen interesse har i at levere et system, der ikke lever op til loven.

»Hvis de nu vil være konstruktive og fremadrettede, vil vi hellere end gerne snakke med dem. Vi mener i sagens natur ikke, at vi gør noget ulovligt.«

Mens Martin Holbøll efter eget udsagn gerne vil snakke med Danske Erhvervsskoler, så har direktør Lars Kunov dog ikke oplevet den store velvilje til dialog fra Macoms side.

»Vi henvendte os til den pågældende leverandør med ønske om en dialog. Og den dialog går ikke specielt godt og afbrydes af den ene part (Macom, red.),« siger Kunov.

Med afsæt i Bech-Bruun-undersøgelsen udsendte Danske Erhvervsskoler i marts i år et orienteringsbrev til organisationens medlemmer, hvor skolerne blandt andet bliver oplyst om Bech-Bruuns undersøgelse og om et informationsmøde, der kan oplyse dem om muligheden for at flytte deres data ud af Lectio og til det statslige system under STIL Easy.

Den procedure viste sig dog at være teknisk besværlig, ligesom skolerne heller ikke var synderligt interesserede i at skifte til Easy.

»Lectio har været meget populært. Så nej, skolerne står ikke i kø for at forlade det. Det eneste ønske, de har, er, at den anvendelse, de har af systemet, er lovmedholdelig. Og at den ikke kan ende med at bringe hverken dem selv eller deres elever i en ubehagelig situation,« siger han.

Sag om CPR-numre

I orienteringsbrevet fra marts bliver skolerne desuden informeret om, at Macom har overdraget CPR-numre til en datalogistuderende i forbindelse med tilblivelsen af et it-værktøj. Lars Kunov fortæller, at der henvises til frafaldsalgoritmen, som altså bliver beskrevet i den Version2-artikel, der fik Danske Erhvervsskoler til at få Bech-Bruun til at se nærmere på Lectio i første omgang.

Hos Macom afviser direktør Martin Holbøll, at virksomheden skulle have udleveret CPR-numre i den anledning.

Lars Kunov fortæller, at det er den oprindelige Version2-artikel om tilblivelsen frafaldsalgoritmen, der har givet Danske Erhvervsskoler anledning til at oplyse medlemmerne om, at Macom skulle have udleveret CPR-numre.

I artiklen fremgår det dog ikke direkte, at CPR-numrene skulle være blevet udleveret til den studerende.

»Det kan jeg heller ikke dokumentere. Det er en intern orientering, vi har givet. Såfremt både Macom og Københavns Universitet har sikret sig, at den datalogistuderende ikke har haft adgang til CPR-numre eller navne på elever/lærere, så trækker vi selvfølgelig den del af kritikken. Det ændrer dog ikke ved, at dataene er skolernes og derfor ikke kan udleveres til tredjemand,« siger Lars Kunov.

Venter på bekendtgørelsen

Nu ser Lars Kunov frem til en bekendtgørelse fra undervisningsministeriet, der skulle være lige på trapperne. Med den følger en it-instruks med nogle krav, som it-systemer på området skal leve op til for at kunne blive revideret og i sidste ende godkendt til brug på området af Styrelsen for IT og Læring (STIL).

»Bekendtgørelsen skulle være på vej inden for meget kort tid. Når den er trådt i kraft, så er vores skoler et eller andet sted sikret ved, at der er nogle centrale regler, der bestemmer, hvad leverandøren skal gøre. Og det er selvfølgelig også en central statslige opgave at kontrollere leverandøren.«

»Og så kan skolerne bruge de systemer, der har fået sådan en godkendelse. Og så kan vores skoler bruge det trygt uden at risikere en skandalesag.«

Hos søsterorganisationen Danske Gymnasier anvender ca. 90 pct. af medlemmerne - de almene gymnasier - Lectio. Altså samme system, som vækker bekymring i forhold til, hvem der har adgang til elever og læreres data hos Danske Erhvervsskoler.

Formand for Danske Gymnasier Anne-Birgitte Rasmussen er bekendt med Bech-Bruun-rapporten, som Danske Gymnasier ifølge formandens udsagn dog ikke er gået nærmere ind i. Anne-Birgitte Rasmussen ser, ligesom Lars Kunov, frem til den kommende bekendtgørelse, som stiller krav til de studieadministrative it-systemer.

»Mange skoler er glade for den funktionalitet, der er i Lectio. Og vi har tillid til, at det bliver systemgodkendt, og så regner vi med, at alt er i den skønneste orden.«

Bekendtgørelsen er siden interviewet med Anne-Birgitte Rasmussen og Lars Kunov nu blevet udstedt af STIL. Den kan findes her.

Privacy-fingeraftryk på bekendtgørelse

Bekendtgørelsen skulle egentlig være landet før sommerferien, men blev udskudt på grund af valget. Ifølge Version2’s oplysninger skulle den udkomme i denne uge og indeholde et krav om, at it-systemerne også skal kunne revideres i henhold til Persondataloven for at kunne blive systemgodkendte.

Den del har Danske Erhvervsskoler ment var vigtig at få med. Lars Kunov henviser i den forbindelse til, at Lectio i dag er godkendt til brug på det gymnasiale område, men at det ikke er nogen garanti for, at systemet overholder persondataloven.

»Vi har påpeget over for Undervisningsministeriet, at vi mener, det er et problem, at ministeriet qua deres systemgodkendelse giver indtryk af, at systemet er blåstemplet af staten. Og derfor har man også fra ministeriets side valgt at lave en bekendtgørelse, der pålægger leverandører forskellige ting i forhold til lovgivning. Herunder at få revisorgodkendt, at systemet overholder landets love generelt,« siger Lars Kunov.

Version2 har været i kontakt med flere direktører rundt om på landets uddannelsesinstitutioner, som i kølvandet på Bech-Bruun-undersøgelsen og de efterfølgende udmeldinger fra Danske Erhvervsskoler i dag er bekymrede over sikkerheden i Lectio.

En af dem er Mads Kofod, direktør ved Campus Bornholm. Uddannelsescenteret anvender i dag Lectio på nogle områder, og det gør man fortsat. Men det var egentlig planen at udvide samarbejdet med Macom i forhold til brugen af Lectio. Men det arbejde er nu sat i bero på baggrund af Bech-Bruun-undersøgelsen og meldingerne fra Danske Erhvervsskoler.

»Der var sået berettiget tvivl om lovligheden ved at fortsætte det arbejde, og derfor satte vi det i bero,« siger han og fortæller, at Campus Bornholm nu forholder sig afventende, indtil lovligheden af systemet er belyst.

Bekendtgørelsen, der refereres til i ovenstående artikel, er nu blevet udstedt af STIL. Den kan findes her.

4 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
23. september 2015 kl. 22:52

Det er jo ikke kun det aktuelle problem med indsamling af oplysninger og frafaldslogaritmen, der er betænkeligt ved Lectio. Hele systemet er for åbent. Det kan ikke passe, at enhver i landet kan se, hvornår Louise i 1.y er i skole, hvad hun laver og hvorhenne. Der er vist ikke sket noget endnu, men hvis en fremmed ringede til skolen i Før-LectioTiden for at få Louises skema udleveret, ville vedkommende blive afvist.

Ligeledes er lærerne vist også den eneste arbejdsgruppe i landet, hvis arbejdsplan ligger offentligt tilgængeligt.

Der bør være password til skemaadgang m.m.

2
23. september 2015 kl. 16:13

»Lectio har været meget populært. Så nej, skolerne står ikke i kø for at forlade det. Det eneste ønske, de har, er, at den anvendelse, de har af systemet, er lovmedholdelig. Og at den ikke kan ende med at bringe hverken dem selv eller deres elever i en ubehagelig situation,« siger han.

Ja Lectio er populært hos skolernes administrationer fordi det gør livet lettere for dem. For alle os andre som lever med lectio til dagligt er det en plage. Primært fordi det ikke kan synkroniserer med noget som helst.

1
23. september 2015 kl. 08:35

...må være en ny juridisk betegnelse jeg ikke er bekendt med.

Iøvrigt mener jeg at det næppe kan komme som nogen overraskelse at et IT-system i brug i det offentlige ikke overholder lovgivningen, men Macom får vel en bøde på svimlende 5.000 kr. De må hellere få det redesignet inden persondatalovgivningen fra EU træder i kraft om 1½ års tid, for så stiger bødetaksten potentielt til en anseelig procentdel af omsætningen, i modsætning til de danske ligegyldigheder, som vel næppe kan anses som værende en decideret straf, nærmere en form for irritationselement.