Datatilsynet: Omkring halvdelen af landets kommuner bryder GDPR

Illustration: morganlstudios, BigStock
Omkring halvdelen af landets kommuner er gået på kompromis med skolebørns databeskyttelse, efter man har brugt Chromebooks med standardindstillinger i undervisningen, slår Datatilsynet fast.

I starten af 2021 får næsten halvdelen af landets kommuner en besked fra Datatilsynet om, at de ikke har beskyttet skolebørns data godt nok.

Det skriver Politiken.

Man bruger nemlig Chromebooks i undervisningen, og de overholder ikke GDPR, hvis man bruger dem med standardindstillingerne.

»Man kan godt manuelt konfigurere sig ud af det, men det er relativt kompliceret, og det er der næsten ingen af kommunerne, der har gjort. Omkring en tredjedel af kommunerne har dog gjort et hæderligt forsøg«, siger Allan Frank, it-sikkerhedsspecialist og jurist, til Politiken.

Afgørelsen er kommet, efter en drengs oplysninger - fulde navn, klassetrin og skole - blev offentliggjort på platformen Youtube tilknyttet en kontroversiel kommentar, som hans venner stod bag. Drengens far klagede i januar til tilsynet efter et mislykket forsøg på at få skolen og Helsingør kommune til at ændre praksis.

Den ansvarlige i Helsingør Kommune, Lars Rich, ønsker ikke kommentere på sagen til Politiken. Google skriver dog til mediet, at man overholder EU-lovgivningen.

Ifølge Allan Frank har undersøgelsen været meget kompliceret, fordi Google beskrivelse af databeskyttelsen er fordelt på mange regelsæt, som henviser til hinanden på kryds og tværs.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Bjarne Nielsen

Fra artiklen:

Ifølge Allan Frank har undersøgelsen været meget kompliceret, fordi Google beskrivelse af databeskyttelsen er fordelt på mange regelsæt, som henviser til hinanden på kryds og tværs.

Nu kender jeg ikke Allan Frank, men jeg tror nu nok, at jeg kan tillade mig at antage, at han næppe er den langsomste knallert på havnen, hvad angår at læse og forstå beskrivelser og regelsæt vedrørende databeskyttelse. Jeg antager også, at han har betydelig bedre rammer for at bruge tid på at sætte sig ind i det.

Så hvis han føler sig udfordret, hvordan skulle almindelige mennesker så have bare skyggen af en snebolds chance i helvede?

Jeg kunne godt ønske mig to ting:

  1. At en dommer hældte det brombærkrat af et regelsæt af brættet, og erklærede det virkningsløst i forhold til privatpersoner.
  2. En standard "smiley-ordning", hvor virksomheder skulle selvdeklarere deres minimumsniveau, med mulighed for at skulle udbetale mærkbare nominelle erstatninger til alle brugere, hvis de bliver taget i at lyve. Og de må gerne holde mere end de lover...
  • 15
  • 0
#5 Kjeld Flarup Christensen

Afgørelsen er kommet, efter en drengs oplysninger - fulde navn, klassetrin og skole - blev offentliggjort på platformen Youtube tilknyttet en kontroversiel kommentar, som hans venner stod bag.

Hvem kender ikke det fulde navn på sine klassekammerater, endsige sit eget klassetrin, og nu bliver det svært, navnet på sin skole.

Hvad er Chromebooks synd egentligt?

I øvrigt, "venner" ???

  • 0
  • 7
#6 Niels Madsen

Synden består angiveligt i at elevens personoplysninger alene var registreret med det formål at de skulle bruges i forbindelse med hans brug af login og materialer i undervisningsøjemed, men at de alligevel samtidigt blev del af en YouTube konto som der ikke var hjemmel til at oprette i hans navn.

Dermed blev disse oplysninger så vidt jeg forstår offentliggjort til en endnu bredere kreds da han uforvarende kommenterede på en YouTube video.

Og jo, klasse og skole kan sagtens være problematiske oplysninger. Det er nok ikke alle som ville synes om at fx. Google, et forsikringsselskab eller en kommende arbejdsgiver ved at man engang gik i specialklasse. Derudover kan der også være problemer mht. navne og adressebeskyttelse og lign. hvis en tidligere voldelig forælder eller ægtefælle har fået politi-tilhold.

  • 11
  • 0
#7 Kristian Klausen

Så vidt jeg ved forholder Schrems II-dommen sig ikke direkte til CLOUD Act, i følge den kompetente Jesper Lund (fra IT-Politisk Forening) strider den dog imod GDPR artikel 48.

Hvis vi ser bort fra CLOUD Act og antager at det amerikanske DevOp team ikke kan tilgå data i de europæiske datacentre, så burde det være muligt at overholde GDPR (så vidt jeg har forstået).

Jeg kan have min tvivl ift. "DevOp-teamet", men den eneste måde at blive klogere på det og CLOUD Act, er nok ved at nogen indleder en sag.

  • 0
  • 0
#9 Jørgen Schirmer Nielsen

Helt sikkert ikke et nemt job at være DPO ude i kommunerne i disse år.

Det norske Datailsyn har lavet et - i mine øjne som lægmand - et fremragende vejledende materiale, der kan støtte kommuner og skoler i at komme på den rette side af GDPR i forhold til Chromebooks, Chrome og hele Google-universet samt andre skytjenester.

Materialet kommer godt omkring fra myndighedsudøvelsen (forvaltningsperspektivet) over det hardcore GDPR til den pædagogiske praksis, der jo også handler om at eleverne er umyndige, hvorfor der ligger et særligt ansvar på lærere og forældre i at beskytte eleverne og sikre deres rettigheder.

Det indeholder også en særlig opmærksomhed mod at perspektivet ikke bør være kommunens men elevens :-)

Man kan kun ønske, at det danske Datatilsyn har tilsvarende ressourcer til at hjælpe kommunerne. Det meste kan dog overføres direkte.

https://www.datatilsynet.no/personvern-pa-ulike-omrader/skole-barn-unge/...

  • 2
  • 0
Log ind eller Opret konto for at kommentere