Datatilsynet undersøger gymnasie-platformen Lectio

5 kommentarer.  Hop til debatten
Datatilsynet undersøger gymnasie-platformen Lectio
Illustration: Screendump.
Langt de fleste gymnasier bruger platformen Lectio til blandt andet skemaer. Efter lang tids kritik vil Datatilsynet nu undersøge om mængden af oplysninger er for vidtgående på Lectio.
24. september 2018 kl. 09:59
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det tager ikke mange klik på Lectio, før du kan finde skemaer for eleverne i 2.B på Slagelse Gymnasium, eller se at gymnasielæreren Jesper fra Aurehøj Gymnasium skal til tandlæge i dag mandag.

Interesseorganisationen Danske Gymnasier har længe advaret om, at Lectio ikke beskytter oplysninger om eleverne og lærerne godt nok. Samtidig kritiserer organisationen, at firmaet Macom, der står bag platformen, ignorerer gymnasiernes advarsler.

Det får nu Datatilsynet til at indlede en undersøgelse af Lectio, der anvendes af godt 90 pct. af alle gymnasier i Danmark. Det skriver Berlingske.

»Vi vil have brugen af Lectio undersøgt.Det er ikke, fordi vi er lagt ned af klager, men hvis vi på forhånd regnede med, at det var uproblematisk, gjorde vi ikke noget. Der er muligvis oplysninger, der bliver offentliggjort i for vidt omfang,« siger Birgit Kleis, kommitteret – svarende til afdelingschef – i Datatilsynet til Berlingske.

Artiklen fortsætter efter annoncen

Birgit Kleis fastslår på forhånd, at ansvaret for oplysninger om eleverne ligger hos det enkelte gymnasium. Og hvis databehandleren – Lectio og Macom – ikke tilbyder et system, der lever op til gymnasiernes ønsker og de fastsatte regler, må gymnasierne finde et andet system.

Martin Holbøll er direktør i Macom, der står bag Lectio afviser overfor Berlingske at datasikkerheden kompromitteres via Lectio.

5 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
5
8. juli 2019 kl. 12:14

Jeg forventer, at vi om lidt hører gymnasierne klage over at de ikke kan undvære Lectio, fordi der ikke findes et alternativ...!

Det dog ikke være en gyldig grund til at fortsætte med et system, der tilsyneladende bryder fundamentalt med GDPR og god databehandler skik i almindelighed. Så må gymnasierne tilbage til papir og blyant eller hvordan de nu vil løse deres opgaver.

For ikke at blive beskyldt for at tilgå data, som jeg burde vide, at jeg ikke retmæssigt bør have adgang til, så har jeg afholdt mig fra at efterprøve hvilke data man kan se i systemet uden login.

Jeg har dog ingen grund til at tro andet, end at de, der har prøvet, har kunnet konstatere noget, der må betegnes som et eklatant sikkerhedsbrud og platformen bør derfor lukkes øjeblikkeligt.

Hvis den overhovedet skal genåbnes, bør det først kunne ske når den er sikkerhedsmæssigt godkendt af en uvildig instans.

De juridiske konsekvenser for leverandøren, for dataejer og andre involverede, må vi overlade til relevante myndigheder.

Personligt håber jeg blot, at dataejerne seriøst overvejer, at de repræsenterer borgerne - de studerende i dette tilfælde.

På den baggrund bør de stærkt overveje, om det overhovedet er muligt fortsat at have tillid til en virksomhed, der angiveligt gentagne gange har vist at de tager for let på data-sikkerheden.

4
26. september 2018 kl. 00:07

Nu er jeg ikke dedikeret Lectio-tilhænger. Men 10 år gamle data i Lectio. Mon ikke det er institutionens ansvar og ikke leverandørens.

Hvis man kan sige at der på centrale områder er store ligheder mellem persodataloven/databeskyttelsesdirektivet og databeskyttelsesloven/databeskyttelsesforordningen, så holder følgende afgørelser vel, med mindre Datatilsynet har haft en meget specifik tilgang til sagerne;

https://www.datatilsynet.dk/tilsyn-og-afgoerelser/historiske-afgoerelser/2010/sep/offentliggoerelse-af-elev-og-laereroplysninger-paa-lectiodk/https://www.datatilsynet.dk/tilsyn-og-afgoerelser/historiske-afgoerelser/2005/mar/offentliggoerelse-af-oplysninger-paa-lectiodk/

STIL, eller snarere nogle revisorer, har godkendt Lectio som studieadministrativt system overholder at understøtte behandling af personoplysninger i overensstemmelse med gældende databeskyttelsesregler, jf. https://www.retsinformation.dk/Forms/R0710.aspx?id=201695 . Det kan være systemrevisionen er afgrænset til kun at omhandle afgrænsede administrative processer i systemet, så der f. eks. ikke kan snydes med tilskud fra Undervisningsministeriet.

Med andre ord Lectio er godkendt til det formål, som det anvendes til, hele vejen rundt - ser det ud til.

3
24. september 2018 kl. 15:33

Det er jo absurd! Jeg var nødt til at teste da jeg simpelthen ikke troede det var rigtigt - men det var det!

Luk den platform ned NU! Og få så styr på sikkerheden og data

2
24. september 2018 kl. 11:11

Prøvede lige, og uden at logge ind eller noget kan jeg se skemaet for en vilkårlig elev på et vilkårligt gymnasium. Hvordan i alverden kan det dog være lovligt?! Jeg har ingen tilkomst eller ret til at vide hvem der går på et givent gymnasium, eller hvad de laver på en vilkårlig dag…

Jeg håber de finder den store bødehammer frem.

1
24. september 2018 kl. 10:22

Der ligger oplysninger om elever for mere en ti år siden. Inklusiv forholdsvise komplete studierapporter, med titler på opgaver mm...

Jeg glæder mig til at se den privacy impact assessment der er (burde være skrevet), for slet ikke at tale om databehandleaftalen... eller måske bare et par ord om formålet med at opbevare data og gøre dem tilgængelige så længe....