Datatilsynet undersøger gymnasie-platformen Lectio

Illustration: Screendump
Langt de fleste gymnasier bruger platformen Lectio til blandt andet skemaer. Efter lang tids kritik vil Datatilsynet nu undersøge om mængden af oplysninger er for vidtgående på Lectio.

Det tager ikke mange klik på Lectio, før du kan finde skemaer for eleverne i 2.B på Slagelse Gymnasium, eller se at gymnasielæreren Jesper fra Aurehøj Gymnasium skal til tandlæge i dag mandag.

Interesseorganisationen Danske Gymnasier har længe advaret om, at Lectio ikke beskytter oplysninger om eleverne og lærerne godt nok. Samtidig kritiserer organisationen, at firmaet Macom, der står bag platformen, ignorerer gymnasiernes advarsler.

Det får nu Datatilsynet til at indlede en undersøgelse af Lectio, der anvendes af godt 90 pct. af alle gymnasier i Danmark. Det skriver Berlingske.

»Vi vil have brugen af Lectio undersøgt.Det er ikke, fordi vi er lagt ned af klager, men hvis vi på forhånd regnede med, at det var uproblematisk, gjorde vi ikke noget. Der er muligvis oplysninger, der bliver offentliggjort i for vidt omfang,« siger Birgit Kleis, kommitteret – svarende til afdelingschef – i Datatilsynet til Berlingske.

Læs også: Oplysninger om danske skoleelever flyder frit på populær skoleplatform

Birgit Kleis fastslår på forhånd, at ansvaret for oplysninger om eleverne ligger hos det enkelte gymnasium. Og hvis databehandleren – Lectio og Macom – ikke tilbyder et system, der lever op til gymnasiernes ønsker og de fastsatte regler, må gymnasierne finde et andet system.

Martin Holbøll er direktør i Macom, der står bag Lectio afviser overfor Berlingske at datasikkerheden kompromitteres via Lectio.

Læs også: Reddet på målstregen: Udbredt it-system til gymnasierne godkendt lige inden deadline

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mads Hjorth

Der ligger oplysninger om elever for mere en ti år siden. Inklusiv forholdsvise komplete studierapporter, med titler på opgaver mm...

Jeg glæder mig til at se den privacy impact assessment der er (burde være skrevet), for slet ikke at tale om databehandleaftalen... eller måske bare et par ord om formålet med at opbevare data og gøre dem tilgængelige så længe....

  • 11
  • 0
Dan Villiom Podlaski Christiansen

Prøvede lige, og uden at logge ind eller noget kan jeg se skemaet for en vilkårlig elev på et vilkårligt gymnasium. Hvordan i alverden kan det dog være lovligt?! Jeg har ingen tilkomst eller ret til at vide hvem der går på et givent gymnasium, eller hvad de laver på en vilkårlig dag…

Jeg håber de finder den store bødehammer frem.

  • 17
  • 0
Bent Jensson

Nu er jeg ikke dedikeret Lectio-tilhænger. Men 10 år gamle data i Lectio. Mon ikke det er institutionens ansvar og ikke leverandørens.

Hvis man kan sige at der på centrale områder er store ligheder mellem persodataloven/databeskyttelsesdirektivet og databeskyttelsesloven/databeskyttelsesforordningen, så holder følgende afgørelser vel, med mindre Datatilsynet har haft en meget specifik tilgang til sagerne;

https://www.datatilsynet.dk/tilsyn-og-afgoerelser/historiske-afgoerelser...
https://www.datatilsynet.dk/tilsyn-og-afgoerelser/historiske-afgoerelser...

STIL, eller snarere nogle revisorer, har godkendt Lectio som studieadministrativt system overholder at understøtte behandling af personoplysninger i overensstemmelse med gældende databeskyttelsesregler, jf. https://www.retsinformation.dk/Forms/R0710.aspx?id=201695 . Det kan være systemrevisionen er afgrænset til kun at omhandle afgrænsede administrative processer i systemet, så der f. eks. ikke kan snydes med tilskud fra Undervisningsministeriet.

Med andre ord Lectio er godkendt til det formål, som det anvendes til, hele vejen rundt - ser det ud til.

  • 1
  • 0
Henrik Sørensen

Jeg forventer, at vi om lidt hører gymnasierne klage over at de ikke kan undvære Lectio, fordi der ikke findes et alternativ...!

Det dog ikke være en gyldig grund til at fortsætte med et system, der tilsyneladende bryder fundamentalt med GDPR og god databehandler skik i almindelighed. Så må gymnasierne tilbage til papir og blyant eller hvordan de nu vil løse deres opgaver.

For ikke at blive beskyldt for at tilgå data, som jeg burde vide, at jeg ikke retmæssigt bør have adgang til, så har jeg afholdt mig fra at efterprøve hvilke data man kan se i systemet uden login.

Jeg har dog ingen grund til at tro andet, end at de, der har prøvet, har kunnet konstatere noget, der må betegnes som et eklatant sikkerhedsbrud og platformen bør derfor lukkes øjeblikkeligt.

Hvis den overhovedet skal genåbnes, bør det først kunne ske når den er sikkerhedsmæssigt godkendt af en uvildig instans.

De juridiske konsekvenser for leverandøren, for dataejer og andre involverede, må vi overlade til relevante myndigheder.

Personligt håber jeg blot, at dataejerne seriøst overvejer, at de repræsenterer borgerne - de studerende i dette tilfælde.

På den baggrund bør de stærkt overveje, om det overhovedet er muligt fortsat at have tillid til en virksomhed, der angiveligt gentagne gange har vist at de tager for let på data-sikkerheden.

  • 2
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize