Forældre i Aarhus: Slet vores børns personnumre fra trivselsmåling

Ganske rigtigt - det er ikke anonymt ift. forskerne: "Alle har brugt Uni-login, så forskerne kan krydse for eksempel forældrenes uddannelsesniveau med elevens trivsel og følge effekten af den sociale arv og arbejde for at mindske dens betydning, som jo er et af målene i folkeskolereformen. Men lærerne får ikke adgang til data om enkeltelever."https://www.folkeskolen.dk/583372/jeg-vil-styrke-laereres-professionelle-doemmekraft

Så det er skandalen om Trivselsmålingerne om igen - man lover anonymitet, men det er ikke anonymt. Hvem er så skurkene denne gang? Er det forskerne, eller gemmer STIL sig også i baggrunden her?

Er der nogen, som kender det projekt, "Program for Læringsledelse", som omtales i dagens kronik i Politiken (kræver desværre abonnement), skrevet af leder af "Nationalt Center for Skoleforskning"?https://politiken.dk/debat/kroniken/art6587839/Drop-nu-al-den-jammer-omkring-Folkeskolen.-Det-g%C3%A5r-faktisk-meget-godt

Det omtales, at der anvendes elektroniske spørgeskemaer til børnene - kan det tænkes, at der er de samme problemer med lovet anonymitet som i de øvrige trivselsmålinger?

Projektet omtales også her:https://billund.dk/media/986846/program-for-laeringsledelse-dagtilbud-pixi-2.pdf

I dette materiale omtales undersøgelserne som "anonyme", men login med Uni-login:http://laeringsledelse.dk/wp-content/uploads/2015/04/Til-skolelederen_information-om-kortl%C3%A6gningen.pdf

Er der ikke noget med, at det så ikke rigtigt er anonymt?

Kronikken er en lang - maskeret - lovprisning af behovet for data. Men ingen omtale af denne problematik. Forsøger man at komme en evt. "afsløring" i forkøbet?

starte en dansk noyb op

Vi kunne også prøve at høre nogle af vores eksisterende organisationer, om de ville være interesserede. F.eks. skriver Forbrugerrådet Tænk flg. i deres høringssvar om databeskyttelse for snart et år siden (det er aller nederst):

Forbrugerrådet Tænk skal opfordre til, at forordningens artikel 80 stk. 2, om repræsentation af forbrugerne, udnyttes nationalt, som forordningen åbner mulighed for. Ved at udnævne organisationer med adgang til at indgive klager til tilsynsmyndigheder og domstolene på vegne af forbrugere, også uden deres bemyndigelse, styrkes forbrugernes rettigheder væsentligt og lovgivningens præventive effekt øges betragteligt.</p>
<p>Nye digitale tjenester og produkter er kendetegnede ved deres kompleksitet og ved ofte at have mange brugere, hvilket netop gør gruppesøgsmål særligt relevant her. Desuden er Danmark et af de mest gennem digitaliserede lande i EU og danskerne nogle af de mest aktive, når det for eksempel kommer til brug af digitale medier. Derfor finder vi, at man fra dansk side, skal sikre denne mulighed i databeskyttelsesloven.

Den opfordring blev så overhørt. Man har sikkert vurderet, at erhvervlivet ville finde en sådan mulighed byrdefuld, unødvendig og bureaukratisk, eller noget. Det lød ellers på et indslag i P1 Orientering, som om at Tænk gerne ville have påtaget sig den rolle. Så der er desværre ikke mulighed for at forbrugerorganisationerne tager sager op af egen drift i DK.

Men der er stadig artikel 80, stk. 1, hvor vi som forbrugere kan bede en passende organisation om at repræsentere os. Det er svjv. den mulighed, som "den rigtige NOYB" bruger.

Artikel 80, stk. 1 er så vidt jeg kan se, lidt snævrere defineret, og jeg ved ikke om Tænk er kvalificeret eller interesseret, men det kunne måske være værd at spørge Tænk, om de havde lyst til være med, hvis man har en konkret sag.

Det vil de næppe være overfor det offentlige (jfr. sagen i denne artikel), og det vil "det rigtige NOYB" heller ikke. Og så er der faktisk kun tilbage at klage til Datatilsynet.

Jeg har reserveret www.noyb.dk - det er bare at komme i gang. Facebook er vel ikke det fedeste sted at starte en dansk noyb op, men gavnligt til formålet?

Er der interesse?

https://m.theepochtimes.com/high-school-in-china-installs-facial-recognition-cameras-to-monitor-students-attentiveness_2526662.html

Det skal selvfølgelig ikke bruges til overvågning - bare til at kontrollere kvaliteten i undervisningen, og om det enkelte barn trives?

Evt. 3D-kameraer - for så kan det også bruges til at diagnosticere skizofreni - mener DBDS og dertil knyttede forskere (let karikeret udgave af et af forskningsprojekterne på DBDS).

(Håber ikke, at regeringen læser med og får gode ideer)

om Version2 har skrevet tidligere, er der indsendt en klage til Datatilsynet, som forventer at færdigbehandle den i løbet af sommeren.

Fantastisk!

Som Version2 har skrevet tidligere, er der indsendt en klage til Datatilsynet, som forventer at færdigbehandle den i løbet af sommeren.

Mvh Tania/V2

Er der nogen, der har en ide om, hvilken straf STIL kunne idømmes, hvis de bare slettede de persomnumre?

Jeg erklærer mig samtidig skyldig i at anlægge de mest udvidende fortolkninger af databeskyttelsesforordningen og Charter om Grundlæggende Rettigheder, som giver borgerne flest rettigheder mod staten.

"Styrelsen mener ikke, at det er lovligt at slette alle cpr-numrene?"

Er der nogen, der har en ide om, hvilken straf STIL kunne idømmes, hvis de bare slettede de persomnumre? Eller hvilke konsekvenser det kunne have for dem?

Tak for forklaring, Jesper Lund. I så fald giver en egentlig sag jo god mening, hvis STIL ikke vil gi´ sig.

Selv tak.

For en god ordens skyld: Der er selvfølgelig ingen garantier for udfaldet, men hvis ingen klager eller protesterer, sker der med ret stor sikkerhed intet, og datamisbruget i den offentlige sektor vil blot eskalere yderligere.

Jeg erklærer mig samtidig skyldig i at anlægge de mest udvidende fortolkninger af databeskyttelsesforordningen og Charter om Grundlæggende Rettigheder, som giver borgerne flest rettigheder mod staten.

Men det er altså sådan at de store sejre for privatlivet er vundet i retssystemet. De personer og organisationer, som efter 2006 startede kampen mod logningsdirektivet, vidste heller ikke på forhånd at de ville vinde kampen (ved domstolene altså; politikerne er ignorerer desværre dommene og fortsætter deres ulovlige logning).

Men skal vi gætte på, at kattelemmen i sletningsløftet meget hurtigt tages i brug,

Tak for forklaring, Jesper Lund. I så fald giver en egentlig sag jo god mening, hvis STIL ikke vil gi´ sig. Det bliver DAMD-sagen om igen, vi må håbe, at der er nogen, der har kræfterne.

I forbindelse med genomcentret lader det jo desværre ikke til, at den slags barrierer gør det store indtryk. Og jeg har fået indtryk af, at f.eks. muligheden for at få slettet sine data ikke er tilstede, hvis man først er kommet til at sige ja til forskning/behandling. I de situationer skal man måske have fat i en diskussion om, om man har fået tilstrækkelig klar information - og at det ikke er godt nok, hvis samtykket er udformet som en art fremtidigt carte blanche til alle forskningsformål uden yderligere samtykke - sådan som det meget ofte er tilfældet.

Tak for uddybning og gode forslag, Jesper Lund. Men har jeg galt fat i, at der er meget lempeligere regler omkring forskning? Eller bliver disse lempeligere regler sat ud af kraft, når der er tale om ulovligt indsamlede data?

Det er korrekt, at data kan opbevares længere når behandlingsformålet er forskning.

Det betyder ikke nødvendigvis, at oplysningerne kan opbevares med CPR-nr til evig tid.

Og der skal være yderligere organisatoriske og tekniske foranstaltninger, som sikrer mod at oplysningerne misbruges (som "modydelse" for de ekstra muligheder som formålet forskning/statistik giver). Det krav opfylder STIL næppe. Det er muligt at Esbjerg Kommune er holdt op med at bruge oplysningerne til sagsbehandling, men når oplysningerne ligger i databaserne med CPR-nr, er de direkte misbrugbare, og det er svært at se at der skulle være sådanne tekniske foranstaltninger.

Med den datamisbrugskultur som hersker blandt danske politikere og politiske organisationer som KL, kunne man måske ligefrem hævde at det er direkte uansvarligt (og i strid med databeskyttelsesforordningen) for en dataansvarlig inden for forskning at have oplysningerne liggende med CPR-nr, fordi man så ikke beskyttter oplysningerne mod at blive eksproprieret af Folketinget til andre formål. Som dataansvarlig skal man forholde sig til alle risici for de registrerede, også denne.

Det er ikke tinfoil og konspirationsteorier.. Der er konkrete eksempler, hvor Folketinget eksempelvis har eksproprieret en database hos Danmarks Statistik til andre formål (sagsbehandling), trods store protester fra både Danmarks Statistik og Datatilsynet.

En ansvarlig forsker beskytter borgerne mod disse risici ved at undgå opbevaring med CPR-nr., også selvom det muligvis på kort sigt begrænser visse forskningsmuligheder. Til gengæld skaber det tillid, så på længere sigt kan man få flere og bedre data fra borgerne.

Jeg (og andre) mangler viden om GDPRs krav generelt, og jeg faldt over DIs pamflet her:http://di.dk/SiteCollectionDocuments/Persondata/persondataforordningen%202017-PIXI%20(003).pdf

Specifikt ift. den aktuelle sag læser jeg:

For det første gælder der et princip om, at oplysninger
skal behandles lovligt, rimeligt og på en gennemsigtig måde. Det betyder f.eks. at personoplysninger
ikke må behandles, hvis det strider mod anden lovgivning eller en tidligere kommunikeret privatlivspolitik.

der skal være
et eller flere udtrykkelige saglige og legitime formål med behandlingen, og at senere behandling ikke må
stride mod disse oprindelige formål.

Mht. samtykke: Som jeg forstår det kan lovligt behandlingsgrundlag enten være samtykke eller en lovmæssig forpligtigelse; og det er så den sidste myndighederne gemmer sig under i dette tilfælde. F.eks. har jeg lige modtaget en opt-out fra vores søns skole-afdelingsleder: "I skal aktivt sige til og skrive under hvis I ikke vil have jeres søn til at deltage". Jeg troede ellers at GDPR altid krævede udtrykkeligt, dokumenterbart samtykke ift. særlige personoplysninger. DI skøjter lidt hen over alternativer til samtykke (da de henvender sig til industrien ikke myndigheder).

Særligt interessant er det her: REGISTREREDES RETTIGHEDER

</p>
<blockquote>
<p>Retten til information om behandlingen af de registrerede persons oplysninger.
Retten til indsigt i, hvilke oplysninger, der behandles om den registrerede person og få udleveret en
kopi af de personoplysninger, der behandles.
Retten til berigtigelse af urigtige oplysninger.
Retten til at blive glemt (herunder sletning af oplysninger).
...
Retten til begrænsning (”blokering”) af personoplysninger, f.eks. ved indsigelse mod behandlingen.
Retten til at gøre indsigelse mod selve behandlingen.
Retten til at gøre indsigelse mod automatiske individuelle afgørelser og profilering.
Retten til at trække et afgivet samtykke tilbage.
Retten til at indgive en klage over behandlingen til Datatilsynet.

Oplysningspligten over for den registrerede

k. Der skal blandt andet gives disse oplysninger:</p>
<blockquote>
<p>Hvem er dataansvarlig?
Hvilke kategorier af personoplysninger indsamles?
Hvad er formålet med behandlingen?
Hvor lang tid opbevares oplysningerne?
Hvilke rettigheder har den registrerede person?
På hvilket juridisk grundlag behandles oplysninger?
Hvem videregives oplysningerne til?
På hvilket grundlag overføres oplysninger til lande uden for EU/EØS?
Konsekvenserne og betydningen af automatiske, individuelle afgørelser (se nedenfor).

Jeg har svært ved at se lovligheden af at myndighederne hele tiden dispenserer sig selv fra reglerne!

Tak for uddybning og gode forslag, Jesper Lund. Men har jeg galt fat i, at der er meget lempeligere regler omkring forskning? Eller bliver disse lempeligere regler sat ud af kraft, når der er tale om ulovligt indsamlede data?

Det er et rigtigt godt initiativ fra de aarhusianske forældre.

Hvis STIL nægter af efterkomme kravet om anonymisering, håber jeg at forældrene klager til Datatilsynet.

Når oplysningerne er indsamlet hos den registrerede (børnene) til statistikformål med løfte om anonymitet, er det meget vanskeligt at se, at STIL skulle have et retligt grundlag for behandle børnenes CPR-numre i denne forbindelse.

Når STIL tilbyder anonymisering, hvis en konkret borger klager, må fuldstændigt gennemhulle påstanden om, at der skulle foreligge en retlig forpligtelse til at gemme disse oplysninger med CPR-nr i nærmest uendelig tid.

Opbevaringsbegrænsning (at den registrerede ikke må kunne identificeres længere end nødvendigt for det oprindelige formål) er et generelt princip i databeskyttelsesforordningen, som også gælder for STIL.

Datatilsynet kunne også vælge selv at tage sagen op, hvis de læser Version2. Datatilsynet behøver ikke at vente på klager.

Og siden i fredag 25. maj kan offentlige myndigheders overtrædelse af databeskyttelsesforordningen straffes med bøder på op til 16 mill kroner.

Datatilsynet er der for at borgerne kan indgive klager over uretmæssig behandling af personoplysninger.

Jesper Lund Formand, IT-Politisk Forening

P.S. Der er givetvis brug for en dansk NOYB ("Det rager ikke jer"), som kan repræsentere helt almindelige borgere (jf. artikel 80 i databeskyttelsesforordningen) med fokus på at bekæmpe den offentlige sektors datamisbrug, herunder at bruge domstolene at få annulleret de love, som strider mod EU-retten. Men det vil kræve noget crowdfunding..

Vi har nu i årevis set at så længe man har 90 mandater i ryggen kan man blæse på hvad loven siger.

Jeg forestiller mig, at selve denne yderligtgående implementering af intentionen om kvalitetssikring i skolen er opstået i ministerielt regi - ikke i Folketingssalen i form af et lovkrav, som ministeriet og styrelsen påstår.

Har vi virkeligt et politisk flertal, der går ind for den ene gang efter den anden at løbe om hjørner med befolkningen, med totalt undergravet tillid til politikerne til følge? I så fald står det meget alvorligt til.

Øh, ja. Vi har nu i årevis set at så længe man har 90 mandater i ryggen kan man blæse på hvad loven siger.

skal vi IT kyndige stille op til "Trivsels-cafe" ved computerne på det lokale bibliotek

Hele sagen minder mere og mere om DAMD-sagen. Man tilraner sig på ulovligt grundlag stærkt følsomme data i personhenførbar form, for derefter at benytte alverdens krumspring til at klamre sig til disse ulovlige data.

Og den lighed rejser jo det yderligere spørgsmål:

• Hvad sker der med de forhåbentligt på et tidspunkt slettede personidentificerbare besvarelser? Ryger de - i lighed med DAMD-dataene - direkte videre til Rigsarkivet i personidentificerbar form, selv hvis cpr slettes fra de nuværende besvarelser? Er vi endnu en gang til grin?

Jeg kan sagtens se problemet i, at forskere måske bruger hundrede/tusinder af arbejdstimer og mange millioner i et forskningsprojekt, som så mere eller mindre kan skrottes, hvis forsøgsdyrene - når de bliver klare over, hvad der foregår - kræver deres oplysninger tilbage. Det er noget forfærdeligt møg, nærmest en tragedie, når det sker. Og mange af de enkelte forskere kan sagtens være uden skyld og uvidende omkring datas ulovlighed.

Så meget desto mere forargeligt er det, at man ikke sørger for at have orden i sine samtykker/informationsskrivelser/tilladelser/datasikkerhed osv. fra starten af indsamlingen - inden man giver forskerne adgang til data. Og da det den ene gang efter den anden ser ud til, at det er helt bevidst man (diverse beslutningstagere og mere skumle forskere) omgår reglerne, i den tro, at der nok ikke er nogen, der opdager det (før det er for sent), så burde disse overtrædelser være særdeles strafbare. For på sigt undergraver de både forskningen, befolkningens tillid til denne, villigheden til at indgå i forskning, og tilliden til vore myndigheder og politikere.

Disse sager burde efterforskes som forbrydelser, de involverede burde straffes, hvis det kan påvises, at de har været i ond tro, og evt. involverede (medicinal)firmaer og økonomiske bagmænd burde pålægges kæmpestore bøder, der kan dække de tab, som spildt forskning medfører.

Parti- og kandidatkasserne skal åbnes for indsigt, så vi kan se, om forklaringen på disse forbrydelser kan findes der. Og Mørklægningslov og ministerbetjeningsregler skal væk, så man ikke kan gemme sine motiver bag disse.

STIL ser helt bort fra bombeeksplosionen (i form at det brudte løfte om anonymitet) og ser kun på deres (selvopfundne for-)mål med skolernes trivselsundersøgelser. Individets ret eksisterer hverken for STIL eller for terroristen.</p>
<p>Dermed militariserer STIL i høj grad den lurende konflikt imellem befolkningen og det offentlige.

Lidt hård sammenligning men jeg forstår analogien.

Det bliver i hvert fald ikke Pape eller andre nuværende der tager initiativ til at formindske dataindsamling eller behandling.

Jeg læste for et års tid siden om en sydamerikansk psykologisk undersøgelse af tilfangetagne terrorister. Vi taler her om folk som har slået rigtigt mange mennesker ihjel.

Man undersøgte terroristerne for deres syn på utilsigtet tilskadekomst af uskyldige og holdt resultaterne op imod ”normale” menneskers syn på samme.

At en terrorist mener at ”hensigten helliger midlet” var ingen overraskelse, men hvor alm. mennesker altid bare ser bombeeksplosion med uskyldige ofre, så betød det meget for terroristen hvad hensigten med bomben var.

Var hensigten at slippe af med en ledende politisk modstander så var det OK med at uskyldige kom til skade, men samme bombe var ikke OK hvis formålet var noget andet.

For et uskyldigt offer for bomben, forekommer dette som en pervers tankegang.

Og som jeg oplever Styrelsen for IT og Læring, så ser jeg samme psykologiske mønster som hos de tilfangetagne terrorister.

STIL ser helt bort fra bombeeksplosionen (i form at det brudte løfte om anonymitet) og ser kun på deres (selvopfundne for-)mål med skolernes trivselsundersøgelser. Individets ret eksisterer hverken for STIL eller for terroristen.

Dermed militariserer STIL i høj grad den lurende konflikt imellem befolkningen og det offentlige.

Og det virkeligt rystende er at kommuner som Esbjerg og Gladsaxe fortager sagsbehandling på trivselsdata som åbenlys er ulovligt indhentet. Er vi som befolkning trygge ved at have den slags sagsbehandlere, som ikke har et basalt kendskab til vore love?

I et demokratisk samfund ville ministeren for længst have grebet ind og fået slettet de trivselsdata og samtidig pålagt kommunerne med tilbagevirkende kraft at annullerer den foretagne sagsbehandling.

Jeg har end ikke andenhåndsoplevelser af trivselsmålinger i folkeskolen - mine børn er for gamle og mine børnebørn ikke gamle nok....

Men hvis mine oplevelser af 'medarbejdertilfredshedmålinger' eller hvad de ellers er blevet kaldt, kan overføres på elevtrivselsmålinger, så er disse i bedste fald spild af elevernes tid og i værste fald chikane

Toudal:

Morten Toudal:

Jeg tør ikke lægge hovedet på blokken (det kræver yderligere research), men jeg tror faktisk, at der er er nogle gevaldige huller i GDPR (eller den danske gennemhulning af denne i form af Databeskyttelsesloven) mht. forskning. Forskere må stort set alt - jo mere jeg kigger i den mudderpøl, jo mere forskrækket bliver jeg.

Jf GDPR har de vel 30 dage til at efterkomme deres krav?

Da vi skulle være GDPR klar brugte jeg i hvert fald en lille uge på klargøre database scripts til at anonymisere data som vi ikke længere må have. Og der var andre der brugte endnu længere på scripts til at slette gammel data.

Så skal man ikke bare råbe GDPR for at få det slettet eller anonymiseret?

Fra artiklen:

»Det er urimeligt, at hver eneste forælder skal igennem en kompliceret og bureaukratisk ansøgningsproces for at vælge anonymisering til,« skriver afdelingens bestyrelse i et brev til Styrelsen for IT og Læring (STIL), der står for målingerne.

Enig. Og STIL skal vel ikke have lov at slippe fra det åbenlyse forsøg på et benspænd. Skal vi lave vejledninger, er der brug for forældremøder, eller skal vi IT kyndige stille op til "Trivsels-cafe" ved computerne på det lokale bibliotek, så vi kan støtte de usikre med det praktiske?

PS: ingen bliver vel overraskede over, at jeg har mange andre kommentarer - det må vente til senere.

Men skal vi gætte på, at kattelemmen i sletningsløftet meget hurtigt tages i brug, hvis flere følger Århus's eksempel? Hvorefter skandalen er komplet.

"Når det er sagt, så ved vi alle sammen, at det kommer ikke til at ske på den måde, at der bare bliver en generel sletning, for det er der ikke politisk flertal for."

Hvad bilder de sig ind? Har vi virkeligt et politisk flertal, der går ind for den ene gang efter den anden at løbe om hjørner med befolkningen, med totalt undergravet tillid til politikerne til følge? I så fald står det meget alvorligt til.

Fin opfølgning på sagen, men jeg håber, at der på et tidspunkt kommer en dybdeborende artikel omkring ministeriets påstand om, at de bare følger loven. Er partierne (og folketingsmedlemmerne) virkeligt enige i den udlægning, at de alle vidste, hvad de stemte for, da loven blev vedtaget? Eller ser vi et ministerium og en styrelse, der skubber Folketinget foran sig, når de forsøger at skjule egne fadæser og magtmisbrug (for det er det, uanset hvem der står bag)?

Og jeg håber også meget på en opfølgning omkring, hvor mange steder disse data allerede er udleverede til forskere og firmaer - og om det i virkeligheden er der, grunden til modviljen mod at slette ligger begravet: At det bliver en KÆMPE sag at skulle til at kalde data tilbage alle de steder? Hellere lægge sig ud med befolkningen og forældrene end med forskere og firmaer og alle ægteskaberne mellem disse. Det kunne jo koste i partikasserne....

I mine øjne er sagen en bebudelse om, hvad der sker, når man giver en minister for vide beføjelser ved ikke i tilstrækkelig grad at præcisere i lovgivningen, hvad den giver myndighederne ret til.