Kommune sendte personlige elevdata til Google uden samtykke

Helsingør Kommune har udleveret personoplysninger på kommunens elever til Youtube uden at have fået samtykke fra forældrene. Da problemet blev opdaget, orienterede kommunen ikke Datatilsynet om sagen.

Helsingør Kommune har givet personlige oplysninger om skoleelever videre til Google-ejede Youtube. Det på trods af, at kommunen ikke har haft en gyldig databehandleraftale.

Det skriver Politiken.

Det er sket, efter at kommunen har indgået et samarbejde med Google om at give skoleeleverne bærbare computere kaldet Chromebooks.

Elevernes oplysninger er blevet givet videre uden samtykke fra forældrene, og da kommunen opdagede, at der var en fejl, blev det ikke oplyst til Datatilsynet.

Ifølge Lars Rich, der er direktør i Helsingør Kommune, blev fejlen rettet hurtigst muligt.

»Problemet er, at elever kunne logge direkte på YouTube, og at man der fik barnets navn, klassetrin og skole at se, når man skrev en kommentar. Det skal man selvfølgelig ikke kunne, og da vi bliver bekendt med det, slår vi det fra med det samme,« siger Lars Rich til Politiken.

Cirka halvdelen af landets kommuner har et samarbejde med Google om de såkaldte Chromebooks, men det er ikke alle skoler i de samarbejdende kommuner, som er omfattet af aftalen med Google.

Der findes derfor ikke et præcist tal for, hvor mange elever som har en Chromebook.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (23)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Louise Klint

»Problemet er, at elever kunne logge direkte på YouTube,
og at man der fik barnets navn, klassetrin og skole at se,
når man skrev en kommentar.
Det skal man selvfølgelig ikke kunne, og da vi bliver bekendt med det, slår vi det fra med det samme,« siger Lars Rich til Politiken.

Elevernes oplysninger er vel fortsat videregivet til Google, uden samtykke,
selvom hr. kommunaldirektøren, Lars Rich, slår en funktion fra, der skjuler dem for offentligheden?

Derudover tænkte jeg det samme, som Anne-Marie Krogsbøll refererer:
Kommunaldirektøren siger til Politiken, om årsagen til,
at kommunen ikke har indberettet til Datatilsynet:

»Vi har jurister siddende i kommunen, som forholder sig til sagen.
Desuden har vi en data protection officer, som er rådgiver på området. Han vurderer, at hændelsen skal registreres på vores interne liste over datasikkerhed, men ikke skal indberettes til Datatilsynet.
Hvis Datatilsynet vurderer det anderledes, indberetter vi det selvfølgelig«, siger han.

Hvem har ret?
Helsingørs DPO?
Eller Datatilsynet?

Fordi den konkrete sag her kunne evt. blotlægge et mere strukturelt problem, hvor andre databeskyttelsesrådgivere, rundt om i kommunerne, heller ikke har præcist styr på reglerne, men blik for det hensigtsmæssige i at ”registrere hændelsen på vores interne liste”, frem for at indberette til Datatilsynet.
Og så er der sandsynligvis meget, som ikke kommer for en dag.

  • 13
  • 0
Palle Due Larsen

Datatilsynets reger kan findes her.

I afsnit 2.2 står:

Et brud på persondatasikkerheden kan f.eks. rent teknisk ske, når den dataansvarliges it-systemer med personoplysninger ikke er tilstrækkelig sikret, således at udefrakommende får
adgang til oplysningerne (f.eks. hacking). Det kan imidlertid også være den dataansvarliges
egen håndtering af personoplysningerne, der kan forårsage et brud, f.eks. hvis den dataansvarlige ubeføjet videregiver eller ændrer personoplysningerne.

Det er ubegribeligt, hvordan kommunens jurister kan mene, at den foregåede hændelse ikke skal skal indberettes.

  • 11
  • 0
Mogens Lysemose

"Følgende forhold bør altid indgå i den konkrete vurdering af risikoen for de registreredes rettig-
heder og frihedsrettigheder som følge af et brud på persondatasikkerheden:
 Typen af sikkerhedsbrud, herunder om der er sket tab af oplysninger, brud på fortrolig-
heden eller en integritetskrænkelse;
 Oplysningernes art og omfang;
 Risikoen for at registrerede kan identificeres;
 Konsekvenser bruddet kan have for de registrerede;
 Hvorvidt bruddet omfatter særlige registrerede (f.eks. hvis der er tale om børn eller
særligt udsatte);
 Antallet af berørte fysiske personer;"

Hvordan kan dpo og kommunen svare nej til:
+ om der er sket tab af oplysninger, brud på fortroligheden
+Risikoen for at registrerede kan identificeres
+bruddet omfatter særlige registrerede (f.eks. hvis der er tale om børn...)

De bør vel svare nej til alle disse for at retfærdiggøre ikke at anmelde?

  • 10
  • 0
Maciej Szeliga

Elevernes oplysninger er vel fortsat videregivet til Google, uden samtykke,
selvom hr. kommunaldirektøren, Lars Rich, slår en funktion fra, der skjuler dem for offentligheden?


Man må antage at når Google sælger disse løsninger til det offentlige (danske skoler) så er der en databehandler aftale på plads.
Hvis skolen så sætter noget forkert op så er det skolen der har offentligjort oplysningerne - det svarer til at arbejdsgivere sætter Facebook link ind på firmaets Intranet.

  • 5
  • 0
Pia Jensen

Har ikke helt forstået, sælger kommuner i et af verdens rigeste lande oplysninger om elever til gengæld for levering af Cromebooks? Eller hvad er det lige Google får til gengæld?

  • 7
  • 1
Anne-Marie Krogsbøll

Jeg tror ikke, der på nuværende tidspunkt er nogen (andre end kommunen og dpo), der kan sige, hvad der er foregået. Om der er indgået en aftale mellem kommunen og Google, mellem dataansvarlig/dpo og Google, eller om der er tale om sjusk og uvidenhed fra kommunens side, der har medført datalæk.

Men set fra Googles side tror jeg, at de dels ad skjulte veje får adgang til data - evt. "pseudonymiserede", dels får eleverne lokket ind i folden som villige Google-slaver.

  • 2
  • 0
Maciej Szeliga

Har ikke helt forstået, sælger kommuner i et af verdens rigeste lande oplysninger om elever til gengæld for levering af Cromebooks? Eller hvad er det lige Google får til gengæld


Google sælger skoleløsninger for cool cash, der er intet mærkligt ved det... løsningen er baseret på Googles tjenester, det er der heller ikke noget mærkligt i... Googles tjenester er baseret på Googles login på samme måde som Office365 er baseret på Microsoft login.
Når man har en Google konto så kan den bruges til at logge på YouTube hvilket er nødvendigt hvis man vil uploade videoer.

  • 4
  • 1
Maciej Szeliga

Men set fra Googles side tror jeg, at de dels ad skjulte veje får adgang til data - evt. "pseudonymiserede", dels får eleverne lokket ind i folden som villige Google-slaver.


Det bliver man automatisk uanset hvilken cloudtjeneste man bruger, man opretter jo et login... om det er Google, Microsoft, Amazon eller Facebook (og de services disse firmaer tilbyder under andre navne) er for så vidt ligegyldigt.

  • 3
  • 1
Albert Nielsen

"Ifølge Lars Rich, der er direktør i Helsingør Kommune, blev fejlen rettet hurtigst muligt."

Fejlen bestod i, at kommunen forsynede google med elevdata.
Slettede kommunen så disse data retroaktivt?

I modsat fald har kommunen ikke rettet fejlen, de har blot fortalt nogen (Datatilsynet) at de har har begået en fejl ved at have givet google elevdata.

  • 3
  • 0
Anne-Marie Krogsbøll

Politiken har i dag et godt debatindlæg af Pernille Tranberg og Astrid Haug om det syge i, at skolerne slipper facebook ind for at undervise eleverne i dataetik:

17. januar kunne man i Politiken læse, at Facebooks kommunikationschef og den politiske chef, begge i Norden, har »planlagt et hav af foredrag på skoler og uddannelsesinstitutioner for at tale om særligt de unges digitale vaner«. Formålet er at »nedbringe tilfælde af hævnporno, krænkende billeder og onlinemobning«."

"Men tag ikke fejl – i sidste ende er Facebooks fokus at tjene penge, ikke at tjene samfundet.​
Skoler skal derfor ikke lade sig forføre af, at det er gratis, og at det er en stor amerikansk virksomhed, som viser interesse for dem. Skolerne bliver brugt som led i Facebooks globale pr-fremstød, hvor Facebook gerne vil vise deres gode vilje, samtidig med at de tjener pengene på børnenes data. "

https://politiken.dk/debat/debatindlaeg/art7614544/Tinder-skal-ikke-st%C...
(kræver desværre abonnement)

Ja - det er nøjagtigt ligeså sygt at sætte Facebook til at undervise i dataetik, som det er, at kommuner som Helsingør kaster eleverne for data-gribbene... Det er faktisk det modsatte af dataetik...

Får det ikke snart en ende?

  • 2
  • 1
Anne-Marie Krogsbøll

Det skal siges, at én ting er, at Facebook har planlagt et sådant propaganda-korstog i forklædning af digital dannelse og etik - det er selvfølgelig ikke det samme, som at vore skoler hopper på limpinden. Så måske skal vi gå igang med at bearbejde vore folketingspolitikere og andre for at få et egentligt forbud mod den slags, inden Facebook får sat foden i døren?

  • 2
  • 0
Maciej Szeliga

Fejlen bestod i, at kommunen forsynede google med elevdata.
Slettede kommunen så disse data retroaktivt?

I modsat fald har kommunen ikke rettet fejlen, de har blot fortalt nogen (Datatilsynet) at de har har begået en fejl ved at have givet google elevdata.


Nej, fejlen bestod i at kommunen åbnede for at elevers data blev synlige på Youtube.
Omtrent 50% af alle kommuner "forsyner" allerede fuldt lovligt Google med elevdata de resterende "fodrer" Microsoft med elevdata (også fuldt lovligt). Så længe der foreligger en databehandleraftale så ligger data fuldt lovligt i de godkendte cloud løsninger.

Hvis i vil diskutere LOVIGHEDEN så sidder de ansvarlige på
Christiansborg - det er de politikere i har stemt på ved de foregående valg.
Det er den danske regering som (i jagten på besparelser) har tilladt brugen af eksterne cloudløsninger så det er dem som skal ristes og flåes for det.

  • 1
  • 1
Maciej Szeliga

Nej, fejlen bestod i at kommunen åbnede for at elevers data blev synlige på Youtube.
Omtrent 50% af alle kommuner "forsyner" allerede fuldt lovligt Google med elevdata de resterende "fodrer" Microsoft med elevdata (også fuldt lovligt). Så længe der foreligger en databehandleraftale så ligger data fuldt lovligt i de godkendte cloud løsninger.


Jeg vil lige uddybe ovenstående...
Brugen af Chromebooks gør at man må på et eller andet niveau have en konto hos Google på samme måde som brugen af Office365 kræver konto hos Microsoft.
Hvordan det rent praktisk gøres er for sagen mindre relevant - faktum er at elevernes data må (omfanget afh. af hvor meget man vil "køre" selv) lægges op i skyen for at tingene skal virke.
Hvis brugen af Chromebooks i undervisningen er tilladt så må der nødvendigvis også foreligge en databehandler aftale med Google.

Hvis vi antager at Helsingør ikke har indgået en databehandler aftale med Google så undrer det mig meget at Google ikke selv har insisteret på det.

  • 0
  • 0
Albert Nielsen

Nej, fejlen bestod i at kommunen åbnede for at elevers data blev synlige på Youtube.

Det er jeg helt uenig i.

Fejlen bestod, som skrevet, i at kommunen overhovedet forsynede google med elevdata uden at have opfyldt sine forpligtelser:

  1. kommunen havde ikke en gyldig databehandleraftale (Citat fra artiklen: "Det på trods af, at kommunen ikke har haft en gyldig databehandleraftale.").
  2. Elevernes oplysninger er blevet givet videre uden samtykke fra forældrene
  • 2
  • 0
Niels Madsen

Maciej Szeliga,
Måske kan du svare på dette:
Jeg har for nyligt spurt min kommune hvorfor der, i forbindelse med mit barns skolegang i 1.klasse, er oprettet en Office365 konto til ham, hvor fuldt navn og fødsesdato er registreret, uden mit vidende. Jeg opdagede det først da vi kiggede in i Aula med elev login, og kikkede i noget widget halløj.

Jeg finder det svært at se hvad han skal bruge Word til i den alder. Der er også oprettet en Outlook email konto i hans navn. Andre Microsoft produkter kunne jeg ikke få øje på, så jeg ved ikke om der et sted er gemt noget relevant for børn som knap nok kan skrive eller læse.

Det kan vel ikke være påkrævet for at lave et login til hans Lenovo laptop?

Men selv hvis vi antager at en 7 årig har brug for dette, hvilket behov kan der så være (set fra kommunens side) for at videregive disse personoplysninger til Microsoft? Ville det være umuligt for eksempel at nøjes med et unikt kaldenavn til kontoen?

Hvis nogen har et bud, så vil jeg rigtigt gerne høre det, for jeg vil gerne udfordre kommunens påståede ret eller behov for at agere på denne måde. Selv har jeg haft masser af email adresser og tekstbehandlingsprogrammer, både på arbejde og privat, uden at skulle give sådanne oplysninger til nogen 3.part.

Hvorfor skulle det så være nødvendigt for kommunen?

  • 4
  • 0
Anne-Marie Krogsbøll

Tak for svar, Nis Schmidt.

Men lige præcis mht. at lade ulven vogte får, dvs. lade facebook undervise i dataetik/digital dannelse, så er det jo ikke gået igang endnu (hvis jeg har forstået det rigtigt), de er kun nået til at forberede et sådant korstog mod kritisk tænkende. Så lige på det punkt må vi kunne nå at stoppe det - hvis viljen er der.

Jeg har i hvert fald skrevet til mit parti om at komme på barrikaderne om dette lurende overgreb, og vil da opfordre andre til at gøre det samme. Hvis man ikke har et parti, der gider tænke selv, dvs. arbejde for at tøjle tech-giganterne, så er Alternativet eller Enhedslisten gode bud på steder at sende en sådan opfordring hen.

(Og på længere sigt bør det også være muligt at smide dem helt ud af skolen - og det offentlige i det hele taget. Hvis det ikke er muligt, er de jo en besættelsesmagt, og så må vi til at tænke i de baner. Men i første omgang er det viljen hos samfundets besluttende flødelag, der mangler).

  • 0
  • 0
Anne-Marie Krogsbøll

Maciej:

Fra artiklen i Politiken:
"Google oplyser, at tillægstjenester til det, som hedder GSuite for Education – eksempelvis YouTube – er slået fra, når kommunerne køber computerne og undervisningspakkerne. Det betyder, at den dataansvarlige i kommunen aktivt skal gå ind og slå servicen til, hvis vedkommende ønsker det"

Eftersom Datatilsynet har bedt kommunen redegøre for sagen, er det vel heller ikke helt soleklart, at det skulle være lovligt? Og mht. databehandleraftalen, så fremgår det af artiklen, at man ikke har en sådan - så ja, hvorfor har Google ikke reageret? Måske passer det dem meget godt?

  • 1
  • 0
Bjarne Nielsen

Jeg finder det svært at se hvad han skal bruge Word til i den alder.

Og jeg har svært ved at se, hvordan man - givet mit kendskab til amerikansk lovgivning, og de deraf afledte licensbetingelser - fra Microsofts side vil røre noget med en ildtang, som involverer børn under 13, uden deres forældres accept. Prøv bare at aktivere en iPad for en under 13...

Microsoft vil sikkert forsvare sig med, at de er blevet vildledt og bedraget (men man kan mene, at de - populært sagt - er dummere end politiet tillader, hvis ikke de har set det komme, så de har nok bare valgt at spille dumme). Microsoft bør i den situation straks kalde alle licenser tilbage og lukke alle konti involverede brugerkonti.

Det kan godt være, at jeg tager fejl, men jeg tror, at vores lokale regler vil være de mindste af de problemer, som Microsoft er på vej ind i her.

...og det gælder egentlig også for Google jfr. artiklen.

  • 2
  • 0
Niels Madsen

Nu sker det igen. Skolebørn og forældre loves anonymitet med UniLogin:
https://www.folkeskolen.dk/1529506/etisk-raad-i-norge-dumper-boernemaali...

Og her er et dokument som beviser at lærere, børn og forældre føres bag lyset i forbindelse med denne måling:
http://laeringsledelse.dk/wp-content/uploads/2015/04/2019_Kortl%C3%A6gni...

  • 0
  • 0
Log ind eller Opret konto for at kommentere