Da Macom, som er firmaet bag gymnasieplatformen Lectio, stillede 130.000 opgaver til rådighed for forskere til udvikling af programmet Ghostwriter, skete det uden først at indhente tilladelse fra hverken gymnasier eller eleverne selv.
Det er utrygt, mener formand for Danske Gymnasier, Birgitte Vedersø.
»Skolerne har ikke været involveret i beslutningen om at give adgang til opgaverne, og det står ikke beskrevet i vores databehandleraftale, at Macom kan give adgang til disse data,« fastslår hun.
»Vi synes det er utrygt, når der ikke bliver levet op til den databehandleraftale, vi har.«
Ghostwriter er et forskningsprojekt, som ikke på nuværende tidspunkt er udrullet i platformen. Programmet blev annonceret i en pressemeddelelse fra Københavns Universitet i slutningen af maj.
Må kun behandle data på instruks
Ghostwriter er udviklet som en del af Danish Center for Big Data Analytics Driven Innovation (DABAI) – et samarbejde mellem flere danske universiteter og en række private virksomheder, som skal finde nye måder at udnytte big data på.
I den sammenhæng har forskere fra Datalogisk Institut på Københavns Universitet (DIKU) fået stillet de mange opgaver til rådighed, for at undersøge mulighederne for at bruge maskinlæring til at identificere købte gymnasieopgaver.
Macom beskriver projektet som en naturlig forlængelse af deres nuværende plagiatsystem og mener, at det er en softwareopdatering, som er en del af deres almindelige arbejde.
Men det er ikke tilstrækkeligt at henvise til, at der er tale om en softwareopdatering, når man skal begrunde brug af data. Der skal den dataansvarlige, Danske Gymnasier nemlig også tages med på råd.
»Macom har selvfølgelig lov til at lave softwareopdateringer til det system de leverer. Og de må også gerne bruge data til at lave de opdateringer, hvis der foreligger et såkaldt behandlingsgrundlag. Derfor skal dataansvarlige vurdere, om en sådan brug af data er i overensstemmelse med persondatareglerne, da den dataansvarlige skal sikre, at persondatareglerne overholdes,« siger advokat Jon Lauritzen, partner i advokatfirmaet DLA Piper og specialist i it-ret.
Advokat: Samtykke kan næppe kan være frivilligt
Elevernes gymnasieopgaver kan ofte indeholde personhenførbare data. Det betyder, at opgaverne er underlagt persondatareglerne, hvilket blandt andet indebærer, at man skal oplyse og indhente samtykke fra de registrerede – i dette tilfælde eleverne selv.
Det ansvar kan man undgå, hvis man først anonymiserer opgaverne.
»Hvis Macom har stillet de data til rådighed uden at spørge nogen, så vil det forudsætte, at Macom har renset dataene for personlige oplysninger. Det vil sige at de har anonymiseret opgaverne,« siger Jon Lauritzen.
»Hvis man fjerner data der gør, at man kan identificere personen, der har skrevet opgaven, så er de ikke længere omfattet af persondatareglerne. Men hvis man har gjort det uden at tale med de dataansvarlige, så er det uden for instruks, og anonymiseringen i sig selv er også behandling af dataene, hvorfor det kræver instruks fra den dataansvarlige.«
Af Ghostwriters videnskabelige artikel fremgår det, at forskerne selv har anonymiseret dataene, efter de har fået adgang til dem.
»Yderligere fandt vi ud af, at nogle tekster indeholdt informationer som afslørede forfatteren (så som navn og adresse); derfor fjernede vi alle egennavne fra teksterne.« (Paperet bruger udtrykket »proper pronouns«, hvilket vi på Version2 har valgt at tolke som »proper nouns« og oversætte til egennavne).
For at udlevere data i uanonymiseret form skal Macom altså have hentet samtykke ind fra eleverne. Men sådan et samtykke skal være frivilligt, og det svært at beskrive et samtykke som frivilligt, hvis eleverne er tvunget til at give samtykke for at få lov til at aflevere deres opgaver.
»Hvis Macom har indhentet samtykke til databehandlingen fra eleverne, er det stadig et problem, at det samtykke næppe kan siges at være frivilligt, hvis eleverne er tvunget til at give samtykke, for at få en karakter,« siger Jon Lauritzen.
Danske Gymnasier: Vi forsøger at løse det med Macom
»Det er ikke tilfredsstillende, at det kommer bag på os som ejere af data,« siger formand for Danske Gymnasier, Birgitte Vedersø.
Har I tænkt jer at klage til Datatilsynet?
»Nej. Nu forsøger vi at løse det med Macom i første omgang.«
Men det er ikke noget, I udelukker?
»Nej. Foreløbig er vi i en undersøgende fase.«
Version2 bringer senere på ugen et interview med Macoms direktør.