Minister træder vande i sag om behandlingen af skolebørns data

Børne- og undervisningsminister Pernille Rosenkrantz-Theil (S) skriver regner med, at Datatilsynet vil rådgive kommunerne, og at hun har tillid til, at kommunerne vil rette ind efter den vejledning de modtager Illustration: Børne- og Undervisningsministeriet
Børne- og undervisningsminister Pernille Rosenkrantz-Theil (S) gentager sit svar på endnu et spørgsmål om kommunernes manglende beskyttelse af skolelevernes rettigheder og sender sagen i retning af Datatilsynet.

Sagen om kommunernes manglende risikovurderinger af beskyttelsen af elevers data hos ”Google G Suite for Education” og ”Microsoft Office 365”, der flittigt bruges af elever på landets skoler, bliver ved med at dukke op på Christiansborg.

Senest har endnu en ordfører spurgt børne- og undervisningsminister Pernille Rosenkrantz-Theil (S) ind til sagen. Denne gang er det it-ordfører Karina Lorentzen fra SF, der er i spørgerens rolle. Hun vil vide, om ministeren finder det acceptabelt, at ”en stor del af kommunerne ikke laver risikovurderinger af børns databeskyttelse”, når de benytter giganternes tilbud, og om hvilke tiltag der er iværksat.

Det svarer ministeren på i et folketingssvar, der blev offentliggjort mandag.

”Som dataansvarlige er kommunerne forpligtet til at sikre, at enhver behandling af elevernes personoplysninger sker i overensstemmelse med databeskyttelsesreglerne. Ligesom alle øvrige aktører på undervisningsområdet har kommunerne således en væsentlig opgave i at beskytte og værne om børns og unges data,” skriver Pernille Rosenkrantz-Theil (S) i svaret og understreger, at det er bekymrende, hvis kommunerne ikke overholder reglerne.

En ren gentagelse

Der er dog ikke meget nyt i svaret til SF’s it-ordfører. Ministeren fik nemlig et lignende spørgsmål fra Brigitte Klintskov Jerkel fra Konservative den 5. februar i år.

Dengang svarede ministeren at ordret på samme vis, at ”det naturligvis er bekymrende, hvis kommunerne ikke overholder databeskyttelsesreglerne,” og at hun derfor var ”glad for, at Datatilsynet har taget sagen op med henblik på at træffe afgørelser i disse sager.”

Ministeren skriver ligeledes i begge svar, at Datatilsynet vil rådgive kommunerne, at hun har tillid til, at kommunerne vil rette ind efter den vejledning de modtager og at hun har bed Styrelsen for It og Læring om ”løbende at følge udviklingen i sagen, herunder være i dialog med henholdsvis Datatilsynet og KL.”

Læs også: Minister efter V2-afsløringer: »Bekymrende, hvis kommunerne ikke overholder databeskyttelsesreglerne«

Henviser til Datatilsynet

Som noget nyt i svaret til Karina Lorentzen har ministeren dog indhentet svar fra Datatilsynet, der på bedste embedsmandsfacon henviser til reglernes paragraffer og artikler

Tilsynet skriver blandt andet:

”Behandling af personoplysninger skal i øvrigt altid ske i overensstemmelse med de grundlæggende principper i databeskyttelsesforordningens artikel 5. Der gælder således bl.a. et princip om formålsbegrænsning, hvilket betyder, at indsamling af personoplysninger kun må ske til udtrykkeligt angivne og legitime formål. Senere behandling må ikke være uforenelig med disse formål. Der gælder også et princip om dataminimering, hvorefter personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles. Herudover gælder der et grundlæggende princip om opbevaringsbegrænsning, hvilket indebærer, at personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.”

Derudover trækker tilsynet på en række af reglernes andre grundlæggende principper og forpligtigelse som i dette tilfælde kommunerne skal følge

En omfattende sag

Spørgsmålene til ministeren er rejst på baggrund af en række artikler her på Version2, hvor vi har berettet om, at en lang række kommuner ikke havde foretaget de nødvendige risikovurderinger i forhold til brugen af produkterne fra Google og Microsoft på landets skoler.

Det var blandt andet tilfældet i Aarhus Kommune, hvor man i sommer havde udleveret bærbare Chromebook’s til skoleelever mellem 2. og 10. klasse. På de udleverede maskiner er der præinstallerede Google-programmer i form af “G Suite for Education” til brug i undervisningen og så godt som alt bliver løbende gemt i Google’s cloud, om end kommunen selv vurderede, at man i lyset af den såkaldte Schrems II-dom ikke havde et lovligt overførselsgrundlag til at sende data til USA i forbindelse med, at oplysninger fra skolemaskinerne lagres i Google’s cloud.

Læs også: Skarp kritik af Aarhus Kommune: Sender skolebørns data ulovligt til Google

Sagen er dog ikke blot gældende for Aarhus Kommune.Version2 har tidligere beskrevet, hvordan halvdelen af landets kommuner benytter Google’s “G Suite for Education”, mens den anden halvdel groft opdelt benytter Microsofts “Office 365” med “Onedrive” som deres destination for datalagring. Uanset om kommunerne bruger det ene eller det andet sæt værktøjer, viser Version2’s undersøgelse af en række kommuner, at det kniber det med at tage de relevante forholdsregler.

At dømme ud fra ministeren to ens svar ligger bolden nu hos Datatilsynet og i sidste ende kommunerne, der skal følge vejledningen, som de modtager fra tilsynet.

Læs også: Kommuner sylter risikovurderinger og sender blindt børne-data til Microsoft

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jørgen Elgaard Larsen

Rent formelt er det jo helt korrekt at henvise til Datatilsynet. Undervisningsministeren burde ikke blande sig i, om kommunerne kan finde ud af at beskytte data - ligesom hun bør overlade det til politiet, hvis en skolelærer stjæler elevernes madpakker.

Men Datatilsynet har desværre hverken ressourcer eller sanktionsmuligheder nok til at gøre noget ved kommunerne.

Man kunne ønske, at ministeren sagde

Regeringen har besluttet at styrke Datatilsynet og give det sanktionsmuligheder overfor alle offentlige myndigheder. I mellemtiden vil jeg komme efter de kommuner, der ikke kan passe på børnenes data.

Men det sker desværre nok ikke.

  • 33
  • 0
#2 Jørn Wildt

Man kunne også ønske sig, at nogen stod frem med en gulerod og løsningsbeskrivelse og sagde "I stedet for at at gøre som nu, så er Xxxx en praktisk og rentabel løsning".

Løsningerne er der sikkert - men næppe så nemme at inddrage. Kommunerne betaler vel allerede Microsoft og Google i forvejen, uden at bruge gratis løsninger, så pengene burde være der - hvis bare nogen kunne pege på noget konkret, brugbart og passende let tilgængeligt.

Li'som med børneopdragelse - det er nemmere at få dem til at gøre det rigtige, hvis man anviser en løsning, fremfor bare at fortælle, at de ikke må gøre det de gør.

  • 3
  • 0
#3 Louise Klint

Du har ret.

Jeg tænker også, at dette er en af grundene til, at der ikke findes et IT-udvalg, hos vores folkevalgte på Christiansborg. Selvom der burde, når nu samfundet og vores tilværelse er gennemsyret af det: Teknologi, digitalisering, data.

Mange af de IT-relaterede problematikker hører under og foregår ude i kommunerne. (Eller regionerne, hvad angår sundhedsdata og IT-systemer, Sundhedsplatformen, fx). Og så får man alt deres bøvl ind på Christiansborg, det ønsker man ikke. På den anden side har Folketinget, et langt stykke hen ad vejen, lagt skinnerne ud og sat rammerne for disse forhold, via lovgivningen.

Men kors, hvor ville man få samråd på samråd. Et IT-udvalg ville blive betændt eller som en skraldespand. Med alle de sager, vi kender til. Og ansvarsforpligtende – man skal gøre noget ved problemerne. Ministeren skal tage affære.

Alene hvad der foregår i politikernes egen baghave – Skats PSRM, gældsinddrivelsen, eller håndteringen af borgernes persondata. https://politiken.dk/indland/art7787122/%C2%BBDet-er-et-brud-p%C3%A5-den... Eller hvordan det kunne lykkes Sundhedsdatastyrelsen, der står for cybersikkerheden i hele sundhedsvæsenet, at lave dobbeltfejl og slette alle coronamails. https://www.version2.dk/artikel/sundhedsdatastyrelsen-har-slettet-alle-s... https://www.dr.dk/nyheder/politik/saadan-gik-det-til-da-sundhedsdatastyr... https://www.version2.dk/artikel/udraderede-udbakker-bekymret-minister-vi... Eller hvorfor skal Aula gemme børnenes data for samtlige 10 års skolegang? Why? Det er en landsdækkende problematik.

Samtidig ville det blive sværere at få sine planer gennemført.

Fordi i dag kan det hele ligge lunt under alle mulige andre områder, bedre i skjul. Gladsaxe-modellen kunne listes ind under Ghettoplanen (socialområdet), og vupti, så ville alle børnefamilier i hele Danmark pludselig være overvåget! Man kan dele ud af vores private sundhedsoplysninger (data) ved at lægge det ind under børnevaccinationer og ”styrkelse af borgernes tryghed og tillid til sundhedsforskning”, fx. https://www.ft.dk/samling/20181/lovforslag/l127/index.htm https://www.ft.dk/samling/20191/lovforslag/L35/index.htm Og for bare to år siden, i 2019, ville VLAK-regeringen – med ”digitaliseringsklar lovgivning” – ændre forvaltningsloven og automatisere sagsbehandlingen i hele den offentlige sektor/kommunerne, således man kunne spare 1000-vis af årsværk ved at køre borgerne over med noget AI. https://politiken.dk/debat/art6992324/Digitalisering-af-det-offentlige-s...

Tænk på alt det bøvl, det ville give, hvis man havde et IT-udvalg! Der skal ikke være for megen specialisering her. (Og det går meget bedre, med alle de psuedo-dataetiske råd og nævn, etc.)

Det ville altsammen få alt for megen bevågenhed, for meget fokus.

I øjeblikket rumsterer i mit hoved et nyligt fremsat lovforslag om Åbne Data, L 160.

https://www.ft.dk/samling/20201/lovforslag/l160/index.htm https://www.ft.dk/samling/20201/lovforslag/l160/20201_l160_som_fremsat.htm Bygger på dette, fra 2005: https://www.retsinformation.dk/eli/lta/2005/596 Udvidet, 2008: https://www.retsinformation.dk/eli/lta/2008/551 Og senest 2014: https://www.retsinformation.dk/eli/lta/2014/553

Det gælder implementeringen af et EU-direktiv, men man går videre end det. Det er ganske vidtgående, for mig at se, og dækker snart sagt alle områder og arkiver. Og behandles under Indenrigs- og Boligudvalget, gudhjælpemig! (GDPR har forrang. Men altså – databeskyttelseslovgivningen, hvad er det efterhånden værd? Når vi ved, hvor meget vores sundhedsdata er liberaliseret). Jeg kan ikke rigtig få hold på det ^^ eller hvorvidt det virkelig omfatter persondata og sagsbehandling om borgere?

Havde man et IT-udvalg ville man også lettere kunne lægge pres – selvfølgelig skal Datatilsynet styrkes! A pro pos. Det er åbenlyst.

Men det kan man ikke se nu. Eller – man vil ikke se det. Man vil ikke have offentligt fokus.

Så hellere lade det hele forløbe lidt sporadisk. Under radaren.

Pga. alt det, man slipper for.

  • 5
  • 0
#4 Claus Gårde Henriksen

Og her kapre(de)s tråden som sædvanlig af en opensource tåbe, der frisk hævder børn og deres lærere alligevel burde lære at bruge åbne standarder og sikkerhed som man kan få med gpg/pgp og Libreoffice. Og Linux skrivebordet. Og så vil(le) tåben få læst og påskrevet, at det er der ingen der vil byde de små og deres lærere. Men idag er det meget bedre vi forstår skyens, og IT administratorens (u)lyksaligheder med sikkerhed der nedprioriteres fordi det $kalerer helt vildt godt. De skal have det bedste!

  • 1
  • 6
#5 Mogens Bluhme

Jeg er helt enig i kritikken af sjuskeriet med børns data. Men hvorfor skal det være landspolitik, når det er kommunerne, der svigter? Hvad laver oppositionen i byrådene? Hvad laver lokalpressen? Hvad stemmer borgerne efter til kommunevalg? Forhåbentlig ikke bevidstløst på samme parti som til folketingsvalg, for så har de ikke forstået en skid af det hele.

Den finske filosof og Wittgenstein-elev Georg Henrik von Wright foreslog engang, at den samme (parti)organisation kun bør kunne stille op på ét niveau - i den aktuelle situation altså folketingsvalg, kommunalvalg, EU-valg eller regionalvalg.

  • 3
  • 0
#6 Thomas Rasmussen

Joo, der er bare det ved det, at skolens ledelse allerede har foretaget en risikovurdering af læreren ved ansættelsen — og dermed eventuelt afledte konsekvenser af et ikke særligt sandsynligt tyveri af børnenes madpakke. En risiko de fleste af os nok er enige i, at skolen løber.

I denne sag er der ikke foretaget noget som helst. Vores børns skolegang foregår i dag delvis på en fysisk adresse i Danmark, delvis i et ukendt digitalt miljø hos private virksomheder i udlandet. Selvfølgelig skal børne- og ungeministeren kunne gøre mere end bare at henvise til DT. Det er for svagt.

  • 4
  • 0
#10 Jens Frederik Dalsgaard Nielsen

Alle IT ordførere er helt sikkert bekendt med diskussioner ala denne. Det samme gælder for rigtig mange skoleledere, IT ansvarlige i kommuner, regioner mm. Vi har jo også lidt bøvl indenfor sundhed.dk og patientjournalsystemer.

Der bør ikke være nogen med ledelseskompentencer (ansatte og folkevalgte) der bør kunne poppe og på et tidspunkt og sige: "det vidste jeg ikke".

Jeg gider ikke skrive mange grimme ting, blot

Det er nu (og også igår) at der skal til at vises rettidig omhu - for at tage en forslidt traver op.

mvh

OG så burde der indføres at man som folkevalgt og/eller minister ikke må snakke udenom, men skal svare ordentligt på spørgsmål. Så gør det ikke noget de får (ordentlige) spørgsmål i forvejen.

men det er måske for meget forlangt ?? :-/

  • 1
  • 0
#11 Claus Gårde Henriksen

Så længe det bliver tilbudt billigere/nemmere og er defaktostandard med sky løsningerne, rækker sikkerhedambitionerne ikke så langt når man presses i kommunen. Og kan man nu virkelig kritiseres for at hoppe på MS/Google? (ps: er nok en smule sarkastisk)

  • 0
  • 0
Log ind eller Opret konto for at kommentere