Sjusk med skolebørns data i Google: Kommune får alvorlig kritik af Datatilsynet

Illustration: Helsingør Kommune
Datatilsynet giver Helsingør Kommune et rap over nallerne for at sjuske med skolebørns databeskyttelse, når de bruger Google-tjenester i undervisningen. Kommunen har halvanden måned til at rette op - ellers skal Google ud af skolerne.

Helsingør Kommune får alvorlig kritik af Datatilsynet for at sjuske med skolebørns databeskyttelse, når de bruger Googles tjeneste G Suite for Education i undervisningen, skriver tilsynet på sin hjemmeside.

Sagen har stået på, siden kommunen den 29. januar 2020 meldte et brud på persondatasikkerheden til Datatilsynet, efter man havde udleveret Chromebooks til alle skoleelever og oprettet Google-konti med elevernes fulde navn - det gælder i flere tilfælde også børn med navne- og adressebeskyttelse.

Google har videregivet børnenes data til sine andre tjenester som eksempelvis Youtube, uden Helsingør vidste noget om det. Derfor loggede eleverne automatisk på videotjenesten med deres Google-konti og børnenes fulde navne blev vist ved deres opslag på platformen.

Læs også: Kommune sendte personlige elevdata til Google uden samtykke

Kommunen havde ikke indhentet samtykke fra forældrene til, at man måtte videregive børnenes oplysninger til Google, og man havde heller ikke lavet en risikovurdering for børnenes databeskyttelse, som er et krav i GDPR.

Derfor har kommunen ikke et overblik over de eventuelle konsekvenser, databehandlingen kan have.

Ingen risikovurdering

Selvom Helsingør Kommune ikke har foretaget en risikovurdering, mener man, det er usandsynligt, at behandlingen vil have konsekvenser for børnenes frihed og rettigheder.

De oplysninger, der utilsigtet er delt med Youtube, er almindelige personoplysninger, som ifølge kommunen ikke giver mulighed for at kontakte barnet eller kan bruges til at sige noget om elevens adfærd.

»Derudover har Helsingør Kommune lagt til grund, at Youtube ejes af Google og at Google ikke har fået adgang til yderligere oplysninger, end hvad der allerede er givet adgang til inden for den oprindelige G-suite aftale,« skriver Datatilsynet i afgørelsen.

Problemer med børnedata i mange kommuner

Datatilsynet har givet Helsingør Kommune indtil den 1. november i år til at få rettet op på databehandlingen.

Konkret skal man lave en risikovurdering af børnenes brug af G Suite for Education, og hvis risikoen er høj, bliver man også nødt til at foretage en konsekvensanalyse, der betyder, at behandlingen skal vurderes af Datatilsynet.

Hvis ikke kommunen kan gøre noget for at få nedbragt risikoniveauet, så det ikke længere er kategoriseret som ‘højt’, skal man stoppe med at lade børnene bruge G Suite for Education i undervisningen. Og hvis ikke man følger Datatilsynets afgørelse, kan det ende med en bøde eller fængselsstraf.

Men det er ikke kun Helsingør, der står overfor den udfordring, for det halter også med at passe på de smås persondata i mange andre kommuner.

Sidste vinter afslørede Version2, at 24 ud af 45 kommuner, der bruger G Suite for Education i undervisningen, ikke har lavet en risikovurdering.

Læs også: Efter Version2-afsløring: Datatilsynet indleder sag mod Aarhus Kommune om ulovlige dataoverførsler

Samme undersøgelse viste, at 13 ud af 22 kommuner, der bruger Microsofts Office 365 med Onedrive til datalagring heller ikke har lavet en risikovurdering for børnenes databeskyttelse.

Gode nyheder

Der er dog gode nyheder til kommunerne, for i afgørelsen vurderer Datatilsynet, at skolerne godt kan bruge G Suite for Education lovligt.

»Datatilsynet har lagt til grund, at det fremgår af databehandleraftalen, og mulighederne for konfiguration af de enkelte enheder, at data også persondata kan styres sådan, at dette, ikke behandles uden for EU/EØS, at oplysningerne om den enkelte bruger vil kunne dataminimeres til et alias,« skriver tilsynet.

Man konfigurere systemet på en måde, så den data - herunder persondata - der skabes ved elevernes brug af G Suites kerneprogrammer, kun kan tilgås af den enkelte elev og kommunes autoriserede administrator.

På den måde kan man med sikkerhed undgå, at dataen bliver brugt til markedsføring, skriver tilsynet i afgørelsen.

Man påpeger også, at der ved at bruge programmet uden en særlig konfiguration - som Helsingør Kommune hidtil har gjort - kan ske overførsler af data ud af EU. Den amerikanske virksomhed Google har for eksempel datacentre i USA, der er defineret som et usikkert tredjeland af EU-Domstolen.

Tilsynet understreger også, at børnene ikke har grund til at bruge Googles tillægstjenester som Youtube i skolen, og at det i Helsingør Kommunes tilfælde har ført til en høj risiko for børnenes databeskyttelse.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (31)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Kim Madsen

Jeg skal fortælle hvad risikoen er....

Det som børnene skriver kommer i hænderne på Google. Den kommunikation der måtte være mellem børnene og lærerne kommer i hænderne på Google. Den kommunikation der måtte være mellem lærerne og forældrene risikerer at komme i hænderne på Google.

At man, som offentlig myndighed, kan have det fint med at outsource datastorage af følsomme data, som f.eks. når børnene skriver om deres oplevelser i deres hjem, ferier etc. og når der kommunikeres om besværligheder eller udfordringer mellem lærer og hjem, er mig totalt uforståeligt.

Samtlige kommuner burde bruge alternative inhouse (eller i det mindste in state hostede) løsninger.

  • 21
  • 2
#2 Henrik Morell

Det er en lidt overraskende oplysning, at det man foretager sig på Youtube ikke siger noget om ens adfærd. Reklamesælgerne hos Youtube vil vist have en lidt anden opfattelse.

De oplysninger, der utilsigtet er delt med Youtube, er almindelige personoplysninger, som ifølge kommunen ikke giver mulighed for at kontakte barnet eller kan bruges til at sige noget om elevens adfærd.

  • 12
  • 0
#3 brian hansen

Min 12årige datter bruger google suite via skolen. hun har lige skrevet en stil hvor hun tilkendegiver at hun er kristen. tror ikke hun er den eneste... og jeg har i hvert fald ikke skrevet under på noget ifht til om hun må bruge google suite

  • 10
  • 0
#4 Kenneth Andersen

»Datatilsynet har lagt til grund, at det fremgår af databehandleraftalen, og mulighederne for konfiguration af de enkelte enheder, at data også persondata kan styres sådan, at dette, ikke behandles uden for EU/EØS, at oplysningerne om den enkelte bruger vil kunne dataminimeres til et alias,« skriver tilsynet.

Man konfigurere systemet på en måde, så den data - herunder persondata - der skabes ved elevernes brug af G Suites kerneprogrammer, kun kan tilgås af den enkelte elev og kommunes autoriserede administrator.

Okay; hvad står der egentlig her?

Kan man konfigurere en enhed, så server-data ikke lagres i ikke-EU-lande? Hvorledes kan dette rent praktisk lade sig gøre? Er det blot en vild påstand fra Microsoft?

Eller bør man oprette en fælles konto for eleverne, som de så logger ind på for at bruge Google, og derved sløre den enkelte elev? I så tilfælde: hvorledes vil man holde hver enkelte elevs data adskilt fra alle de andre elever? Vil denne løsning overhovedet være mulig i det hele taget?

  • 3
  • 0
#5 Klavs Klavsen

"»Datatilsynet har lagt til grund, at det fremgår af databehandleraftalen, og mulighederne for konfiguration af de enkelte enheder, at data også persondata kan styres sådan, at dette, ikke behandles uden for EU/EØS, at oplysningerne om den enkelte bruger vil kunne dataminimeres til et alias,« skriver tilsynet."

Det passer da ikke. GDPR KRÆVER at personer i USA IKKE må kunne få adgang til data. Eleverne skriver jo personlige stile, afleveringsopgaver mv. i G-Suite værktøjer og snakker sammen i google meet osv.

Uanset hvad de vælger i G-suite settings kan en medarbejder (ihvertfald sysadmin) fra USA da tilgå data.. Mener datatilsynet at EUs fortolkning af GDPR er forkert, eller ?

  • 10
  • 0
#7 Klavs Klavsen

Kan man konfigurere en enhed, så server-data ikke lagres i ikke-EU-lande? Hvorledes kan dette rent praktisk lade sig gøre? Er det blot en vild påstand fra Microsoft?

Ja -men det har INTET med GDPRs krav at gøre. GDPR er ligeglad HVOR data er - så længe dens placering (eller personer med adgang) IKKE resulterer i at USA kan bruge FISA og kræve data udleveret.

Det kan USA - SELVOM man har valgt at ens data skal ligge i EU f.ex. (som man kan vælge hos alle cloud udbydere) - og derfor har EU udtalt at de netop IKKE kan se nogen løsning på problemet (fordi USA bare kan påbyde en google ansat sysadmin i USA - HENT DATA - og så skal de gøre det og må ikke fortælle nogen at de har gjort det).

Det betyder også at et dansk firma ikke kan have sysadmins der bor i/arbejder fra USA ansat (hvis de har adgang til personfølsom data)

  • 10
  • 0
#8 Jeppe Bundsgaard

Tilsynet understreger også, at børnene ikke har grund til at bruge Googles tillægstjenester som Youtube i skolen, og at det i Helsingør Kommunes tilfælde har ført til en høj risiko for børnenes databeskyttelse.

Youtube bruges konstant i skolen - både i frikvarter og timer - også til at lægge elevernes egne videoer op. Så jo, børnene har grund til at bruge Youtube. Og når de bruger det, er det på elegant vis IKKE en del af Googles suite, så der suger de løs af data, helt åbent.

Kom nu bare over på en sikker europæisk sky: NextCloud fx hos Hetzner (https://dataethics.eu/da/guide-to-european-cloud-solutions/). Danske skoler har været frontløbere inden for it i undervisningen i de seneste 20 år (og mere) - jeg tror godt de kan finde ud af skifte. Spørgsmålet er om de ansvarlige gider gøre arbejdet.

  • 5
  • 2
#9 Tommy Calstrup

Der er problemet, men at alle data, som Google m.fl. indsamler, ryger ud til et ureguleret marked af data brokere, der sælger disse data til hvem som helst, der vil betale et par hundrede kroner. Desværre druknede TV2s forsøg på, at piske en stemning op, om emnet, i andre "store" politiske sager, men de fik da vist, hvad man kan få ud af et 5000 kr data sæt, fra en broker, som f.eks. navn, adresse og andre sjove ting, på ansatte i FE, og en stakkels lastvognschauffør.

  • 4
  • 0
#11 Tobias Kildetoft

Kom nu bare over på en sikker europæisk sky

Og tilbyder denne skytjeneste så et tilsvarende samlet produkt?

Jeg siger ikke at der ikke er god grund til at få lavet det arbejde der kræves for at komme over på en tjeneste som overholder GDPR, men hvis alle fortalerne bliver ved med at påstå at man jo "bare" skifter og helt ignorerer de enorme mængder arbejde der er i det, så bliver det altså svært at få nogen overtalt til det, da folk jo godt selv kan gennemskue hvor meget arbejde der vil være i det for dem at skifte.

  • 1
  • 4
#13 Kenneth Andersen

Nej, det er en vild påstand fra Google.

Ok. Jeg antog bare, at man ikke kunne angive, hvor i verden data skal gemmes inde i GSuite, men at man derimod skulle konfigurere det på ens server-systemer (som typisk er af Microsoft).

  • 0
  • 0
#14 Børge Svingalius

så himmelråbende naive og inkompetente tilgange der er i offentligt regi, når det gælder persondata, og så ovenikøbet ift. børn der ikke nødvendigvis selv kan sige fra, eller overhovedet forstå hvorfor det kan være uhensigtsmæssigt at multinationale big-bucks selskaber får adgang til følsomme oplysninger, som i sidste ende har værdi - ikke kun for lærer og elev. Hvordan kan man ikke forstå at det overhovedet at have en google-konto er at sælge data om sig selv?

Forestil jer at vi i 90'erne sendte elevernes personlige stile forbi en fuldstændig uvedkommeende privat virksomhed...

  • 7
  • 1
#15 Jesper Jepsen

Har du skrevet under på hvilke bøger fra hvilke forlag hun må læse? osv.. Jeg har ikke hørt klager over brug af MS 365 men sagen er jo den samme.. desuden er du utilfreds så står det jo frit for at undervise din datter selv.. der er jo ikke skolepligt i DK

  • 2
  • 7
#17 Henrik Eriksen

Youtube bruges konstant i skolen - både i frikvarter og timer - også til at lægge elevernes egne videoer op. Så jo, børnene har grund til at bruge Youtube.

Det forstår jeg ikke. Min datter bruger noget der hedder "skoletube.dk", der hævder at det hele ligger på danske servere, etc. Alle og enhver kan ikke gå derind og se hvad de har lyst til, man skal have sådan et 'UNI-Id'. Og så ved jeg ikke om man oven i dét er forhindret i at se andre elevers videoer hvis de ikke er i ens egen klasse eller sådan noget.

desuden er du utilfreds så står det jo frit for at undervise din datter selv.. der er jo ikke skolepligt i DK

Det er jo et komplet værdiløst argument. Hvor mange forældre har tiden og ikke mindst kompetencerne til at give deres børn tilstrækkelig undervisning?

  • 8
  • 0
#18 Thomas Rasmussen

Ganske enkelt. Nu skal vi også til at vælge skoler til vores børn, ud fra om de sladrer om eleverne til de gavmilde techvirksomheder. Det kommunale skolevæsen diskvalificerer sig selv, og det er rent lotteri, om man bor et compliant sted i DK. Så må det være en subjektiv vurdering, om man har tillid til Datatilsynets løsningsforslag.

  • 5
  • 0
#19 Kim Bjørn Tiedemann Blogger

Det passer da ikke. GDPR KRÆVER at personer i USA IKKE må kunne få adgang til data. Eleverne skriver jo personlige stile, afleveringsopgaver mv. i G-Suite værktøjer og snakker sammen i google meet osv.

Man skal lægge mærke til, hvad de skriver. De skriver "at de lægger til grund at det fremgår af databehandleraftalen..." Så de har ikke undersøgt mere end hvad databehandleraftalen med Google påstår.

Men helt enig - der mangler en stillingtagen til SchremsII dommen i deres afgørelse.

  • 5
  • 0
#21 Peter Stricker

Mig bekendt registrerer private forlag nok ikke, hvem der læser deres bøger?

I det omfang, de kan komme til det, gør de nu. Og det er ofte en registrering, der giver en ekstra værdi for læseren.

Mange online bøger tilgås fra forlagets website eller en app. Udover at huske hvilke bøger du har læst eller er i gang med at læse, husker forlaget hvor langt du er nået i bøgerne. Næste gang du åbner bogen, starter den på det samme sted, uanset hvilken enhed du denne gang læser bogen på.

Og det er ikke kun forlag, der tilbyder denne service. Adobe Acrobat Reader og andre ebogs-læsere har også en funktion der tillader samme synkronisering på tværs af enheder for bøger, de ikke selv har udgivet.

  • 1
  • 0
#22 Anne-Marie Krogsbøll

Ok, Peter Stricker - jeg tænkte på gode, gamle papirsbøger....Men den slags findes måske slet ikke mere i skolen?

Synd for børnene - der er nu ikke noget så dejligt som en rigtigt flot indbundet papirbog med smudsomslag og det hele... I gamle dage var Gyldendal mestre i flotte indbindinger...

Den slags kan man i hvert fald stadig læse uden at blive ædt af en tech-gigant. Og man kan oven i købet låne den videre til andre, uden at det er en kriminel handling...

  • 3
  • 0
#23 Peter Stricker

jeg tænkte på gode, gamle papirsbøger

Det regnede jeg nu også med, og mit indlæg skulle ikke ses som en støttte til indlæg #15.

Men du har tidligere markeret dig som skeptisk overfor den hovedløse digitalisering, så jeg ville blot påpege at dette var endnu et område hvor registrering af brugere vinder frem.

Jeg har flere trykte fagbøger, hvor appendix eller sågar enkelte kapitler kun kan tilgås online, eventuelt i form af pdf der kan hentes efter registrering. Så det kommer også til gode, nye papirsbøger.

  • 3
  • 0
#26 Henrik Eriksen

Det viser bare at der faktisk findes et alternativ, og din datters skole (eller kommune) måske har sat sig lidt ind i hvad lovgivningen kræver.

Ja, men dét er så også det eneste de har sat sig ind i.

Min datter skulle lave en video med sig selv som led i en skoleopgave, og da hun har det meget svært med at blive fotograferet og filmet, især når hun ikke vidste hvor det endte henne, sagde jeg til lærerne at dét gjorde vi altså ikke.

Vi fik en tilbagemelding om, at denne opgave skulle laves, og man kunne ikke bare blive fritaget! Og "skoletube.dk var helt sikker, man kunne ikke downloade videoerne derfra!"

Det tog mig fem minutter at downloade en anden elevs video ved hjælp af Firefox' almenkendte addon "Video downloadhelper"...!

Min datter fandt et workaround inden det eskalerede, men manglen på faglighed omkring IT-sikkerhed er himmelråbende.

Ét er at man ikke kan stole på Google og Facebook og Microsoft, men dermed kan man altså heller ikke stole på dem som stoler på Google, Facebook og Microsoft. Og man kan ikke stole på dem, som stoler på nogen som stoler på Google, Facebook og Microsoft.

Dén kæde har ingen slutning.

Jeg lærer mine børn at dét de lægger op på nettet, det mister de de facto kontrollen over. Og så er det ligemeget om det er email, instagram, snapchat, facebook, messenger, eller hvad fanden det er for et netværk det drejer sig om.

Så det der ikke må ses af alverden, det skal blive på computeren.

  • 2
  • 0
Log ind eller Opret konto for at kommentere