Sjusk med skolebørns data i Google: Kommune får alvorlig kritik af Datatilsynet

Så er der det moralske aspekt. Det er da ufatteligt højrøvet af kommunens medarbejdere, at bilde sig ind, at det tilkommer dem at sprede den slags oplysninger.

Nu tilbyder Google jo at man kan kryptere dokumenterne med ens eget certifikat, så vi kan jo ikke vide om Google rent faktisk kan læse med.

jo det ene er meget være end det andet

Lige præcis.

I det ene tilfælde kan man foretage en vurdering af risikoen og vælge til eller fra.

Det andet tilfælde er tvungent.

Så er der det moralske aspekt. Det er da ufatteligt højrøvet af kommunens medarbejdere, at bilde sig ind, at det tilkommer dem at sprede den slags oplysninger.

jo det ene er meget være end det andet

Men du har ingen problemer med at dele den oplysning på et offentligt tilgængeligt forum!!

Og du kan ikke se forskellen?

Eller skal du bare være på tværs?

Men du har ingen problemer med at dele den oplysning på et offentligt tilgængeligt forum!!

Min 12årige datter bruger google suite via skolen. hun har lige skrevet en stil hvor hun tilkendegiver at hun er kristen. tror ikke hun er den eneste... og jeg har i hvert fald ikke skrevet under på noget ifht til om hun må bruge google suite

Det viser bare at der faktisk findes et alternativ, og din datters skole (eller kommune) måske har sat sig lidt ind i hvad lovgivningen kræver.

Ja, men dét er så også det eneste de har sat sig ind i.

Min datter skulle lave en video med sig selv som led i en skoleopgave, og da hun har det meget svært med at blive fotograferet og filmet, især når hun ikke vidste hvor det endte henne, sagde jeg til lærerne at dét gjorde vi altså ikke.

Vi fik en tilbagemelding om, at denne opgave skulle laves, og man kunne ikke bare blive fritaget! Og "skoletube.dk var helt sikker, man kunne ikke downloade videoerne derfra!"

Det tog mig fem minutter at downloade en anden elevs video ved hjælp af Firefox' almenkendte addon "Video downloadhelper"...!

Min datter fandt et workaround inden det eskalerede, men manglen på faglighed omkring IT-sikkerhed er himmelråbende.

Ét er at man ikke kan stole på Google og Facebook og Microsoft, men dermed kan man altså heller ikke stole på dem som stoler på Google, Facebook og Microsoft. Og man kan ikke stole på dem, som stoler på nogen som stoler på Google, Facebook og Microsoft.

Dén kæde har ingen slutning.

Jeg lærer mine børn at dét de lægger op på nettet, det mister de de facto kontrollen over. Og så er det ligemeget om det er email, instagram, snapchat, facebook, messenger, eller hvad fanden det er for et netværk det drejer sig om.

Så det der ikke må ses af alverden, det skal blive på computeren.

Det forstår jeg ikke. Min datter bruger noget der hedder "skoletube.dk", der hævder at det hele ligger på danske servere, etc.

Det viser bare at der faktisk findes et alternativ, og din datters skole (eller kommune) måske har sat sig lidt ind i hvad lovgivningen kræver.

/Henning

Ok, tak for uddybning, Peter Stricker.

jeg tænkte på gode, gamle papirsbøger

Men du har tidligere markeret dig som skeptisk overfor den hovedløse digitalisering, så jeg ville blot påpege at dette var endnu et område hvor registrering af brugere vinder frem.

Jeg har flere trykte fagbøger, hvor appendix eller sågar enkelte kapitler kun kan tilgås online, eventuelt i form af pdf der kan hentes efter registrering. Så det kommer også til gode, nye papirsbøger.

Ok, Peter Stricker - jeg tænkte på gode, gamle papirsbøger....Men den slags findes måske slet ikke mere i skolen?

Synd for børnene - der er nu ikke noget så dejligt som en rigtigt flot indbundet papirbog med smudsomslag og det hele... I gamle dage var Gyldendal mestre i flotte indbindinger...

Den slags kan man i hvert fald stadig læse uden at blive ædt af en tech-gigant. Og man kan oven i købet låne den videre til andre, uden at det er en kriminel handling...

Mig bekendt registrerer private forlag nok ikke, hvem der læser deres bøger?

Mange online bøger tilgås fra forlagets website eller en app. Udover at huske hvilke bøger du har læst eller er i gang med at læse, husker forlaget hvor langt du er nået i bøgerne. Næste gang du åbner bogen, starter den på det samme sted, uanset hvilken enhed du denne gang læser bogen på.

Og det er ikke kun forlag, der tilbyder denne service. Adobe Acrobat Reader og andre ebogs-læsere har også en funktion der tillader samme synkronisering på tværs af enheder for bøger, de ikke selv har udgivet.

Har du skrevet under på hvilke bøger fra hvilke forlag hun må læse?

Det passer da ikke. GDPR KRÆVER at personer i USA IKKE må kunne få adgang til data. Eleverne skriver jo personlige stile, afleveringsopgaver mv. i G-Suite værktøjer og snakker sammen i google meet osv.

Man skal lægge mærke til, hvad de skriver. De skriver "at de lægger til grund at det fremgår af databehandleraftalen..." Så de har ikke undersøgt mere end hvad databehandleraftalen med Google påstår.

Men helt enig - der mangler en stillingtagen til SchremsII dommen i deres afgørelse.

Ganske enkelt. Nu skal vi også til at vælge skoler til vores børn, ud fra om de sladrer om eleverne til de gavmilde techvirksomheder. Det kommunale skolevæsen diskvalificerer sig selv, og det er rent lotteri, om man bor et compliant sted i DK. Så må det være en subjektiv vurdering, om man har tillid til Datatilsynets løsningsforslag.

Youtube bruges konstant i skolen - både i frikvarter og timer - også til at lægge elevernes egne videoer op. Så jo, børnene har grund til at bruge Youtube.

Det forstår jeg ikke. Min datter bruger noget der hedder "skoletube.dk", der hævder at det hele ligger på danske servere, etc. Alle og enhver kan ikke gå derind og se hvad de har lyst til, man skal have sådan et 'UNI-Id'. Og så ved jeg ikke om man oven i dét er forhindret i at se andre elevers videoer hvis de ikke er i ens egen klasse eller sådan noget.

desuden er du utilfreds så står det jo frit for at undervise din datter selv.. der er jo ikke skolepligt i DK

Det er jo et komplet værdiløst argument. Hvor mange forældre har tiden og ikke mindst kompetencerne til at give deres børn tilstrækkelig undervisning?

Det blev gjort.. måske ikke lige i 90'erne men en hel del gyminasie opgaver endte hos et privat firma

Har du skrevet under på hvilke bøger fra hvilke forlag hun må læse? osv.. Jeg har ikke hørt klager over brug af MS 365 men sagen er jo den samme.. desuden er du utilfreds så står det jo frit for at undervise din datter selv.. der er jo ikke skolepligt i DK

så himmelråbende naive og inkompetente tilgange der er i offentligt regi, når det gælder persondata, og så ovenikøbet ift. børn der ikke nødvendigvis selv kan sige fra, eller overhovedet forstå hvorfor det kan være uhensigtsmæssigt at multinationale big-bucks selskaber får adgang til følsomme oplysninger, som i sidste ende har værdi - ikke kun for lærer og elev. Hvordan kan man ikke forstå at det overhovedet at have en google-konto er at sælge data om sig selv?

Forestil jer at vi i 90'erne sendte elevernes personlige stile forbi en fuldstændig uvedkommeende privat virksomhed...

Nej, det er en vild påstand fra Google.

Ok. Jeg antog bare, at man ikke kunne angive, hvor i verden data skal gemmes inde i GSuite, men at man derimod skulle konfigurere det på ens server-systemer (som typisk er af Microsoft).

Ok. Jeg antog bare, at man ikke kunne angive, hvor i verden data skal gemmes inde i GSuite, men at man derimod skulle konfigurere det på ens server-systemer (som typisk er af Microsoft).

Kom nu bare over på en sikker europæisk sky

Og tilbyder denne skytjeneste så et tilsvarende samlet produkt?

Jeg siger ikke at der ikke er god grund til at få lavet det arbejde der kræves for at komme over på en tjeneste som overholder GDPR, men hvis alle fortalerne bliver ved med at påstå at man jo "bare" skifter og helt ignorerer de enorme mængder arbejde der er i det, så bliver det altså svært at få nogen overtalt til det, da folk jo godt selv kan gennemskue hvor meget arbejde der vil være i det for dem at skifte.

Har USA adgang til data hos Google?

https://en.wikipedia.org/wiki/CLOUD_Act

The European Data Protection Supervisor (EDPS) viewed the CLOUD Act as a law in possible conflict with the GDPR.

Vi skal have mere gang i www.govcloud.dk. Og ja, det er sikkert dyrere og mere bøvlet end blot at lade Google stå for det, men privatliv og sikkerhed koster.

Der er problemet, men at alle data, som Google m.fl. indsamler, ryger ud til et ureguleret marked af data brokere, der sælger disse data til hvem som helst, der vil betale et par hundrede kroner. Desværre druknede TV2s forsøg på, at piske en stemning op, om emnet, i andre "store" politiske sager, men de fik da vist, hvad man kan få ud af et 5000 kr data sæt, fra en broker, som f.eks. navn, adresse og andre sjove ting, på ansatte i FE, og en stakkels lastvognschauffør.

Tilsynet understreger også, at børnene ikke har grund til at bruge Googles tillægstjenester som Youtube i skolen, og at det i Helsingør Kommunes tilfælde har ført til en høj risiko for børnenes databeskyttelse.

Kom nu bare over på en sikker europæisk sky: NextCloud fx hos Hetzner (https://dataethics.eu/da/guide-to-european-cloud-solutions/). Danske skoler har været frontløbere inden for it i undervisningen i de seneste 20 år (og mere) - jeg tror godt de kan finde ud af skifte. Spørgsmålet er om de ansvarlige gider gøre arbejdet.

Kan man konfigurere en enhed, så server-data ikke lagres i ikke-EU-lande? Hvorledes kan dette rent praktisk lade sig gøre? Er det blot en vild påstand fra Microsoft?

Ja -men det har INTET med GDPRs krav at gøre. GDPR er ligeglad HVOR data er - så længe dens placering (eller personer med adgang) IKKE resulterer i at USA kan bruge FISA og kræve data udleveret.

Det kan USA - SELVOM man har valgt at ens data skal ligge i EU f.ex. (som man kan vælge hos alle cloud udbydere) - og derfor har EU udtalt at de netop IKKE kan se nogen løsning på problemet (fordi USA bare kan påbyde en google ansat sysadmin i USA - HENT DATA - og så skal de gøre det og må ikke fortælle nogen at de har gjort det).

Det betyder også at et dansk firma ikke kan have sysadmins der bor i/arbejder fra USA ansat (hvis de har adgang til personfølsom data)

Er det blot en vild påstand fra Microsoft?

"»Datatilsynet har lagt til grund, at det fremgår af databehandleraftalen, og mulighederne for konfiguration af de enkelte enheder, at data også persondata kan styres sådan, at dette, ikke behandles uden for EU/EØS, at oplysningerne om den enkelte bruger vil kunne dataminimeres til et alias,« skriver tilsynet."

Det passer da ikke. GDPR KRÆVER at personer i USA IKKE må kunne få adgang til data. Eleverne skriver jo personlige stile, afleveringsopgaver mv. i G-Suite værktøjer og snakker sammen i google meet osv.

Uanset hvad de vælger i G-suite settings kan en medarbejder (ihvertfald sysadmin) fra USA da tilgå data.. Mener datatilsynet at EUs fortolkning af GDPR er forkert, eller ?

»Datatilsynet har lagt til grund, at det fremgår af databehandleraftalen, og mulighederne for konfiguration af de enkelte enheder, at data også persondata kan styres sådan, at dette, ikke behandles uden for EU/EØS, at oplysningerne om den enkelte bruger vil kunne dataminimeres til et alias,« skriver tilsynet.</p>
<p>Man konfigurere systemet på en måde, så den data - herunder persondata - der skabes ved elevernes brug af G Suites kerneprogrammer, kun kan tilgås af den enkelte elev og kommunes autoriserede administrator.

Okay; hvad står der egentlig her?

Kan man konfigurere en enhed, så server-data ikke lagres i ikke-EU-lande? Hvorledes kan dette rent praktisk lade sig gøre? Er det blot en vild påstand fra Microsoft?

Eller bør man oprette en fælles konto for eleverne, som de så logger ind på for at bruge Google, og derved sløre den enkelte elev? I så tilfælde: hvorledes vil man holde hver enkelte elevs data adskilt fra alle de andre elever? Vil denne løsning overhovedet være mulig i det hele taget?

Min 12årige datter bruger google suite via skolen. hun har lige skrevet en stil hvor hun tilkendegiver at hun er kristen. tror ikke hun er den eneste... og jeg har i hvert fald ikke skrevet under på noget ifht til om hun må bruge google suite

Det er en lidt overraskende oplysning, at det man foretager sig på Youtube ikke siger noget om ens adfærd. Reklamesælgerne hos Youtube vil vist have en lidt anden opfattelse.

De oplysninger, der utilsigtet er delt med Youtube, er almindelige personoplysninger, som ifølge kommunen ikke giver mulighed for at kontakte barnet eller kan bruges til at sige noget om elevens adfærd.

Jeg skal fortælle hvad risikoen er....

Det som børnene skriver kommer i hænderne på Google. Den kommunikation der måtte være mellem børnene og lærerne kommer i hænderne på Google. Den kommunikation der måtte være mellem lærerne og forældrene risikerer at komme i hænderne på Google.

At man, som offentlig myndighed, kan have det fint med at outsource datastorage af følsomme data, som f.eks. når børnene skriver om deres oplevelser i deres hjem, ferier etc. og når der kommunikeres om besværligheder eller udfordringer mellem lærer og hjem, er mig totalt uforståeligt.

Samtlige kommuner burde bruge alternative inhouse (eller i det mindste in state hostede) løsninger.