Gymnasieelevers oplysninger ligger (stadig) frit tilgængeligt

Blog. Det er en gåde, at gymnasiernes intranet Lectio trods advarsler fortsat kan lade elevoplysninger for elever på en lang række danske gymnasier og erhvervsuddannelser ligge frit tilgængeligt på internettet. De data burde være spærret inde bag lås og slå.

Høje Tåstrup Gymnasium er kendt for deres pioneer-arbejde inden for uddannelse af elever med asperger-diagnoser, og deres hjemmeside fortæller, at disse såkaldt ASP- eller SAFE-klasser i 2018 er 1.u, 1.z og 1.s. For at kunne være elev i disse klasser, skal man have en asperger-diagnose. Eller man kan sige; alle elever i disse klasser har (i hvert fald) en asperger-diagnose.

Lectio er gymnasiernes ”intranet”, som flere omgange er blevet kritiseret for at lægge gymnasieelevers skemaer offentligt tilgængeligt. Helt ned på den enkelte elevs navn. Prins Nicolai var eksemplet på hvordan man via Lectio og Herlufsholms Kostskole kunne finde ud af, præcis i hvilket klasselokale Prins Nicolai var på hvilket tidspunkt. Prins Nicolai er nu ude af gymnasiet, men Prins Felix er nu elev. Og uanset medie-omtale og kritik, ligger oplysningerne stadig frit tilgængelige, så skulle nogen ville have fat i Prins Felix eller måske en politikers barn, så kan man nemt finde ud af hvornår man kan træffe dem i skolen. Hvis de vel at mærke går i gymnasiet, herunder også en række HF, VUC og erhvervsuddannelser.

I eksemplet med Høje Tåstrup Gymnasium, kan Lectio vise os navnene på eleverne i 1.u, 1.z og 1.s. Disse elever og formentlig også eleverne i 2.u, 2.z, 2.s, 3.u.,3.z og 3.s er elever med (i hvert fald) asperger-diagnoser, som ligger frit tilgængeligt.

Juridisk set er der tale om personoplysninger i både eksemplet med Prins Felix og eleverne i ASP-klasserne, og offentliggørelsen af oplysningerne via Lectio er en behandling omfattet af GDPR og Databeskyttelsesloven.

Uanset at der er en lang række person- og indenrigssikkerhedsmæssige aspekter ved at det meget nemt er muligt at finde ud af, præcis hvor Prins Felix er og på hvilket tidspunkt, så er eksemplet med Høje Tåstrup langt mere problematisk ud fra et persondataretligt synspunkt.

En asperger-diagnose er en helbredsoplysning omfattet af den særlige kategori er personoplysninger, som vi normalt betegner personfølsomme. GDPR åbner kun en begrænset mulighed for at behandle den slags oplysninger, og det kommer næppe som en overraskelse af offentliggørelse af en helbredsoplysning af denne karakter ikke ligger inden for lovlig behandling.

Man kan imidlertid stille sig spørgsmålet om, hvorfor nogen af oplysningerne om elever – og deres lærere – overhovedet skal ligge offentligt tilgængeligt. Der mangler et sagligt legitimt formål og oplysningerne burde være låst bag i det mindste et bruger-login.

Datatilsynet har siden februar overvejet, om man skulle tage sagen om Lectio op af egen drift, og ifølge Berlingske, som også har beskrevet sagen igen, sker det nu. Det er en vurdering, som Datatilsynet kan foretage. Men det kan også være, at den noget langsommelige behandling kortsluttes ved, at der rejses en klage fra en eller flere af de konkrete elever, som Datatilsynet skal behandle, herunder om der er grundlag for en bøde. En bøde, som det vel at mærke i eksemplet ovenfor er hhv. Høje Tåstrup Kommune og Næstved Kommune/Herlufsholm Kostskole, i hvert fald vil blive pålagt som dataansvarlige. Måske Lectio kan anses for at have overtrådt sine forpligtelser som databehandler efter GDPR artikel 28, og kan påføres et selvstændigt ansvar, men pilen peger i første omgang på den dataansvarlige.

Det er i hvert fald en gåde, at Lectio trods advarsler fortsat praktiserer den omfattende offentliggørelse af elevoplysninger for elever på en lang række danske gymnasier og erhvervsuddannelser. Både for nuværende elever, men også for elever helt tilbage til 2004. Men det er en endnu større gåde, at skolerne/kommunerne fortsat accepterer det fra en af deres leverandører og at Datatilsynet på så oplagt en problemstilling, ikke har taget affære. Det svækker tilliden til håndhævelsen, og det understøtter den almindelige opfattelse af, at Datatilsynet jo alligevel ikke opdager noget eller har ressourcer til noget som helst, så ingen grund til at leve op til de regler. Med høj risiko for personen til følge.

Martin Holbøll, direktør i Macom, der står bag Lectio, afviser i Berlingske at svare på spørgsmål, om Macom vil imødekomme kritikken beskytte oplysningerne om eleverne bag et login.

Comments are closed.

Password Reset
Please enter your e-mail address. You will receive a new password via e-mail.