Datatilsynet er på vej med en henvendelse til næsten halvdelen af landets kommuner om, at de har brudt lovgivningen om beskyttelse af elevernes data, kunne Politiken fortælle mellem jul og nytår.

Det er sket i forbindelse med, at skolerne har brugt Googles skolecomputer Chromebook i undervisningen uden at ændre computernes standardindstillinger, der ikke lever op til EU's persondataforordning GDPR.

Også når det kommer til kommunernes brug af Googles pakke af undervisningsprogrammer, G Suite for Education, lader datasikkerheden noget tilbage at ønske.

Ingen grænser for deling af elevdata

Danmark har 45 såkaldte Google-kommuner, der har en særlig omfangsrig samarbejdsaftale med techgiganten på skoleområdet.

Aktindsigter, som mediet Version2 har fået, viser, at 24 af dem hverken har lavet risikovurdering eller konsekvensanalyse ved at dele elevernes personoplysninger med techgiganten

En af kommunerne er Randers, som oplyser til mediet, at det er normal praksis, at der oprettes Google-konti til alle eleverne, så de kan bruge G Suite for Education.

1.500 Chromebooks på vej i Randers: Lærere bekymrede

Man har som dataansvarlig ansvaret for, at databeskyttelsen er i orden - og det er svært at leve op til, hvis man ikke engang laver en vurdering af risicien ved at bruge et program, siger ekspert i persondataret Ayo Næsborg-Andersen til Version2:

Forsker: Alt for blind tillid til data

"De skal have deres dokumentation i orden, og det har de ikke. Det er simpelthen så grundlæggende det her. Havde det været dagen efter, forordningen var trådt i kraft, så havde jeg måske kunne sige: 'Ok - de skal nå at lave den', men det er altså to et halvt år siden, den trådte i kraft. Det er børn, vi har med at gøre".

Bekymret far fik sagen til at rulle

Sagen, der førte til den kommende røffel fra Datatilsynet, blev startet af Jesper P. Graugaard i august 2019.

Han opdagede, at hans søn havde en konto på Youtube i sit eget, fulde navn, uden forældrene havde givet tilladelse.

Den var oprettet automatisk, fordi den dengang 8-årige søn havde fået oprettet en Google-konto til skolebrug af Helsingør Kommune, der er Google-kommune og har indkøbt Chromebooks til eleverne.

Jesper P. Graugaard glæder sig over, at Datatilsynet nu endelig er på vej med en afgørelse i sagen. Men han undrer sig over, at problemstillingen ikke fylder mere.

Flertal af chromebook-kommuner har svigtet beskyttelsen af elevdata

"Nu snakker vi jo om, at sagen har fået et omfang, der er fuldstændig vanvittigt, og at den er langt mere alvorlig, end jeg havde forestillet mig. Der er jo tale om mange, mange tusind børn, der har fået deres personoplysninger behandlet ulovligt", siger han til folkeskolen.dk/it.

Alligevel oplever han stadig, at folk sammenligner Google-konti til elever til skolebrug med, at de for eksempel også er på sociale medier.

"Alvoren har lidt svært ved at sive ind hos min generation, der jo syntes, det var fantastisk at kunne få en Gmail og komme ud af Microsofts kløer tilbage i 00'erne. Vi har Google-konto, vi er på Facebook, og vi har for længst givet op over for Big Data", siger han.

"Men jeg synes, vi skylder vores børn, at de i det mindste selv kan tage valget, om de vil gøre det samme. Det er vi godt i gang med at fratage dem, og det er i virkeligheden det, der bekymrer mig".

Internettet ud af indskolingen

På samme måde mener Jesper P. Graugaard, at det er på tide, at alvoren går op for landets kommuner, hvor han kort og godt vurderer, at der mangler kompetencer og viden om datasikkerhed i forvaltningerne.

Da han i 2019 havde foretræde for Folketingets uddannelsesudvalg, oplevede han, at politikerne ikke var meget for at udtale sig om, hvad de tænkte om problemstillingen, så længe sagen var i behandling hos Datatilsynet. I stedet ville de meget gerne høre, hvad han synes, man skal gøre.

Alternativet kalder minister i samråd om elevdatalæk fra chromebooks

"Og det spørgsmål skal de jo ikke stille mig. Det skal de jo stille til embedsmænd, eksperter og KL. Det virker ærlig talt, som om der er en rådvildhed fra de ansvarlige på det her område", siger Jesper P. Graugaard.

Skal han alligevel komme med et bud, så ønsker han i første omgang, at digitale devices med internetadgang formenes adgang til indskolingen.

"En ting er, at vi som forældre vælger, om vores børn ned til 3. klasse skal have en smartphone med, hvad dertil hører af ansvar for at tage samtaler om digitale krænkelser og datahøst. Men når det foregår fra en skolecomputer, har vi ikke en chance for at følge med. I mine øjne skal børn ned til børnehaveklassen ikke udstyres med et skoleredskab, der kan gå på internettet. Punktum", siger han.

It-vejledere efterlyser fælles front

Formand i Danmarks it- og medievejlederforening Thomas Dreisig Thygesen understreger, at han gerne vil se den endelige afgørelse fra Datatilsynet, inden han kan vurdere det specifikke problem ordentligt.

"Når det så er sagt, er det selvfølgelig ekstremt vigtigt, at vi er opmærksomme på datasikkerheden i vores skoler og i vores samfund i det hele taget. Hvad det er for typer af data, der indsamles og opbevares i forskellige sammenhænge, hvad data anvendes til, og hvordan vi sikrer, at data ikke bliver misbrugt", siger han.

Thomas Dreisig Thygesen er pædagogisk it-konsulent i Kerteminde Kommune, og han oplever, at der generelt er opmærksomhed på området fra kommunerne.

Men også at det er et område, der er udfordret på både manglende viden, værktøjer og ressourcer til at løse opgaven.

Det norske datatilsyn spørger Google til elevdata

"Jeg tror ikke, der sidder nogen og er ligeglade. Jeg tror rigtig gerne, folk vil arbejde for at styrke datasikkerheden, men at der både kan være forskellige opfattelser af, hvad der er behov for, og at det særligt i små kommuner ganske enkelt kan være svært at finde den viden og de resurser, der skal til", siger han.

Derfor kræver det også et øget fokus på området fra ministerier og KL i samspil med datatilsynet, hvis man skal blive bedre til at se datasikkerheden efter i sømmene, mener Danmarks it- og medievejlederforening.

"Man kunne godt fra centralt hold stille nogle krav til tech-giganterne om, at hvis man skal indkøbe deres løsninger til undervisningen, så skal det leve op til nogle betingelser og muligheden for kontrol. Forhold, som der laves en central aftale på, for spørgsmålet er, om det er realistisk, at hver kommune lander sådan en aftale for sig selv", siger Thomas Dreisig Thygesen og tilføjer:

"Spørgsmålet er sådan set det samme for centralt hold, men slagkraften er trods alt større. Og det er jo ikke sådan, at der ikke findes alternativer, hvis data ikke kan sikres i eksisterende løsninger. Jeg er sikker på, at it-leverandørerne vil spille med, hvis de får lidt modstand".

Folkeskolen.dk arbejder på at få en kommentar fra KL.