Skolernes fælleskommunale kommunikationsplatform Aula har i sine første levemåneder haft adskillige datalæk, viser aktindsigt.

Kommunerne har haft 165 datalæk i Aula

Især oplysninger om forældremyndighed har været omdrejningspunkt for sager om manglende datasikkerhed i skolernes nye kommunikationsplatform.

Publiceret

Bemærk

Denne artikel er flyttet fra en tidligere version af folkeskolen.dk, og det kan medføre nogle mangler i bl.a. layout, billeder og billedbeskæring, ligesom det desværre ikke har været teknisk muligt at overføre eventuelle kommentarer under artiklen.

Siden Aula gik i luften i oktober sidste år, har kommunerne indrapporteret 165 potentielle læk af personfølsomme oplysninger relateret til skolernes nye kommunikationsplatform. Det viser en aktindsigt, som fagbladet Folkeskolen har fået hos Datatilsynet.

Kommunerne skal inden for 72 timer meddele tilsynet, hvis de har mistanke om, at følsomme oplysninger kan have været tilgængelige for uvedkommende.

Aktindsigten viser, at 64 kommuner har indrapporteret til Datatilsynet, at oplysninger om forældremyndighed er lækket i forbindelse med en opdatering af Aula i starten af februar. Her var oplysninger om, hvem der har forældremyndigheden over eleverne, i to døgn tilgængelige i webversionen af Aula for alle forældre og ikke blot for lærerne, som det burde være tilfældet.

Det skyldes ifølge firmaet bag Aula, kommunernes it-fællesskab Kombit, en menneskelig fejl hos Netcompany, der udvikler platformen.

»Der er tale om en regulær udviklerfejl. Et databrud i klassisk forstand. Der skulle foretages en ændring i Aula, og i den forbindelse bliver der ikke tjekket af, at forældremyndighedsboksen kun skal vises for lærere«, siger Frank Stjerne, driftsansvarlig i Kombit.

Da Kombit blev opmærksom på problemet, blev der lukket for alle brugeres adgang til oplysninger om forældremyndighed, indtil det fra udviklernes side var sikret, at kun lærerne havde adgang til dem, oplyser Frank Stjerne.

»Efterfølgende har vi indført automatiserede test, der skal sørge for, at en tilsvarende fejl ikke kan ske igen«, siger han.

Skoler skal selv melde domme ind

Oplysninger om forældremyndighed spiller også en rolle i en anden type datalæk, der har tiltrukket sig stor opmærksomhed. Blandt andet i en meget omtalt sag fra Køge Kommune, hvor en biologisk far uden forældremyndighed trods adressebeskyttelse fik adgang til oplysninger om elevens skole og bopæl.

Køge Kommune har i sin anmeldelse til Datatilsynet skrevet, at det kan få »betydelige konsekvenser«, hvis den biologiske far bruger oplysningerne til at opsøge eleven.

Her skyldes lækket ifølge Kombit ikke en fejl i selve Aula, men i kommunernes måde at anmelde oplysninger på til de systemer, Aula trækker data fra.

Hvis en forælder for eksempel bliver frakendt forældremyndigheden i retten, går der typisk en til to uger, inden det er registreret i CPR-registeret. Skolen får til gengæld hurtigt underretning om afgørelsen og skal manuelt tjekke af i Tabulex eller KMD Elev, at forælderen ikke længere har forældremyndighed. Derfra flyder oplysningen i løbet af et par minutter over i ministeriets database med skolegrunddata og natten efter videre ind i Aula.

Aula trækker nemlig alle sine data fra Styrelsen for It og Lærings grunddatabase, der trækker på indberetninger fra CPR-registeret og kommunernes indberetninger i Tabulex og KMD Elev. Ved at tjekke oplysninger om forældremyndighed af i Tabulex eller KMD Elev kan skolerne derfor sikre, at Aula hurtigere får de rigtige oplysninger, end hvis data skal igennem CPR-registeret først, understreger Kombits driftansvarlige.

»Aula er en kommunikationsplatform, ikke en databehandlerplatform. Aula gør ikke andet end hver nat at trække data fra ministeriets database og vise det for brugerne. Er data her ikke korrekt, indlæser og viser Aula, læringsplatforme og andre it-systemer, der trækker på samme data, noget forkert«, forklarer Frank Stjerne.

Databrud spænder vidt

Karakteren af de anmeldte databrud spænder vidt. Mange henvendelser fra kommunerne går for eksempel på, at brugere i Aula får samme profilbillede vist på tværs af institutioner, selv om der kun er givet samtykke til, at det bliver vist som profilbillede ét sted. Det er i strid med EU's persondataforordning GDPR.

Også vurderingen af konsekvenserne af mange datalæk divergerer meget. I Køge Kommune blev både myndigheder og plejefamilie sat i øget beredskab, da en far uden forældremyndighed fik adgang til oplysninger om en elevs skole og adresse.

I Aarhus Kommune fik 236 personer i januar oplysninger om forældremyndighed udstillet for andre Aula-brugere. I ti tilfælde havde børnene beskyttet adresse. Kommunen kunne dog efter en undersøgelse konkludere, at ingen af de pågældende var forsøgt søgt frem i systemet, mens oplysningerne var tilgængelige, hvorfor kommunen valgte ikke at kontakte de berørte.

Forbeholdt de mange datalæk siger KL i et skriftligt svar: »De eksempler, vi har set på databrud, er meget beklagelige, og det er også noget, vi er opmærksomme på. Vi har tidligere vendt med Social- og Indenrigsministeriet, at der muligvis er nogle udfordringer i forhold til opdateringer i CPR-registeret, og det vil vi følge op på, i forhold til om der kunne være behov for ændringer eller klarere anbefalinger«, siger Pia Færch, kontorchef i KL.