Datatilsynet undersøger muligt brud på håndtering af skolebørns data i Aarhus

24.000 aarhusianske skoleelever fik efter sommerferien stillet en bærbar computer - kaldet en Chromebook - til rådighed. Men nu viser det sig, at børnenes databeskyttelse kan være i fare, fordi et præinstalleret program deler data med et land uden for EU.

Datatilsynet har på baggrund af en artikel i netmediet Version2 indledt en sag over for Aarhus Kommune, der til en begyndelse bliver stillet en række spørgsmål.

Allan Frank, IT-sikkerhedsspecialist hos Datatilsynet, sidder med den konkrete sag. Han kan endnu ikke sige noget om alvorligheden.

"Børn har en særlig beskyttelsesstatus. Her har vi en situation, hvor kommunen siger til skolerne, at de skal benytte et bestemt værktøj. Så har man også forpligtigelse til at undersøge, om man kan det inden for de gældende regler," siger sikkerhedsspecialisten, som forklarer, at han bl.a. har spurgt kommunen om, hvad man har gjort for at beskytte børnenes data, om der er lavet en risikovurdering, om man har vurderet, hvor informationerne flyder hen, og hvilke tanker kommunen generelt har gjort sig.

Alvorlige konsekvenser

Baggrunden er, at der på elevernes Chromebook er præinstalleret Google-programmet G Suite for Education. Næsten alt hvad eleverne taster ind i programmet, bliver gemt i tech-gigantens datasky. Men som følge af en dom fra EU-domstolen i sommer kaldet Schrems-II dommen, er der ikke noget lovgrundlag for at sende data til USA i forbindelse med lagring i dataskyer.

Ifølge Allan Frank er der en række sanktionsmuligheder i sådanne sager. I den blide ende kan kommunen få at vide, at den skal tænke sig bedre om, og der bliver udtalt kritik. Der kan komme et påbud om at gøre noget bestemt. Hvis det er helt galt, kan der komme et forbud mod at bruge programmet, og i yderste tilfælde er det en bødesag.

Allan Frank forklarer, at han endnu ikke ved nok om sagen til at blive særlig konkret. Men han kan godt komme med generelle bud på, hvilke konsekvenser manglende databeskyttelse kan få.

"Hvis det viser sig, at børnenes data hældes ud på nettet, kan det bruges til at profilere børnene, så man kan lave målrettet reklame. I den mere alvorlige udgave kan en forældre med tilhold måske finde ud af, hvor et barn går i skole. Det kan have ret alvorlige konsekvenser," siger han.

Stopper ikke

Digitaliseringschef i Børn og Unge, Ole Hersted Hansen, maner til besindighed. Han understreger, at Aarhus Kommune tager datasikkerheden meget alvorligt.

Problemstillingen er ifølge ham, at der er kommet ekstra krav, men at EU databeskyttelsesråd først kom med deres analyser og anbefalinger som opfølgning på dommen i november måned 2020, og at det må forventes, at det tager noget tid for myndigheder såvel som virksomheder, at løse den meget svære problemstilling.

"Vi har allerede drøftelser med vores leverandør om, hvordan de vil leve op til kravene fremadrettet. Vi ved, at der er noget, som skal løses, men vi stopper ikke med at bruge softwaren af denne årsag. Det vil betyde at man ikke kan undervise fra den ene dag til den anden," siger Ole Hersted Hansen.

Digitaliseringschefen understreger, at der i G Suite for Educations skylagring opbevares skolebørnenes navne, klasser, skole, skolemailadresse samt de dokumenter, børnene arbejder med. Men der må ikke være følsomme personoplysninger i miljøet, og dataene befinder sig i et lukket økosystem, hvor google ikke må bruge disse til andre formål end dem, kommunen bestemmer.