Gymnasiernes intranet er pivåbent - og flyder over med personoplysninger

Flere gymnasier lader personlige oplysninger om lærernes sygemeldinger og ekstraundervisning ligge frit fremme på intranettet Lectio. Det er på kant med persondata-lovgivningen, vurderer flere eksperter.

En kvindelig lærer på et midtjysk gymnasium holdt sig mandag i sidste uge hjemme fra arbejde for at afholde en såkaldt omsorgsdag.

Den efterfølgende onsdag afholdt den samme lærer - sammen med en navngiven elev - en ekstratime i faget dansk.

De oplysninger kan man finde på skoleintra-systemet Lectio.dk, hvor den kvindelige lærers personlige kalender ligger frit tilgængelig, så alle internetbrugere kan se den - vel at mærke uden brug af bruger-id og password.

På Lectio kan man også se ugeskemaer for samtlige lærere og elever på skolen.

Det midtjyske gymnasium er langt fra det eneste eksempel på, at gymnasier og andre ungdomsuddannelser og voksenuddannelsescentre lægger mere eller mindre personlige oplysninger om lærere og elever ud på den del af Lectio, som er frit tilgængelig på nettet.

På sidste uges skema for et stort københavnsk gymnasium kan man eksempelvis finde navne og initialer på 19 lærere, som i en eller flere dage var fraværende fra skolen.

Gymnasiernes ansvar
Det er gymnasierne selv, der står med ansvaret for, hvilke oplysninger, der lægges ud på Lectio. På nogle skoler er et meget begrænset, hvad man som udenforstående har adgang til.

Men ifølge flere it-jurister er eksemplerne med oplysninger om læreres sygemeldinger tæt på at være i strid med lovgivningens bestemmelser om beskyttelse af såkaldt særligt personfølsomme oplysninger.

Personfølsomme oplysninger er i loven defineret som data, der oplyser om en persons race, etniske oprindelse, politiske eller religiøse overbevisning, seksuel orientering og - som i de eksempler Computerworld har gravet frem oplysninger om helbred.

"Nogen kan opfatte, at det er problematisk, at der er fri adgang til oplysninger om, at man som elev har særlige problemer fagligt at eller personligt, eller bare hvornår man opholder sig på skolen, og hvilket lokale man er i," siger it-advokat Martin von Haller Grønbæk fra firmaet Bird&Bird.

Tvivler på lovlighed
Han peger på, at det ofte i praksis kan være umuligt at sige nej til, at ens oplysninger bliver delt med andre, fordi et nej vil gøre det praktisk umuligt at fungere i hverdagen på eksempelvis en skole.

"Så i praksis vil man ikke kunne sige nej til det her. På samme måde, som det kan være svært at sige nej til Facebook eller Googles anvendelse af personlige data," siger Martin von Haller Grønbæk.

Lektor på Juridisk Institut på CBS i København, Jan Trzaskowski, er ekspert i persondatalovgivningen.

Han fastslår, at det er gymnasieskolerne selv, der som dataansvarlig har ansvaret for håndtering af elever og læreres data.

"Der er i udgangspunktet ingen problemer i at etablere et intranet, hvor der kan udveksles personoplysninger om og mellem elever og undervisere. Men som udgangspunkt skal man dog begrænse adgangen og behandlingen af personoplysninger til, hvad der er nødvendigt for formålet," siger han.

"Jeg har svært ved at finde begrundelsen for, at sådanne oplysninger skal være tilgængelige for andre skoler eller offentligheden. Det kan næppe legitimeres ud fra formålet med et etablere et intranet," siger Jan Trzaskowski.

Skal tænke sig om
I Gymnasierektorernes forening, Danske Gymnasier, opfordrer formand Anne Birgitte Rasmusen de enkelte gymnasier til at tænke sig om, før de lægger personoplysninger på Lectio.

"Man skal som skole altid overveje, hvilke oplysninger det er hensigtsmæssigt, man umiddelbart kan få adgang til. I det øjeblik, der kommer en afgørelse, der viser at vi overtræder loven, så vil vi naturligvis tale med skolerne om det," siger hun.

Computerworld har tidligere beskrevet, hvordan Lectio-systemet siden 1. april i år ikke har levet op til et krav om en særlig it-revisionserklæring. 

Kravet om revision er stillet af Undervisningsministeriet, som på den måde vil sikre, at Lectio har tilstrækkelig datasikkerhed og beskyttelse af brugernes personlige data.

Læs også:

Manglende godkendelse kan lukke stort it-system i gymnasierne - 9 ud af 10 gymnasier kan blive ramt

Store udfordringer for it-afdelingen: Disse fire ting skal du have styr på i den nye EU-persondatalov


mest debatterede artikler

Computerworld
For to år siden nedsænkede Microsoft 864 servere i Nordsøen: Nu er datacenteret på land igen - se resultatet her
Microsoft har efter to år hævet sit undervands-datacenter op af Nordsøen. Her er de erfaringer, selskabet har gjort sig.
CIO
Torben Fabrin og Arla måtte på få dage omstille hele deres produktion da coronaen ramte
Da coronaen ramte verden måtte mejerigiganten Arla på få dage omstille sin produktion. Samtidig voksede salget massivt til supermarkeder mens institutioner og restauranter gik næsten i stå. Hør hvordan Arla kom gennem krisen ved blandt andet være klar med realtime analytics.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
Sådan opbevarer du effektivt og sikkert dine data – også med hybrid cloud
Cloud er her der og alle vegne. Men mange organisationer foretrækker en mere blandet tilgang, hvor dele af virksomhedens workload og it-miljøer sendes i clouden, mens andre dele placeres i andre og ofte lokale datacentre. Det stiller ofte mange forskelligartede krav til behovet for lokal storage. Men med IBM FlashSystem kan du konsolidere dit storage-behov og reducere kompleksiteten. Samtidig er FlashSystem all-flash og hybrid-løsninger bygget på et standardiseret sæt af værktøjer og APIs, som giver dig adgang til enterprise-løsninger uanset størrelsen på din organisation. I dette whitepaper fra Atea og IBM kan du læse om IBMs storeløsninger og de yderligere fordele som du kan opnå med dem.