Artikel top billede

Gymnasiernes intranet er pivåbent - og flyder over med personoplysninger

Flere gymnasier lader personlige oplysninger om lærernes sygemeldinger og ekstraundervisning ligge frit fremme på intranettet Lectio. Det er på kant med persondata-lovgivningen, vurderer flere eksperter.

En kvindelig lærer på et midtjysk gymnasium holdt sig mandag i sidste uge hjemme fra arbejde for at afholde en såkaldt omsorgsdag.

Den efterfølgende onsdag afholdt den samme lærer - sammen med en navngiven elev - en ekstratime i faget dansk.

De oplysninger kan man finde på skoleintra-systemet Lectio.dk, hvor den kvindelige lærers personlige kalender ligger frit tilgængelig, så alle internetbrugere kan se den - vel at mærke uden brug af bruger-id og password.

På Lectio kan man også se ugeskemaer for samtlige lærere og elever på skolen.

Det midtjyske gymnasium er langt fra det eneste eksempel på, at gymnasier og andre ungdomsuddannelser og voksenuddannelsescentre lægger mere eller mindre personlige oplysninger om lærere og elever ud på den del af Lectio, som er frit tilgængelig på nettet.

På sidste uges skema for et stort københavnsk gymnasium kan man eksempelvis finde navne og initialer på 19 lærere, som i en eller flere dage var fraværende fra skolen.

Gymnasiernes ansvar

Det er gymnasierne selv, der står med ansvaret for, hvilke oplysninger, der lægges ud på Lectio. På nogle skoler er et meget begrænset, hvad man som udenforstående har adgang til.

Men ifølge flere it-jurister er eksemplerne med oplysninger om læreres sygemeldinger tæt på at være i strid med lovgivningens bestemmelser om beskyttelse af såkaldt særligt personfølsomme oplysninger.

Personfølsomme oplysninger er i loven defineret som data, der oplyser om en persons race, etniske oprindelse, politiske eller religiøse overbevisning, seksuel orientering og - som i de eksempler Computerworld har gravet frem oplysninger om helbred.

"Nogen kan opfatte, at det er problematisk, at der er fri adgang til oplysninger om, at man som elev har særlige problemer fagligt at eller personligt, eller bare hvornår man opholder sig på skolen, og hvilket lokale man er i," siger it-advokat Martin von Haller Grønbæk fra firmaet Bird&Bird.

Tvivler på lovlighed

Han peger på, at det ofte i praksis kan være umuligt at sige nej til, at ens oplysninger bliver delt med andre, fordi et nej vil gøre det praktisk umuligt at fungere i hverdagen på eksempelvis en skole.

"Så i praksis vil man ikke kunne sige nej til det her. På samme måde, som det kan være svært at sige nej til Facebook eller Googles anvendelse af personlige data," siger Martin von Haller Grønbæk.

Lektor på Juridisk Institut på CBS i København, Jan Trzaskowski, er ekspert i persondatalovgivningen.

Han fastslår, at det er gymnasieskolerne selv, der som dataansvarlig har ansvaret for håndtering af elever og læreres data.

"Der er i udgangspunktet ingen problemer i at etablere et intranet, hvor der kan udveksles personoplysninger om og mellem elever og undervisere. Men som udgangspunkt skal man dog begrænse adgangen og behandlingen af personoplysninger til, hvad der er nødvendigt for formålet," siger han.

"Jeg har svært ved at finde begrundelsen for, at sådanne oplysninger skal være tilgængelige for andre skoler eller offentligheden. Det kan næppe legitimeres ud fra formålet med et etablere et intranet," siger Jan Trzaskowski.

Skal tænke sig om

I Gymnasierektorernes forening, Danske Gymnasier, opfordrer formand Anne Birgitte Rasmusen de enkelte gymnasier til at tænke sig om, før de lægger personoplysninger på Lectio.

"Man skal som skole altid overveje, hvilke oplysninger det er hensigtsmæssigt, man umiddelbart kan få adgang til. I det øjeblik, der kommer en afgørelse, der viser at vi overtræder loven, så vil vi naturligvis tale med skolerne om det," siger hun.

Computerworld har tidligere beskrevet, hvordan Lectio-systemet siden 1. april i år ikke har levet op til et krav om en særlig it-revisionserklæring. 

Kravet om revision er stillet af Undervisningsministeriet, som på den måde vil sikre, at Lectio har tilstrækkelig datasikkerhed og beskyttelse af brugernes personlige data.

Læs også:

Manglende godkendelse kan lukke stort it-system i gymnasierne - 9 ud af 10 gymnasier kan blive ramt

Store udfordringer for it-afdelingen: Disse fire ting skal du have styr på i den nye EU-persondatalov