Helsingør får alvorlig kritik og påbud for behandling af personoplysninger

Datatilsynet udtaler alvorlig kritik af kommunens ulovlige behandling af personoplysninger, som gav folkeskoleelever mulighed for at lave opslag på YouTube i eget navn via deres skolekonti.
14. SEP 2021 9.34
IT
Kriminalitet
Uddannelse

HELSINGØR: Datatilsynet retter i en ny afgørelse alvorlig kritik af Helsingør Kommune for brud på persondatasikkerheden, fremgår det af tilsynets hjemmeside. Samtidig har kommunen fået påbud om at bringe behandlingen af oplysninger i overensstemmelse med databeskyttelsesforordningen.

Det indebærer, at kommunen inden 1. november skal foretage en risikovurdering af persondatabehandlingen i forbindelse med folkeskoleelevers brug af Chromebook og GSuite. 

Det var ikke meningen, at eleverne skulle anvende andre programmer end kerneprogrammerne i skoleplatformen GSuite, da kommunen introducerede Chromebook og GSuite for Education i folkeskolen. Men da kommunen ikke var opmærksom på en ændring af Googles betingelser for anvendelse, har en række tillægsprogrammer, herunder YouTube, været tilgængelige for skoleeleverne via deres skolekonto.

Eleverne har dermed kunnet lave opslag og kommentere på andres opslag i YouTube, hvor navn, skole og klasse i strid med databeskyttelsesfordningen er blevet offentliggjort i forbindelse med opslaget.

Efter Datatilsynets afgørelse skal kommunen kontakte de registrerede børns forældre med henblik på at rette, anonymisere eller slette personoplysninger, forældrene ikke selv har adgang til, de steder hvor elevernes personoplysninger utilsigtet er offentliggjort eller videregivet.

Risikovurdering skal ske inden udlevering af udstyr

Datatilsynet påpeger i afgørelsen, at både brugen af en Chromebook, oprettelse af elever i systemet og brug af GSuite-grundpakken, udmærket kan konfigureres så kommunens behandling af persondata ikke er i strid med lovgivningen.

Der burde have været foretaget en risikovurdering og konsekvensanalyse inden udlevering af it-udstyr til eleverne, så det forinden stod klart, hvilke sikkerhedsforanstaltninger der var nødvendige af hensyn til beskyttelse af elevernes personoplysninger.

En risikovurdering kommunen har forsømt at gennemføre, ligesom den heller ikke har implementeret tekniske eller organisatoriske foranstaltninger for at sikre elevernes rettigheder i forbindelse med anvendelse af de sociale medier ved brug af deres skolekonto.

Det fremgår også, at kommunen i nogle tilfælde har forsynet elevernes computere med deres login-oplysninger, hvorved enhver med adgang til computeren har kunnet logge ind og få adgang til elevens data og personoplysninger, og lave opslag i deres navn.

sfe

Se datatilsynets afgørelse.