Annonce
Helsingør

Tilsyn giver Helsingør Kommune et hak: Advarsel og skarp kritik af manglende datasikkerhed for skoleelever

Loven om persondatasikkerhed har været overtrådt i forbindelse med de Chromebooks, som alle skoleelever får udleveret i Helsingør Kommune, fastslår Datatilsynet. Arkivfoto: Lars Johannessen.
Ifølge Helsingør Kommune gik der to timer efter kommunen konstaterede at følsomme data var fuldt tilgængelige til alle data var slettede. Men kommunen har slet ikke gjort nok lyder det i en skarp reprimande fra Datatilsynet mere end halvandet år senere.

Navneoplysninger om elever, der skulle være beskyttede, blev frit tilgængeligt på nettet. Samtidig var elevernes loginoplysninger påklistret på deres skolecomputere, så alle der fik adgang til computeren uden problemer kunne få adgang til deres konti.

Det var disse forhold, der i januar 2020 fik to forældre til at klage over Helsingør Kommunes håndtering af datasikkerheden for kommunens skoleelever.

På det tidspunkt kritiserede den ene af forældrene kommunen for at forsøge at lægge låg på sagen, blandt andet ved ikke at indberette forholdene til Datatilsynet.

Annonce

Slettet efter to timer

Den anklage blev håndfast tilbagevist af direktør Lars Rich.

- Vi lukkede hullet og slettede alle data, to timer efter at vi blev bekendt med fejlen. Vores vurdering var, at der ingen grund var til at gøre en masse forældre bekymrede. Med den drejning, sagen har taget, burde vi have grebet det anderledes an. Jeg er ærgerlig over, at det bliver fremstillet som et forsøg på at lægge låg på, siger Lars Rich.

I dag har Helsingør Kommune endnu mere grund til at være ærgerlig over forløbet. I dag, 20 måneder senere, kritiser Datatilsynet i en 13 sider lang, teknisk tung, endelig afgørelse kommunen på en lang række områder, og blandt andet slår fast at Helsingør Kommune i denne sag har overtrådt reglerne om persondatasikkerhed.

Annonce

Trues med bøde eller fængsel

Samtidig pålægges kommunen at stramme sikkerheden på en række områder senest den 1. november. Bliver påbuddet ikke efterlevet truer Datatilsynet med en straf i form af bøde eller sågar fængsel i op til seks måneder, jævnfør databeskyttelseslovens paragraf 41, stk 2, nr. 4. Og det er endda, skriver Datatilsynet i sin afgørelse "med mindre højere straf er forskyldt".

Det er dog usandsynligt, at sagen skulle ende med hverken bøde eller fængsel for kommunens ansatte. Direktør Lars Rich slog nemlig allerede i januar 2020 fast, at hvis Datatilsynet mente, at dette var en sag, der skulle meldes som et brud på persondatasikkerheden, så ville kommunen gøre det, og det gjorde man den 29. januar 2020. Det skulle dog være sket allerede 72 timer efter at man havde opdaget forholdet, påpeger Datatilsynet.

Kommunen har også tænkt sig at efterleve de påbud, der nu er givet, selvom man først skal sætte sig ind i indholdet af den teknisk tunge og lange afgørelse.

Annonce

Sikkerhedsrisiko

Hele sagen udspringer ironisk nok af noget, der burde være en bonus for eleverne, nemlig at de får Google Cromebooks i forbindelse med undervisningen. Helsingør var en af landets første kommuner til at give eleverne computere og adgang til nettet. Men netop det sidste rummer en sikkerhedsrisiko, som Helsingør Kommune ifølge Datatilsynet ikke har taget alvorligt nok.

Sagens kerne er, at hver elev får en Google-konto, som eleven så har kunnet bruge i en række sammenhænge. Kontoen er en forudsætning for at kunne bruge undervisningssystemet G-Suite.

Vi tager Datatilsynets afgørelse til efterretning, og kan konstatere, at vi ikke er helt i mål, da tilsynet har pålagt os også at udarbejde en risikovurdering.

Direktør Lars Rich

Problemet har været, at kontoerne har fået elevernes fulde navn, og ikke mindst, at det navn så kan ses, når eleverne kommenterer noget på YouTube. Det gælder desværre også for elever, der har haft beskyttede navne- og adresseoplysninger. De har også fået deres fulde navn vist sammen med oplysninger om hvilken skole de går på.

Det var den fejl, som Helsingør Kommune efter eget udsagn rettede så snart man blev opmærksom på den.

Annonce

Påbud

Men man skulle have gjort meget mere, mener Datatilsynet, der derfor har givet kommunen et påbud om at bringe brugen af Chromebooks i overensstemmelse med databeskyttelsens artikel 58.

På jævnt dansk vil Datatilsynet have kommunen til at gøre følgende inden 1. november:

- Risikovurdere og eventuelt konsekvensalanalysere behandlingerne i Chromebooks og G-Suite, der afspejler de strømme af persondata behandlingerne indebærer.

Samtidig udtaler Datatilsynet "alvorlig kritik" af kommunens behandling af personoplysninger ikke har været i overensstemmelse med en stribe af databeskyttelsesforordningens artikler.

Helsingør Kommune er langt fra den eneste kommune, der er havnet i denne situation, der opstod, da Google i 2019 via kontoen gav adgang til en række tjenester, blandt andet YouTube uden at alle kommuner var helt opmærksomme på hvad det medførte.

Annonce

"Vi er ikke helt i mål"

Helsingør Kommune vil efterleve påbuddet, fortæller direktør Lars Rich.

- Vi handlede i 2019 resolut på udfordringerne, da vi blev klar over problemet, og ændrede i systemopsætninger og interne procedurer, for at sikre datasikkerheden mest muligt. Vi tager Datatilsynets afgørelse til efterretning, og kan konstatere, at vi ikke er helt i mål, da tilsynet har pålagt os også at udarbejde en risikovurdering. Det arbejde har vi derfor igangsat med det samme, vi fik afgørelsen, så den ligger klar inden den 1. november. Samtidig gennemgår vi afgørelsen grundigt, for at sikre os, at vi har været hele vejen rundt. Og så vil vi i vores fremadrettede vurdering af cromebook være meget optaget af hvordan de mange andre kommuner, der bruger produktet vurderer datasikkerheden, så vi alle kan lære mest muligt af denne sag og hinanden, siger han.

Annonce
Helsingør For abonnenter

Kæmpe kloakregning på vej til lokale boligejere: - Det er ikke rimeligt

Nordsjælland

Følg med her: Få seneste nyt om trafik og politi

Danmark

Torsdagens coronatal: Antallet af indlagte falder med 14

Annonce
Annonce
Annonce
Helsingør For abonnenter

Koster tæt på en milliard kroner: Her skal Espergærdes veje og indkørsler graves op, så kloakvandet ikke ender i Øresund

Erhverv For abonnenter

Festen udebliver for de erhvervsdrivende til kulturnat i Hornbæk: - Vi tjener ikke på det

Debat

Klumme: Udflugter til udkanten

Sport

Stadig ingen point: - Det er alt for tidligt at bekymre sig

Helsingør

Natteaktion i Helsingør: 12 røg i politiets fælde

Navne For abonnenter

Claus så sin datter blive gift fra sengen på hospicet: Børn og børnebørn betød alt for ham

Debat

Tager mor det hele, så fint. Tager far det hele, så lige så fint

Nordsjælland

Følg med her: Få seneste nyt om trafik og politi

Helsingør

Gik selv ind i Kronborg Røgeri for at 'hente sin løn': Nu har lokal fiskehandler fået sin dom

Erhverv

Stjerneadvokat afsløret: Skal betale millionbeløb tilbage

Sport

FC Helsingør i direkte duel om førstepladsen: - Vi er et fuldstændig fantastisk sted

Helsingør For abonnenter

Beboere frygter 48 meter høj mobilmast: Det smadrer landsbyen

Debat

Normalen er og bør ikke være først at få bad efter en måned

Annonce