Listen over kommuner, der har brudt skoleelevers persondatasikkerhed, bliver længere og længere.

Før jul havde Datatilsynet blot en enkelt sag om en kommune, der uretmæssigt havde videregivet elevers data til YouTube og andre Google-tjenester. Nu har tilsynet i alt ni sager, viser en aktindsigt, Politiken Skoleliv har fået.

Fakta Sagen kort Datatilsynet modtager flere og flere anmeldelser af brud på elevers datasikkerhed i skolerne. 20. januar - Politiken bringer historien om Helsingør Kommune, der har videregivet elevers data til Google-ejede YouTube. En far opdager sit barns oplysninger på mediet uden forældrenes samtykke. Helsingør Kommune vælger ikke at anmelde sagen til Datatilsynet.

- Politiken bringer historien om Helsingør Kommune, der har videregivet elevers data til Google-ejede YouTube. En far opdager sit barns oplysninger på mediet uden forældrenes samtykke. Helsingør Kommune vælger ikke at anmelde sagen til Datatilsynet. 21. januar - Politiken bringer historien om, at Odense er den eneste kommune, der har anmeldt et lignende sag om brud på elevernes datasikkerhed til Datatilsynet. It-sikkerhedskonsulent Allan Frank vurderer, at det nu vil skyde op som padehatte.

- Politiken bringer historien om, at Odense er den eneste kommune, der har anmeldt et lignende sag om brud på elevernes datasikkerhed til Datatilsynet. It-sikkerhedskonsulent Allan Frank vurderer, at det nu vil skyde op som padehatte. 24. januar - Flere kommuner lukker ned for elevernes adgang til YouTube i skoletiden. De pågældende kommuner kan ikke afvise, at elevers data utilsigtet er blevet delt.

- Flere kommuner lukker ned for elevernes adgang til YouTube i skoletiden. De pågældende kommuner kan ikke afvise, at elevers data utilsigtet er blevet delt. 29. januar - Tårnby og Ballerup har nu anmeldt brud på elevernes datasikkerhed til Datatilsynet.

- Tårnby og Ballerup har nu anmeldt brud på elevernes datasikkerhed til Datatilsynet. 31. januar - Sagerne i Datatilsynet hober sig op. Før jul lå der blot én anmeldelse. Slut januar er der mindst ti sager.

Vis mere

Derudover er der mindst en sag mere undervejs.

Siden 20. januar i år har Datatilsynet modtaget sager fra Skanderborg, Ishøj, Hvidovre, Ballerup, Sorø, Holbæk og Glostrup, mens Tårnby ligeledes har anmeldt en sag, som dog ikke er registreret endnu.

Den første sag fra efteråret omhandler Odense Kommune, som havde anmeldt et brud på persondatasikkerheden, der kunne omfatte op til 8.000 personer. I slutningen af december modtog Datatilsynet en klage fra Helsingør Kommune, som Politiken beskrev i sidste uge.

Alle sager omhandler utilsigtet videregivelse eller offentliggørelse af elevernes fulde navn - og i flere tilfælde skole og klassetrin - uden udtrykkelig samtykke fra elev eller forældre.

I alle sager bliver de pågældende skolers brug af Chromebooks eller Googles skoleplatform GSuite for Education nævnt som kilden til bruddet.

Politiken Skoleliv har bedt Google om at forholde sig til de stigende antal sager, og den ansvarlige hos Google for Education for Europe Liz Sproat maner til besindighed.

»For at gøre det helt klart: Når Google leverer GSuite for Education til skoler i Danmark, sker det under udførlige databehandleraftaler. Både GSuite og Chrome-operativsystemet er i overensstemmelse med GDPR og beskytter dermed brugernes data. Chromebooks sælges af hardwareproducenter til skoler gennem lokale forhandlere og ikke direkte af Google,« skriver Liz Sproat i en mail.

»Der bliver heller ikke vist reklamer i GSuite for Education, og data bliver ikke brugt til kommercielle formål. Når det gælder YouTube, er det slet ikke en del af GSuite og er som andre tjenester slået fra som standard. Selv hvis en kommune vælger at slå den til, vil brugerne ikke være underlagt f.eks. målrettet annoncering, når de er logget ind på deres GSuite for Education-konto,« skriver Liz Sproat yderligere.

YouTube lukkes

Der hersker ikke desto mindre tvivl og bekymringer ude i de danske skoleforvaltninger. Det er indtrykket, der står tilbage, når man har læst alle aktindsigterne.

I Ishøj Kommune kan man blandt andet læse, at elever og ansatte siden 2017 har kunnet »lægge data op på Google-ejede Blogger, Google+ og YouTube uden nogen databehandleraftale.«

Det kan berøre op til 3.000 personer, skriver de, og fejlen blev opdaget 21. januar 2020.

I Skanderborg Kommune får eleverne oprettet en skolekonto til Google af it-afdelingen, når de modtager en Chromebook. Der var i forvejen lukket ned for anvendelsen af Google Drev og Gmail, fremgår det. Men der er ikke blevet lukket ned for YouTube. Det betyder, »at elevernes data potentielt kan være videregivet til YouTube uden forældrenes samtykke,« står der i anmeldelsen.

Det potentielle brud kan påvirke op til 1.600 personer og blev opdaget 20. januar.

I anmeldelsen fra Holbæk Kommune kan man læse, at »ved opsætning af ny skolestruktur har det i perioden november 2019 fremtil 24. januar 2020 været muligt for elever under 13 år at uploade og kommentere video på Youtube. Hvis en elev har gjort dette, fremgår elevens navn, klasse og skole.«

I Hvidovre er det en bekymret mor til en specifik skole, der har sendt en klage. I klagen kan man læse, at moderen har kunnet finde sønnens fulde navn, den by, han befandt sig i, samt skole og klassetrin på YouTube. Det er uden forældrenes samtykke og på trods af forsikringer om, at elevernes oplysninger ikke vil kunne findes på nettet, står der i klagen.

I de fleste sager har kommunerne som konsekvens lukket ned for elevernes adgang til YouTube.

Der vil komme flere sager

I en række af sagsakterne kan man læse, at det er de seneste ugers medieomtale, der har gjort kommuner og forældre opmærksomme på problemerne.

Mandag i sidste uge kunne Politiken fortælle, hvordan Helsingør Kommune havde videregivet elevers personoplysninger til det Google-ejede YouTube. Det var en forælder til en elev, der opdagede fejlen og kontaktede Helsingør Kommune, der valgte ikke at anmelde sagen til Datatilsynet.