Private oplysninger flyder frit tilgængeligt på gymnasieplatform – Datatilsynet går ind i sagen

Danske Gymnasier advarer om, at alle og enhver kan finde oplysninger om eleverne på Lectio. Datatilsynet indleder nu undersøgelse om sikkerheden på den altdominerende gymnasieplatform.

Foto: Linda Kastrup. Rektorer advarer om, at oplysninger om eleverne flyder på gymnasieplatformen Lectio. Arkivfoto fra Falkonergårdens Gymnasium.
Læs mere
Fold sammen

Kongehuset holder normalt på både formerne og sikkerheden.

Men med få klik på gymnasieplatformen Lectio kan alle og enhver skaffe sig indblik i skoledagen for et medlem af den kongelige familie, som den udfolder sig på et gymnasium i Nordsjælland. Skemaet kan læses på Lectio og fortæller bl.a., hvad vedkommende undervises i, og præcis hvor undervisningen finder sted. Det fremgår endda af Lectio, hvad der er på menuen – mandag i denne uge var det f.eks. »kokoskylling m. ris og grøntsager«.

På Høje Taastrup Private Gymnasium i den anden ende af Storkøbenhavn er manglende sikkerhed på Lectio et konkret problem, forklarer rektor Crilles Bacher.

Skolen er grundlagt af en gruppe fra det tyrkiske mindretal i Danmark, som efter kupforsøget mod Tyrkiets præsident, Recep Erdogan, i 2016 med rektors ord har haft »udfordringer« med andre dele af det tyrkiske mindretal.

DR har beskrevet, at 14 danske friskoler blev udråbt som terrorskoler, fordi de angiveligt er tilhængere af den tyrkiske Gülen-bevægelse, der beskyldes for at være involveret i kupforsøget. Og at mange forældre af samme grund har taget deres børn ud af skolerne.

Crilles Bacher, rektor, Høje Taastrup Private Gymnasium

»På mine elevers og medarbejderes vegne har jeg det rigtig dårligt med, at Lectio er så åbent.«


»På mine elevers og medarbejderes vegne har jeg det rigtig dårligt med, at Lectio er så åbent. Og jeg er sikker på, at det er grunden til, at der er elever, som ikke længere går her på skolen,« siger Crilles Bacher.

Danske Gymnasier har længe advaret om, at Lectio ikke beskytter oplysninger om eleverne og lærerne godt nok. Samtidig kritiserer organisationen, at firmaet Macom, der står bag platformen, ignorerer gymnasiernes advarsler.

Nu oplyser Datatilsynet, at myndigheden – der fører tilsyn med, om reglerne om databeskyttelse overholdes – indleder en undersøgelse af Lectio, der anvendes af godt 90 pct. af alle gymnasier i Danmark.

»Vi vil have brugen af Lectio undersøgt,« siger Birgit Kleis, kommitteret – svarende til afdelingschef – i Datatilsynet:

»Det er ikke, fordi vi er lagt ned af klager, men hvis vi på forhånd regnede med, at det var uproblematisk, gjorde vi ikke noget. Der er muligvis oplysninger, der bliver offentliggjort i for vidt omfang.«

Birgit Kleis fastslår på forhånd, at ansvaret for oplysninger om eleverne ligger hos det enkelte gymnasium. Og hvis databehandleren – Lectio og Macom – ikke tilbyder et system, der lever op til gymnasiernes ønsker og de fastsatte regler, må gymnasierne finde et andet system.

Sagens kerne er altså en strid mellem gymnasierne og Macom.

Systemets akilleshæl

Gennem de sidste 15 år er Lectio blevet en uomgængelig del af hverdagen for de fleste gymnasieelever og mange forældre. Lectio er bl.a. den moderne version af krøllede skemaer på køleskabet. Det er også de beskeder om skemaændringer, der tidligere blev overset på tavlen eller gik tabt et sted i telefonkæden.

Ifølge Danske Gymnasiers formand, Birgitte Vedersø, er Lectio til at betale og praktisk at bruge. Godt 90 pct. af gymnasierne anvender også systemet, hvilket gør det til den altdominerende administrations- og kommunikationsplatform på området.

Akilleshælen er datasikkerheden, mener rektorerne.

»Der er udeståender, som vi ikke har det spor godt med. Vi vil gerne have, at mange af de oplysninger, der i dag er offentligt tilgængelige, skal ligge bag et login, så alle ikke kan trække dem,« siger Birgitte Vedersø.

Interesseorganisationen har været i dialog med Macon »mange gange«, uden at det er lykkedes at indgå en aftale om bedre beskyttelse af oplysningerne. Organisationen havde håbet, at EUs nye regler for beskyttelse af persondata, der trådte i kraft i maj, ville tvinge Macon til at ændre systemet, men det er ikke sket.

»Konsekvensen kan blive, at mange skoler skifter system, hvis ikke der meget snart kommer en løsning. Vi er på mange måder meget glade for det eksisterende system. Vi ønsker bare, at det skal være en mere sikker version. Det er helt utilfredsstillende, at vi stadig skal være usikre på det,« siger Birgitte Vedersø.

På Nærum Gymnasium fjerner skolen flere og flere oplysninger fra Lectio, så platformen ikke rummer oplysningerne om sygdom eller andet personfølsomt data, forklarer administrationschef Helle Thoregaard:

»Vores store problem – og det gælder alle landets gymnasier – er, at der reelt ikke er et alternativ til Lectio. Derfor krydser vi fingre for et gennembrud, så Lectio bliver mere sikker,« siger Helle Thoregaard.

Jakob Scharf er tidligere chef for Politiets Efterretningstjeneste og nu adm. direktør for Certa Intelligence & Security. Virksomheden udfører bl.a. sikkerhedsvurderinger- og analyser af private virksomheder, deres topchefer og familie. Sidste år beskrev han i Berlingske Business problemet med Lectio sådan her:

»Det er klart, at det er en mulig sikkerhedsrisiko, at denne type oplysninger ligger offentligt tilgængeligt. Men om det er en reel risiko, vil afhænge af en konkret, samlet vurdering af den enkelte persons sikkerhedsmæssige situation.«

»Det er dét, vi kan«

Martin Holbøll er direktør i Macom, der står bag Lectio. Berlingske har spurgt ham, om han medgiver Danske Gymnasier, at det er et problem, at alle via Lectio kan finde oplysninger om, hvor en elev befinder sig på et bestemt tidspunkt:

»Jeg siger simpelthen, at det er dét, vi kan. Jeg ved ikke, om du kender folk, der har børn i gymnasiet. Det er blevet en dynamisk skoledag. I gamle dage var et skema noget, der blev gentaget uge efter uge 40 gange. Nu er det langt mere dynamisk som på en arbejdsplads, hvor der ikke er to dage, der er ens,« siger Martin Holbøll.

Det er rigtigt, men alle og enhver kan gå ind og trække oplysninger om en elev. Medgiver du, at det er et problem?

»Jeg synes lige, jeg har svaret. Og svaret bliver ikke anderledes af, at du stiller det samme spørgsmål.«

Martin Holbøll afviser også i en efterfølgende mailkorrespondance at svare på spørgsmål, herunder om Macom vil imødekomme rektorerne og beskytte oplysningerne om eleverne bag et login.

Til gengæld sender direktøren links til bl.a. Danske Gymnasiers nyhedsbrev, hvor det fremgår, at Styrelsen for IT og Læring med hjælp fra Epinion denne måned begynder en undersøgelse af gymnasiernes håndtering af personoplysninger. Et arbejde, der skal bruges til at afklare Undervisningsministeriets indsats på området.

Berlingske har bedt gymnasiet, hvor medlemmet af Kongehuset går, forholde sig til åbenheden på Lectio. Det ønsker gymnasiet ikke.