Digital prøvevagt under lup hos Datatilsynet

Datatilsynet er gået ind i sagen om Den Digitale Prøvevagt.
Datatilsynet er gået ind i sagen om Den Digitale Prøvevagt. (Foto: PR)

Datatilsynet har på eget initiativ sat en undersøgelse i gang af Den Digitale Prøvevagt og det underliggende overvågningsværktøj ExamCoockie, der kan registrere alt, hvad der sker på gymnasieelevernes medbragte computere under en eksamen. Ekspert tvivler stærkt på, at Undervisningsministeriet lever op til GDPR.

Det har vakt heftig debat, at gymnasieelever reelt er tvunget til at downloade ExamCookie på deres egne computere, hvis de ønsker at gå op til studentereksamen, sådan som Undervisningsministeriet foreskriver. Den Digitale Prøvevagt oplevede både at blive boykottet af tusinder af elever, der ikke ville overvåges, og parkeret af ministeriet på ubestemt tid på grund af kapacitetsproblemer og andre tekniske udfordringer under stor mediebevågenhed i forbindelse med de seneste terminsprøver i gymnasiet.

Det store fokus på problemstillingerne har fået Datatilsynet til at gå ind i sagen af egen drift og tilsynsmyndigheden har igangsat en undersøgelse af såvel Undervisningsministeriets forordning vedrørende Den Digitale Prøvevagt samt det underliggende overvågningsværktøj ExamCookie. Der er dog endnu ikke truffet nogen afgørelser i sagerne.

Gymnasium bedt om redegørelser
Det fremgår af en aktindsigt, som Complidia har fået, at Datatilsynet spørger grundigt ind til, om de formelle juridiske regler i persondataforordningen er overholdt. Den Digitale Prøvevagt lever efter Undervisningsministeriets opfattelse fuldt ud op til GDPR. Men det er ekspert i persondataforordningen, partner og advokat hos Labora Legal, Catrine Søndergaard Byrne, knapt så sikker på. Hun peger blandt andet på, at teknikken ikke ser ud til at sikre den nødvendige robusthed, integritet og adgangskontrol i et sådant værktøj. Desuden indsamler ExamCookie tilsyneladende oplysninger, der ligger ud over formålet med Den Digitale Prøvevagt. Hun savner også en konsekvensanalyse af systemet.

Datatilsynet har bedt den dataansvarlige på Fredericia Gymnasium og virksomheden ExamCookie om en stribe redegørelser. Undersøgelsen handler om en test af Den Digitale Prøvevagt, der blev gennemført på gymnasiet i august sidste år.

Unødvendig konsekvensanalyse
I persondataforordningen er der i artikel 35 en lang række forhold, man skal tage højde for, når man tager nye teknologier og metoder i brug. Men Undervisningsministeriet mener ikke, at Den Digitale Prøvevagt er omfattet af GDPR´s artikel 35 om udarbejdelse af konsekvensanalyser. 

”Den Digitale Prøvevagt anvendes ikke til systematiske og omfattende vurderinger af personlige forhold, der er baseret på automatiske vurderinger (profilering), og hvor der træffes afgørelser om eleverne uden nogen form for menneskelig indblanding. Derudover anvendes Den Digitale Prøvevagt ikke til behandling af særligt følsomme personoplysninger, og der er heller ikke tale om systematisk overvågning af et offentligt tilgængeligt område i stort omfang. På den baggrund vurderer vi, at Den Digitale Prøvevagt ikke er omfattet af Persondataforordningens artikel 35,” skriver pressesekretær i Styrelsen for IT og Læring, Liv Arnth Jørgensen, i en mail til Complidia.

Ministeriet vurderer desuden, at anvendelsen af Den Digitale Prøvevagt ikke indebærer en høj risiko for gymnasieelevernes rettigheder og frihedsrettigheder.

Ekspert er lodret uenig 
Men de vurderinger er Catrine Søndergård Byrne ikke enig i.

”Konsekvensanalyser skal gennemføres navnlig ved anvendelse af nye teknologier, som kan medføre nye former for dataindsamling og dataanvendelse, eventuelt med en høj risiko mv. Vurderingen om høj risiko er altså subsidiær, når man bruger nye teknologier. Uden at redegøre i dybden, vurderer jeg, at Den Digitale Prøvevagt falder ind under betegnelsen ’ny teknologi’, som den forstås og fortolkes af Datatilsynet,” siger Catrine Søndergård Byrne og tilføjer, at ministeriet efter hendes opfattelse bruger en underregel til at begrunde, at en konsekvensanalyse er unødvendig, men de overser, at man i så fald skal anvende hovedreglen.

Catrine Søndergård Byrne peger desuden på, at selvom der slet ikke skulle være tale om følsomme personoplysninger, så er unge gymnasieelever sårbare personer, hvor behandlingen af de indsamlede data kan medføre afgørelser for elevens rettigheder i forhold til en potentiel mulighed for at bestå en vigtig eksamen.

”Der vil dermed ske en profilering af eleven, og om den endelige afgørelse om konsekvens træffes af et menneske eller en maskine, har ikke betydning for, hvorvidt der skal laves en konsekvensanalyse eller ej,” mener Catrine Søndergård Byrne.

I sit svar henviser Undervisningsministeriet desuden til, at eleverne har mulighed for at få indsigt i egne data, men det er ifølge Catrine Søndergård Byrne uden betydning for kravet om konsekvensanalyse, at datasubjektet kan søge indsigt i egne data eller hvor længe data opbevares.

Offentlig myndighedsudøvelse
Ifølge Undervisningsministeriet kan gymnasierne pålægge eleverne at gøre brug af ExamCookie, fordi de oplysninger, der registreres, er nødvendige af hensyn til offentlig myndighedsudøvelse i forhold til at undgå snyd ved eksamen.

”Undervisningsministeriets ønske om at gennemføre en kontrol med eksamen, og hvorvidt der er elever, der snyder, er fuldt ud legitime. Derfor er det i orden at henvise til artikel 6, stk. 1, litra e om at det er i samfundets interesse,” vurderer Catrine Søndergaard Byrne.

Kun nødvendige oplysninger
På trods af at man har hjemmel, er det forsat nødvendigt at iagttage de grundlæggende principper for dataindsamlingen. Der er krav til datamining og begrænsninger på lagring og opbevaring. Desuden må databehandlingen ikke krænke individets integritet.

”Der må kun indsamles de oplysninger, der er absolut nødvendige i forhold til formålet, nemlig eksamenskontrollen. Det har jo været fremme, at systemet indsamler mange flere oplysninger fra elevernes computere, og det er et problem. Det samme gælder, hvis der ikke er fuldstændig styr på adgangen til systemet,” siger Catrine Søndergaard Byrne.

Principielle dataetiske spørgsmål
Hun er også medstifter af tænketanken Dataethics og peger på, at sagen om Den Digitale Prøvevagt rejser nogle principielle og generelle dataetiske spørgsmål om den offentlige forvaltnings digitale overvågning af sårbare borgere i pressede og udsatte situationer. Samt selve spørgsmålet omkring brugen af alvorligt indgribende digitale virkemidler i private computere.

”Selvom formålet, at bekæmpe eksamensnyd, afspejler en vigtig værdi i samfundet, så kræver det evidens at iværksætte et så stort et indgreb med overvågning af individer. Det skal dokumenteres, at man sætter hensynet til eleven i centrum i enhver henseende,” mener Catrine Søndergaard Byrne.

Tekniske problemer udskyder projektet
Den Digitale Prøveagt blev testet ved terminsprøven på landets gymnasier i marts, hvor knap 50.000 elever skulle have deltaget i generalprøven. Men testen blev boykottet af et stor antal elever efter opfordring fra elevorganisationer. Til trods for at Den Digitale Prøvevagt kun blev brugt af ca. 8.000. elever ved terminsprøverne, havde programmet kapacitetsproblemer og andre tekniske udfordringer, der for eksempel betød, at flere elever oplevede at blive smidt af programmet. Derfor har undervisningsminister Merete Riisager besluttet at udskyde Den digitale prøvevagt, som ellers skulle være taget i brug til sommerens eksaminer. 

”Styrelsen for IT og Læring er i tæt dialog med leverandøren af Den Digitale Prøvevagt med henblik på udbedring af programmets kapacitetsproblemer og de øvrige tekniske udfordringer. Når Undervisningsministeriet har vished for, at de pågældende fejl er rettet, vil der blive taget stilling til, hvornår og hvordan en central monitorering skal finde sted,” oplyser Liv Arnth Jørgensen.

Holdningsskred i offentlig forvalting
Complidia sætter i næste uge fokus på digitaliseringen af den offentlige sektor og især på de store forskelle, der er, når man digitaliserer sagsbehandling og kommunikation mellem det offentlige og borgerne. Flere eksperter oplever, at der sker et skred, hvor man i de offentlige forvaltninger glemmer de grundlæggende krav til borgernes rettigheder i et demokratisk samfund og ser stort på forskellen mellem at være kunde i en privat virksomhed, hvor man bare kan gå igen, hvis man ikke kan lide lugten i bageriet, mens man omvendt er tvunget til for eksempel at bestå sin eksamen, hvis man vil videre i livet.

Læs også:
Big Brother i eksamenslokalet

Tags

Skrevet af

Kasper Skaanning

Kasper Skaanning, Journalist

Kasper Skaanning er uddannet journalist, og har bl.a. arbejdet som senior kommunikationskonsulent i Nykredit, i Danske Bank og som informationschef i Scandlines.

Klummer

Se alle