GDPR til eksamen

Gymnasium dumper big time i anvendelsen af overvågningsværktøj, hvor man end ikke har overvejet, hvorvidt det ville være i strid med GDPR, skriver Jakob Dedenroth Bernhoft i denne uges 'Privacy på spidsen'.

”Ingen ExamCookie - Ingen prøve - Ingen Hue,” skrev ledelsen på et gymnasium ud til eleverne. ExamCookie er et program, som kan overvåge elevers computere under eksamen for at forsøge at undgå snyd. Det var ren Big Brother, og det var en lige lovlig kæk melding fra ledelsen, for Datatilsynet trak i håndbremsen i sidste øjeblik. Man kan ikke tvinge eleverne til at bruge systemet.

Problemet? Eleverne fik ikke de oplysninger, som de skulle have, og gymnasierne skovlede elevernes persondata ind uden helt at have gjort sig klart, om alle oplysninger nu også var nødvendige.

Hvad gik galt?
Baggrunden for Datatilsynets kritik var et besøg hos Fredericia Gymnasium, som havde taget ExamCookie i brug i 2018. Og Datatilsynet var bestemt ikke tilfreds med, hvordan gymnasiet brugte det digitale overvågningssystem.

Datatilsynet mente for det første ikke, at gymnasiet havde overvejet, om de indsamlede oplysninger var ’tilstrækkelige, relevante og begrænset’ til at opnå formålet om at opdage og forebygge eksamenssnyd. Altså med andre ord: Bliver der indsamlet flere oplysninger end nødvendigt?

Manglende transparens
En anden ting, som Datatilsynet påpegede var, at Fredericia Gymnasium ikke havde informeret eleverne godt nok om det, som i persondataforordningen kaldes ’oplysningspligten’. Transparens er et af de grundlæggende principper i forordningen. Når mine personoplysninger behandles af andre, så skal jeg have at vide, hvad der sker med dem. Og det gælder naturligvis også gymnasieelever.  

Endeligt sagde Datatilsynet, at der kan være en risiko for, at overvågningssystemet indsamler følsomme oplysninger. Det er måske lidt teoretisk. Det ville for eksempel kunne ske, hvis en elev skrev om vedkommendes religiøse tilhørsforhold og slettede det igen. Her ville overvågningssystemet i princippet kunne opsnappe denne oplysning.

Som konklusion på besøget fandt Datatilsynet grundlag for at udtale ’alvorlig kritik’. Og det er mere alvorligt, end man skulle tro. Myndigheder har det med at pakke tingene ind. Vi andre ville nok kalde det sønderlemmende og helt udueligt, og under alle omstændigheder har gymnaiset fremover påkaldt sig Datatilsynets udelte opmærksomhed. Og for det ikke skal være løgn lænede gymnasiet sig desuden op af en politianmeldelse, da de vist nok kom med forskellige modstridende forklaringer over for Datatilsynet. Lidt dumt.

Vigtigt at forholde sig til GDPR
En af årsagerne til, at det gik så gruelig galt for gymnasiet var, at det tilsyneladende end ikke havde overvejet, om ExamCookie kunne bruges uden at overtræde GDPR.

Der er stor forskel på, om man har forsøgt at overholde GDPR, men eventuelt ikke rammer skiven helt, end at man slet ikke har forholdt sig til GDPR. Nu kender vi ikke til den nye praksis efter GDPR, men tidligere har der været mange eksempler på løftede pegefingre overfor en virksomhed, som har forsøgt at overholde reglerne med påbud om at bringe tingene i orden.

Og bare for at gnide salt i såret: ExamCookies’ egen hjemmeside overholder ikke den for netop dette firma vel særligt relevante cookie-bekendtgørelse, der jo gør gældende, at man - med det samme, man besøger siden - bliver orienteret om firmaets anvendelse af netop, ja, rigtigt, cookies...

Tags

Skrevet af

Jakob Dedenroth Bernhoft

Jakob Dedenroth Bernhoft, Juridisk rådgiver, Revisorjura.dk

Jakob Dedenroth Bernhoft er indehaver af revisorJURA, der yder erhvervsjuridisk rådgivning om bl.a. bekæmpelse af hvidvask og beskyttelse af persondata. Han har været kontorchef i Finansrådet, juridisk chef i KPMG og faglig direktør i FSR - danske revisorer. Ud over rådgivning udvikler virksomheden også whistleblower-løsninger.

Klummer

Se alle