Cpr-numre på samtlige lærere og elever, elevernes sygefravær og karakterer. Det er blot nogle af de personfølsomme oplysninger, skolerne overlader til virksomheden Macom, som står bag Lectio.
Derfor er flere erhvervsskoler uforstående over for, at Macom ikke vil indgå en skriftlig aftale om blandt andet datasikkerhed.
Ifølge persondataloven har skolerne pligt til at indgå en skriftlig aftale, når deres persondata varetages ude af huset.
Datatilsynet bekræfter overfor gymnasieskolen.dk, at der kræves en såkaldt databehandleraftale, når persondata ligger hos en leverandør.
Niels Brock siger nej tak
I foråret forhandlede erhvervsskolen Niels Brock i København om at købe Lectio som studieadministrativt system. It-chef Steffen Herskind fortæller, at skolen var meget tæt på at købe Lectio, men da det ikke kunne lade sig gøre at få en databehandleraftale om blandt andet datasikkerhed, takkede erhvervsskolen nej.
”Vi skal overlade en række personfølsomme data til en virksomhed. Derfor bliver vi nødt til at have på skrift, hvordan de forpligter sig til at passe på vores data, og hvad de må og ikke må bruges vores data til,” siger Steffen Herskind fra Niels Brock.
Sygefravær og cpr-numre
Teknisk Erhvervsskole Center (TEC) i København har også takket nej til at bruge Lectio.
”Vi har personfølsomt data, som for eksempel elevers cpr-numre, der kan kobles med deres sygefravær. Vi har pligt til at indgå en databehandleraftale, ” siger it-chef på TEC, Kaare Rubak, som begrundelsen for, at skolen alligevel ikke ville handle med Macom.
Indtil foråret har erhvervsskolerne haft pligt til at bruge UNI-C’s studieadministrative system Easy-A. Men i foråret meddelte Ministeriet for Børn og Undervisning, at erhvervsskolerne kunne handle ind på det frie marked, og i første omgang kan de erhvervsgymnasiale uddannelser nu frit købe andre studieadministrative systemer.
Skal overholde loven
Foreningen Danske Erhvervsskoler – Lederne er glade for at kunne handle frit på markedet og ærgrer sig derfor over, at de ikke kan få en lovpligtig aftale med Macom.
”Vi skal overholde lovgivningen. Det er klokkeklart, at når vi lægger vores data ud af huset, så skal vi have en skriftlig aftale,” siger Peter Enevold, som er næstformand i Danske Erhvervsskoler – Lederne og direktør på Tietgenskolen i Odense.
Peter Enevold understreger dog, at det ikke bare handler om at overholde loven.
”Det er vores data, og derfor vil vi gerne have en kontrakt at holde leverandøren op på. Vores data har en værdi, og derfor skal vi også have en aftale om, hvordan det må bruges,” siger Peter Enevold.
Danske Erhvervskoler – Lederne har nu sendt et brev rundt til medlemsskolerne, hvor de gør opmærksom på problemstillingerne med mangel på databehandleraftaler.
Læs mere Lectio: Det er ikke vores ansvar – UNI-C: Jo, det er
Databehandleraftale og ansvar for data
Ifølge Datatilsynet kræves der efter persondataloven en databehandleraftale, når benytter en løsning, hvor persondata ligger ude hos en leverandør. Der er forskellige krav til aftalen. Den skal være skriftlig, og det skal blandt fremgå, at databehandleren (dvs. leverandøren) alene handler efter instruks fra den dataansvarlige.
Det er skolerne som er dataansvarlige.
I Persondataloven paragraf 41 stk. 3 står der:
Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.
Kommentar til artiklen
Eller opret med din email
Klik her, hvis du har glemt din adgangskode