Denne artikel er hentet fra arkiv og er ikke optimeret til det nye design.
Gymnasierne har overdraget personfølsomme data om lærere og elever til Lectio. Alligevel har gymnasierne ikke et eneste stykke papir på, hvordan disse data skal opbevares og behandles af Macom – firmaet bag det studieadministrative system Lectio.
Persondataloven kræver, at gymnasierne har en såkaldt databehandleraftale, når de overlader deres persondata til en anden part. Aftalen skal for eksempel beskrive, hvordan sikkerheden om personfølsomme data håndteres.
Ifølge Gymnasieskolens oplysninger har ingen gymnasier dog den lovpligtige skriftlige aftale.
Opgiver dialog
Rektor på Borupgaard Gymnasium, Thomas Jørgensen siger:
”Der er, så vidt jeg ved, ingen gymnasier, som har en kontrakt om persondata med Macom. Vi har bedt om at få det, men har fået at vide, at det ikke kan lade sig gøre,” siger han.
Vil ikke acceptere
Thomas Jørgensen sidder i udvalget for IT i Gymnasieskolernes Rektorforening. Udvalget har været i kontakt med Macom om problematikken, men udvalget mener ikke, det er muligt at komme længere med en dialog. De er derfor gået videre til UNI-C – styrelsen for it og læring under Undervisningsministeriet for at få gjort noget ved sagen.
”Vi ville for eksempel heller ikke acceptere, hvis vi ikke havde en kontrakt med Statens Lønsysstem. Nu bør problemet løses,” siger han.
Lectios udvikling
Johnny Vinkel er rektor på Himmelev Gymnasium. Han erkender også, der er et problem.
”Vi synes langt hen ad vejen, at Lectio som studieadministrativt system opfylder vores behov og løser vores problemer, men vi har et problem omkring persondataloven. Det burde vi have gjort noget ved, men det har ikke været muligt,” siger han.
Når der ikke er lavet skriftlige aftaler om for eksempel opbevaring og sikkerhed af personfarlige data, kan det hænge sammen med Lectios udvikling.
”Lectio har jo udviklet sig fra at være et webskema til at være et studieadministrativt system med alle de oplysninger, som ligger i det. Det har været en glidende overgang,” siger Johnny Vinkel.
Skal have styr på det
Rektor på Helsingør Gymnasium, Kristian Jacobsen, er ikke bekymret for datasikkerheden i forhold til Lectio. Han har ikke været opmærksom på, at gymnasierne som dataansvarlige har ansvar for at indgå en skriftlig aftale med Macom.
”Jeg troede, at ministeriet ville råbe op, hvis der var et problem. Det er klart, at vi skal have styr på det, nu hvor vi er blevet opmærksomme på det,” siger Kristian Jacobsen.
Macom ønsker ikke at kommentere artiklen.
Databehandleraftale og ansvar for data
Databehandleraftale og ansvar for data
Ifølge Datatilsynet kræves der efter persondataloven en databehandleraftale, når benytter en løsning, hvor persondata ligger ude hos en leverandør. Der er forskellige krav til aftalen. Den skal være skriftlig, og det skal blandt fremgå, at databehandleren (dvs. leverandøren) alene handler efter instruks fra den dataansvarlige.
Det er skolerne som er dataansvarlige.
I Persondataloven paragraf 41 stk. 3 står der:
Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.
Copyright Gymnasieskolen 2024
Kommentar til artiklen
Eller opret med din email
Klik her, hvis du har glemt din adgangskode