Jurist advarer: På Lectio har lærere adgang til tidligere elevers opgaver og karakterer

Lærere har via Lectio adgang til karakterer, skriftlige opgaver og fravær for elever mere end 10 år tilbage. Det er et GDPR-brud, som bør rettes, mener jurist.

Lærere kan gå ind og se, hvad politikere i Folketinget skrev i en dansk stil i gymnasiet eller se, hvad naboen fik i karaktergennemsnit for 12 år siden.

Via det studieadministrative system Lectio er det muligt for lærere at se oplysninger om gamle elever på deres skole, som blev studenter for over 10 år siden.

Gymnasieskolen.dk har bedt flere tillidsrepræsentanter, lærere og ledere om at gå ind og se på tidligere elevers personlige oplysninger, og det viser sig, at det er muligt at læse opgaver, se karaktergennemsnit, fraværsstatistikker og endda oplysninger om sygdom i forbindelse med fravær helt tilbage til 2007. 

Det er dermed potentielt set meget private oplysninger, som kun er gemt væk bag et klik eller to på Lectio  En kilde, gymnasieskolen.dk har talt med, finder for eksempel en dansk stil om sexisme, skrevet af en tidligere elev.

Gymnasieskolen.dk har valgt ikke at nævne navnene på de personer, som har hjulpet med at dokumentere, at gamle data ligger på det studieadministrative system. De fleste ønsker ikke at få deres navn frem, da de har fået indskærpet af deres ledelse, at de ikke må benytte Lectio til andet end rent faglige formål.

Flere er dog overraskede og undrer sig over, at private data ikke er slettet eller beskyttet af en login. 

Skolerne bør sikre sig, at oplysningerne ikke længere er tilgængelige for lærerne.

Jacob Naur, jurist og rådgiver om databeskyttelse
Unitas

Brud på persondatasikkerheden
Jacob Naur er jurist og medindehaver af virksomheden Unitas, som blandt andet rådgiver flere gymnasier om databeskyttelse og it-kontrakter. 

Han kan ikke se formålet med, at alle lærere på en skole har adgang til tidligere elevers opgaver, karakterer, fraværsstatistik, sygefravær og eksamensresultater for over 10 år siden.

“Det er som udgangspunkt et brud på persondatasikkerheden og strider mod persondataforordningen - GDPR. Lectio bør rette programmet, så det ikke længere er muligt for lærerne at finde oplysninger på tidligere elever. Og skolerne bør sikre sig, at oplysningerne ikke længere er tilgængelige for lærerne,” siger Jacob Naur.

Han slår også fast, at det juridisk set er skolerne, som er dataansvarlige, mens Macom - firmaet bag Lectio er databehandler.

“Formelt set er det skolernes ansvar, og de må ret beset ikke bruge et system, som ikke lever op til GDPR,” siger Jacob Naur.

Det kommer ikke andre ved, hvad en person for eksempel har skrevet i et engelsk essay som 17-årig.

Anonym lærer

Karaktergennemsnit for Folketingsmedlem
En lærer, gymnasieskolen har talt med, undrer sig også over, at han har adgang til tidligere elevers opgaver og karakterer. Det tog ham for eksempel ikke lang tid at finde gamle opgaver fra tidligere elever og endda eksamenskaraktererne for et Folketingsmedlem, som har gået på lærerens skole. 

“Den slags informationer skal jeg ikke have adgang til. Det kommer ikke andre ved, hvad en person for eksempel har skrevet i en dansk stil som 17-årig. Det må kunne bygges ind i Lectio, at vi ikke har adgang til oplysninger, vi fagligt ikke har behov for at kunne se,” siger han. 

Han forestiller sig, at for eksempel politikere og andre kendte personer vil se sig frabedt, at deres karakterer, opgaver og fraværsstatistik er tilgængelige for en så stor persongruppe.

“Det er personlige data, som selvfølgelig ikke skal være tilgængelige mange år tilbage,” siger han.

Det er personfølsomme oplysninger, og selvfølgelig skal den slags data beskyttes bedst muligt.

Henrik Nevers, rektor
Roskilde Gymnasium

Data skal beskyttes
Henrik Nevers er rektor på Roskilde Gymnasium. Han synes, det er forkert og unødvendigt, at lærere har adgang til data om tidligere elever.

“Det er personfølsomme oplysninger, og selvfølgelig skal den slags data beskyttes bedst muligt,” siger Henrik Nevers.

Han fortæller, at hans skole tidligere har bedt Macom, som står bag Lectio, om at få yderligere begrænsninger i forhold til adgangen til data i systemet, men det er endnu ikke sket.

Roskilde Gymnasium går selv ind og sletter data som for eksempel forskellige typer af noter i Lectio en gang om året for at leve op til GDPR. Men Henrik Nevers erkender, at det er muligt at finde skriftlige opgaver fra elever fem år tilbage på Roskilde Gymnasium.

“I stedet for at vi skal ind og slette data, ville det være nemmere og mere sikkert, hvis der var en funktion, så lærerne ikke kan tilgå data fra tidligere elever,” siger Henrik Nevers.

Karakterer gemmes i 30 år
Ifølge loven skal skolerne gemme eksamenskarakterer i 30 år, og det betyder også, at lærerne i princippet kan gå ind og se tidligere elevers karakterer.

“Vi vil nu arbejde for, at der bliver lavet yderligere begrænsninger i forhold til adgang til data i systemet,” siger Henrik Nevers efter gymnasieskolen.dk’s henvendelse.

I GDPR-håndbogen for Roskilde Gymnasium står der, at medarbejderne kun må tilgå data, som er relevant for deres arbejde. Der er også logningsmekanisme af systemet på Roskilde Gymnasium, så det potentielt er muligt at se, hvis en ansat ikke følger GDPR-retningslinjerne i forhold til data om tidligere elever.

“Vi ønsker dog i stedet for, at der i systemet bliver vandtætte skotter, så lærerrollen i Lectio ikke giver adgang til data for tidligere elever,” siger Henrik Nevers.

Han er fungerende formand for Danske Gymnasier, men udtaler sig i denne sammenhæng som rektor for Roskilde Gymnasium.

“Det er den enkelte skole, som er dataansvarlig, og Danske Gymnasier er ikke en part i den sammenhæng,” siger Henrik Nevers. 

Jeg har tillid til, at lærerne behandler data med varsomhed og respekt.

Anders Kloppenborg, rektor
Birkerød Gymnasium

Tillid til lærerne
På Birkerød Gymnasium mener rektor Anders Kloppenborg ikke, det er et problem, at lærere potentielt har adgang til tidligere elevers data.

“Jeg har tillid til, at lærerne behandler data med varsomhed og respekt. Det ligger meget fjernt fra min fantasi, at en medarbejder skulle misbruge adgangen til data om tidligere elever,” siger Anders Kloppenborg.

Ifølge ham har den Lectio-ansvarlige medarbejder på Birkerød Gymnasium dog sørget for, at data fra tidligere elever forsvinder fra systemet efter fem år.

Anders Kloppenborg mener, at GDPR nærmest har skabt en uendelig arbejdsopgave for eksempelvis skoler. 

“GDPR kan også nærmest blive en spændetrøje, og vi skal passe på med, at arbejdet med GDPR ikke bliver så rigidt, at vi nærmest ikke kan kommunikere og arbejde,” siger Anders Kloppenborg.

Han mener for eksempel, der kan være et formål med, at en lærer henter en opgave fra en tidligere elev for at bruge den i sit arbejde.

“Vi skal selvfølgelig tage GDPR alvorligt, men vi behøver heller ikke at bygge borge og mure for at beskytte data,” siger han.

Han har tidligere sammen med andre rektorer talt med Macom om, hvordan de nye GDPR-regler overholdes samtidig med, at Lectios funktionalitet bevares. 

Han har endnu ikke oplevet det som et problem, at lærere har adgang til eksempelvis karakterer fra tidligere elever.

“Hvis det viser sig, at det er et problem, så vil vi på vores skole henvende os til Macom og bede om at få det rettet,” siger Anders Kloppenborg.

Gymnasieskolen.dk har både via telefon og mail bedt Macom om at kommentere artiklen. Macom er dog ikke vendt tilbage på vores forespørgsler.