Gymnasiet Roskilde Katedralskole har ikke gennemført tilstrækkelig risikovurdering i sin brug af software til at opdage eksamenssnyd hos eleverne.
Derfor får skolen nu kritik af Datatilsynet, der konkluderer, at databeskyttelsesreglerne er blevet overtrådt.
Skolen har brugt den danskudviklede software ExamCookie til at overvåge eleverne under eksamen, hvor eleverne brugerne deres egne computere.
Via softwaren kan skolen overvåge aktivitet, der foregår på elevens computer og kan eksempelvis aflæse browseraktivitet og få adgang til indhold i udklipsholderen ligesom, at der også løbende tages og gemmes skærmbilleder fra computeren.
På den måde kan man afgøre om eleverne gør brug af chatbots, oversættelsesløsninger eller eksempelvis kommunikerer med folk uden for lokalet.
Ifølge Datatilsynet har skolen dog “ikke gennemført passende tekniske eller organisatoriske foranstaltninger,” der sikrer, at der ikke indhentes flere oplysninger om eleverne end de nødvendige.
Ny risikovurdering
Helt konkret mener Datatilsynet, at katedralskolen har overtrådt databeskyttelsesloven artikel 25 stk. 1 om databeskyttelse gennem design.
Tilsynet anbefaler dog, at skolen gennemfører en ny fornyet risikovurdering, hvis man fortsat ønsker at bruge softwaren.
“Gymnasiet skal samtidig i et større omfang gøre eleverne opmærksomme på de identificerede risici, opfordre eleverne til og give konkrete eksempler på, hvilke tiltag eleverne selv kan gøre for at undgå utilsigtet at eksponere (private) oplysninger i eksamenssituationen. Det kan f.eks. omfatte vejledende information om, at eleverne under eksamen kan gøre brug af en anden browser, som ikke indeholder deres private oplysninger,” lyder det fra Datatilsynet.
Samtidig bliver Roskilde Katedralskole opfordret til at overveje om informationsmaterialet om software kan formuleres mere klart, enkelt og mere letforståeligt.
Datatilsynet har dog også konkluderet, at skolen overordnet set har overholdt databeskyttelsesreglerne, når det gælder de helt centrale GDPR-principper om behandlingsgrundlag, proportionalitetsprincippet, opbevaringsbegrænsning og oplysningspligten.
Sagen mod Roskilde Katedralskolen blev taget af op af egen drift af Datatilsynet, der gennem medierne var blevet opmærksomme på at flere danske gymnasier overvejede at bruge denne type software.