Den Digitale Prøvevagt

Dato: 06-03-2020
Afgørelse Offentlige myndigheder Alvorlig kritik Tilsyn / egendriftssag Behandlingssikkerhed

Datatilsynet udtaler alvorlig kritik af, at Styrelsen for IT og Læring (STIL) ved en test af monitoreringsprogrammet Den Digitale Prøvevagt ikke havde gennemført foranstaltninger, der var passende for det efterfølgende identificerede risikoniveau.

Journalnummer: 2019-432-0020

Resumé

Datatilsynet udtaler alvorlig kritik af, at Styrelsen for IT og Læring (STIL) som databehandler ikke levede op til kravene i databeskyttelsesforordningens artikel 32, da STIL ved en test af monitoreringsprogrammet Den Digitale Prøvevagt ikke havde gennemført foranstaltninger, der var passende for det efterfølgende identificerede risikoniveau.

I foråret 2019 valgte Datatilsynet bl.a. på baggrund af medieomtale at undersøge monitoreringsprogrammet Den Digitale Prøvevagt af egen drift.

Den 7. marts 2019 blev der gennemført en generalprøve af Netprøver.dk indeholdende programmet Den Digitale Prøvevagt, hvor ca. 8.000 elever valgte at installere og teste Den Digitale Prøvevagt, hvorved der blev behandlet personoplysninger om disse elever.

Det er Datatilsynets vurdering, at STIL ved generalprøven ikke havde gennemført foranstaltninger, der var passende for det efterfølgende identificerede risikoniveau. STIL levede dermed ikke op til databeskyttelsesforordningens artikel 32, hvilket Datatilsynet udtaler alvorlig kritik af.

Datatilsynet skal generelt indskærpe, at der i forbindelse med udvikling og test af programmer skal udvises den fornødne opmærksomhed, hvis der sker behandling af personoplysninger. Hvis der anvendes produktionsdata som led i udviklingen, skal der foreligge en vurdering af risikoen for de registreredes rettigheder, og der skal i overensstemmelse med denne være etableret passende sikkerhed inden behandlingen påbegyndes. Endvidere skal der i alle de tilfælde, hvor risikoen for den registrerede måtte være høj, være foretaget en konsekvensanalyse inden behandlingen af personoplysninger påbegyndes.

Da udviklingen af programmet Den Digitale Prøvevagt for nærværende er sat i bero, og da STIL med afsæt i risikovurderingen har besluttet, at der inden evt. ibrugtagning skal gennemføres en ny særskilt risikovurdering og en konsekvensanalyse, finder Datatilsynet, at tilsynet ikke på nuværende tidspunkt har grundlag for at tage stilling til behandlingen af personoplysninger ved brug af programmet fremadrettet.

Det fremgår af afgørelsen, at Datatilsynet forventede at afholde et møde med STIL og Børne- og Undervisningsministeriet med henblik på nærmere at drøfte de databeskyttelsesretlige problemstillinger i forbindelse med en eventuel fortsat udvikling af Den Digitale Prøvevagt. Dette møde er ikke blevet afholdt grundet de særlige omstændigheder omkring COVID-19.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor Datatilsynet den 5. marts 2019 på baggrund af bl.a. medieomtale besluttede at undersøge Den Digitale Prøvevagt af egen drift.

Ved breve af 5. marts 2019 og 10. maj 2019 anmodede Datatilsynet henholdsvis Børne- og Undervisningsministeriet (herefter ministeriet) og Styrelsen for IT og Læring (herefter STIL) om udtalelser til brug for sagens behandling. Undervisningsministeriet er ved breve af den 9. april 2019 og 5. september 2019 fremkommet med to udtalelser.

Nedenfor følger en nærmere gennemgang af sagen og Datatilsynets afgørelse. Afgørelsens punkt 1 vedrører behandlingen af personoplysninger, der er sket i forbindelse med en generalprøve den 7. marts 2019. Afgørelsens punkt 2 angår udviklingen af programmet Den Digitale Prøvevagt.

1. Generalprøven

I forbindelse med udviklingen af programmet Den Digitale Prøvevagt blev der den 7. marts 2019 afholdt en generalprøve. I forbindelse med denne generalprøve blev der behandlet personoplysninger om ca. 8.000 gymnasieelever.

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at STILs behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

1.1. Sagsfremstilling

Den Digitale Prøvevagt er et monitoreringssystem, der udvikles af STIL, og som efter det oplyste vil blive stillet gratis til rådighed for de gymnasiale institutioner som et tilføjelsesprogram til hjemmesiden Netprøver.dk med det formål at sikre, at prøver og eksamener er objektive og fair.

Det er hensigten, at programmet skal kunne dokumentere en række handlinger, som eleverne foretager på deres computer under afvikling af prøver, med henblik på at kunne opdage og forebygge, at eleverne snyder under prøverne.

Det fremgår af sagen, at der den 7. marts 2019 blev gennemført en generalprøve af Netprøver.dk indeholdende programmet Den Digitale Prøvevagt. Det var frivilligt for eleverne, om de ønskede at medvirke til testen af Den Digitale Prøvevagt, og dermed om de ønskede at aktivere monitoreringssystemet under prøven. Der var ca. 8.000 elever, der valgte at installere og teste Den Digitale Prøvevagt. Der blev i forbindelse med denne generalprøve behandlet personoplysninger om de elever som frivilligt havde installeret og testet systemet.

De personoplysninger, der blev indsamlet under generalprøven, blev slettet den 14. marts 2019.

Børne- og Undervisningsministeriets bemærkninger

Børne- og Undervisningsministeriet har anført, at dataansvaret for behandling af personoplysninger ved brug af programmet Den Digitale Prøvevagt vil være hos de enkelte institutioner for gymnasiale uddannelser, da behandlingen af elevernes oplysninger alene sker til institutionens formål og på institutionens vegne. På samme måde var det de enkelte institutioner, der var dataansvarlige for behandlingen af personoplysninger ved generalprøven. STIL står imidlertid for udviklingen af programmet og stiller dette til rådighed for uddannelsesinstitutionerne. STIL behandler endvidere personoplysninger på vegne af de enkelte institutioner i forbindelse med, at programmet stilles til rådighed, hvorfor STIL agerer som databehandler.  

Ministeriet har herudover anført, at formålet med generalprøven var at teste Netprøver.dk med Den Digitale Prøvevagt forud for den påtænke idriftsættelse af programmet ved eksaminerne sommeren 2019, herunder primært om monitoreringsfunktionen fungerede teknisk og havde kapacitet til at håndtere, at mange tusinde elever anvendte løsningen på samme tid. Samtidig var formålet at give eleverne mulighed for at prøve en eksamenslignende situation med Den Digitale Prøvevagt, dog uden at der var tale om kontrol af den enkelte elev.

Både ministeriet og STIL var opmærksomme på, at der var processer i prøveafviklingssystemet, som kunne testes uden behandling af personoplysninger. Sådanne tests var sket forud for generalprøven. Det var imidlertid også nødvendigt at teste systemet med rigtige elever og rigtige medarbejdere, da erfaringerne fra senere års belastningstests har vist, at det er særdeles vanskeligt at forudsige brugernes adfærd i systemet, hvorfor det var nødvendigt at foretage en belastningstest med indsamling af personoplysninger.

Af ministeriets udtalelse af 5. september 2019 fremgår endvidere:

”Behandlingssikkerheden for DDP er og vil i overensstemmelse med databeskyttelsesforordningens artikel 32, jf. artikel 5, stk. 1, litra f, blive fastlagt under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne, behandlingens karakter, omfang, sammenhæng, formål, risici og elevernes rettigheder.

[…]

Som led i udviklingen af DDP sker der løbende test af DDP, herunder den nævnte generalprøve den 7. marts 2019. I den sammenhæng havde STIL allerede forud for generalprøven planlagt at gennemføre en risikovurdering af Netprøver.dk, herunder DDP, i uge 13 2019. Tidspunktet blev bl.a. valgt for at for at kunne inddrage erfaringerne fra generalprøven til at afdække og beslutte behovet for yderligere sikkerhedsforanstaltninger af teknisk og organisatorisk art.”

Det er blevet oplyst, at risikovurderingen er blevet gennemført i overensstemmelse med det ovenstående den 27. marts 2019. Angående resultatet af denne risikovurdering fremgår følgende af ministeriets udtalelse:

”Resultatet af risikovurderingen har givet anledning til en gennemgang af den eksisterende logning med henblik på at sikre, at logningen er tilstrækkelig, ligesom resultatet har afdækket et behov for en yderligere skærpelse af adgangsstyringen til nogle roller, idet adgangen til personoplysninger i Netprøver.dk, herunder DDP, er baseret på en rollemodel. For belysning af iværksatte tekniske og organisatoriske tiltag omkring DDP henvises til ministeriets redegørelse af 9. april 2019, pkt. 6.”

Under generalprøven kunne STIL endvidere konstatere, at leverandøren ikke som aftalt havde deaktiveret en keylogger-funktion i Mac-klienten. Elever med Mac-computere fik derfor logget deres tastetryk under generalprøven. Udfordringen blev håndteret ved, at al data fra denne kilde løbende blev slettet under generalprøven. Keyloggerfunktionen er efterfølgende helt fjernet fra programmet.

Endelig har ministeriet oplyst, at funktionaliteten Den Digitale Prøvevagt ikke er færdigudviklet og, at generalprøven viste, at programmet ikke fungerede godt nok. STIL har endvidere med afsæt i en risikovurdering besluttet, at der skal gennemføres en ny særskilt risikovurdering inden eventuel ibrugtagning af programmet, og at der skal udarbejdes en konsekvensanalyse, hvis det besluttes, at programmet skal færdigudvikles.

1.2. Begrundelse for Datatilsynets afgørelse

Efter databeskyttelsesforordningens artikel 32 skal den dataansvarlige og databehandleren under hensynstagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

For at kunne etablere en tilstrækkelig sikkerhed og forhindre, at der sker behandling i strid med databeskyttelsesforordningen, skal den dataansvarlige eller databehandleren vurdere de risici, som en behandling indebærer, og gennemføre foranstaltninger, der kan begrænse disse risici. Denne risikovurdering skal foretages inden påbegyndelse af behandling af personoplysninger.

På baggrund af sagens oplysninger lægges det til grund, at STIL behandler personoplysninger som følge af programmet Den Digitale Prøvevagt som databehandler og dermed på vegne og under instruks af de enkelte gymnasiale institutioner.

Datatilsynet lægger endvidere til grund, at sikkerhedsniveauet i testmiljøet, som blev anvendt ved generalprøven, ifølge STIL skulle være det samme som i det forventede produktionsmiljø.   

Det lægges herudover til grund, at STIL under generalprøven og ved en efterfølgende risikovurdering har konstateret flere sikkerhedsmæssige problematikker, herunder at en keyloggerfunktion var slået til, og at der var uhensigtsmæssig brugerstyring og dermed utilsigtet adgang til oplysningerne. Endvidere har STIL foretaget en revurdering og er kommet frem til, at der skal udføres en fornyet risikovurdering, og at kriterierne for, at der skal foretages en konsekvensanalyse er opfyldt.

Endelig lægges det til grund, at STIL først gennemførte en risikovurdering, efter at generalprøven var gennemført, og dermed efter behandlingen af personoplysninger ved brug af programmet var påbegyndt.

Datatilsynet finder – som anført af STIL – at den efterfølgende risikovurdering viste en række forhold, hvor den implementerede sikkerhed var utilstrækkelig. Datatilsynet finder på den baggrund, at STIL ikke ved generalprøven havde gennemført foranstaltninger der var passende for det efterfølgende identificerede risikoniveau. STIL har derved ikke levet op til databeskyttelsesforordningens artikel 32, hvilket giver Datatilsynet grundlag for at udtale alvorlig kritik.

Datatilsynet skal herudover indskærpe, at en risikovurdering med henblik på at identificere det passende sikkerhedsniveau skal være foretaget inden behandlingen af personoplysninger påbegyndes. I de tilfælde, hvor betingelserne i databeskyttelsesforordningens artikel 35, stk. 1, er opfyldt, skal der tilsvarende foretages en konsekvensanalyse, inden behandlingen af personoplysninger påbegyndes.

Datatilsynet har på baggrund af det oplyste, noteret sig, at STIL vurderede, at det var nødvendigt på det pågældende udviklingsstadie af programmet at teste systemet med rigtige elever og rigtige medarbejdere, da belastningstests uden brug af personoplysninger tidligere har vist sig at være utilstrækkelige. STIL havde dermed vurderet, at det var nødvendigt at gennemføre en test med personoplysninger i et realistisk set-up med ca. 50.000 samtidige brugere.

Datatilsynet har samtidig noteret sig, at det blev besluttet, at den omhandlede generalprøve – og dermed den nødvendige belastningstest af programmet Den Digitale Prøvevagt – var frivillig for eleverne, og at alene 8.000 elever deltog i generalprøven. Som følge af den noget lavere deltagelse i generalprøven end forudsat af STIL må det herefter antages, at formålet med en belastningstest ikke blev opnået.

Datatilsynet bemærker i den forbindelse, at det er tilsynets opfattelse, at det ikke er muligt for en registreret at aftale eller samtykke sig til et lavere sikkerhedsniveau end påkrævet efter forordningens artikel 32, hvorfor databeskyttelsesforordningens regler om behandlingssikkerhed altid skal iagttages, når der behandles personoplysninger, uanset om den registrerede selv giver udtryk for, at vedkommende accepterer et lavere end passende sikkerhedsniveau.

2. Udvikling af funktionen Den Digitale Prøvevagt

Det fremgår af Børne- og Undervisningsministeriets udtalelse af 5. september 2019, at udviklingen af Den Digitale Prøvevagt som ny funktionalitet til Netprøver.dk for nærværende er sat i bero.

På baggrund af de fremsendte udtalelser har Datatilsynet noteret sig, at der på nuværende tidspunkt ikke er tale om et færdigudviklet program, og at STIL med afsæt i en risikovurdering har besluttet at gennemføre en ny særskilt risikovurdering inden evt. ibrugtagning, samt at der ved en eventuel beslutning om forsat udvikling af Den Digitale Prøvevagt også vil skulle udarbejdes en konsekvensanalyse.

På baggrund heraf finder Datatilsynet, at der på nuværende tidspunkt ikke er grundlag for, at tilsynet tager stilling til behandlingen af personoplysninger ved brugen af dette program, når det er færdigudviklet. Datatilsynet agter imidlertid at afholde et møde med STIL og Børne- og Undervisningsministeriet den 30. marts 2020 kl. 13 hos Datatilsynet med henblik på nærmere at drøfte de databeskyttelsesretlige problemstillinger i forbindelse med en eventuel fortsat udvikling af Den Digitale Prøvevagt.

Datatilsynet ønsker på dette møde særligt at drøfte følgende punkter:

  • Princippet om dataminimering efter databeskyttelsesforordningens artikel 5, stk. 1, litra c,
  • behandling af særlige kategorier af oplysninger omfattet af forbuddet mod behandling i databeskyttelsesforordningens artikel 9, stk. 1,
  • udarbejdelse af konsekvensanalyse efter databeskyttelsesforordningens artikel 35,
  • behandlingssikkerhed efter databeskyttelsesforordningens artikel 32

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).