Journalnummer: 2020-432-0034
Resumé
Datatilsynet har truffet afgørelse i en sag, hvor Datatilsynet på baggrund af en telefonisk henvendelse besluttede at undersøge IT-Universitetets (ITU) brug af et tilsynsprogram ved en onlineeksamen nærmere.
ITU var som følge af COVID-19-situationen blevet pålagt at afholde undervisning og eksaminer online. ITU vurderede, at det i et enkelt fag var nødvendigt at føre tilsyn med de studerende ved hjælp af et tilsynsprogram, der under den tre timer lange eksamen foretog video-, lyd- og skærmoptagelser og registrering af browsersøgehistorik fra de studerendes computere.
Datatilsynet fandt konkret i sagen, at ITU’s brug af tilsynsprogrammet var foretaget inden for rammerne af de databeskyttelsesretlige regler.
Datatilsynet lagde i sin afgørelse blandt andet vægt på følgende omstændigheder:
- ITU havde foretaget en konkret nødvendighedsvurdering af behovet for eksamenstilsyn i forhold til de fag, ITU udbød, og ITU havde vurderet det nødvendigt i et enkelt fag.
- ITU havde ved udvælgelsen af overvågningsprogrammet valgt et program, der i forhold til de konkrete omstændigheder var det mindst indgribende.
- ITU havde orienteret de studerende om den ekstraordinære behandling af personoplysninger.
- ITU havde truffet en række sikkerhedsmæssige foranstaltninger i forbindelse med tilsynsprogrammets behandling af oplysninger om de studerende.
Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor tilsynet den 30. april 2020 af egen drift på baggrund af en konkret henvendelse besluttede at undersøge IT-Universitetet i Københavns (herefter ITU) behandling af personoplysninger ved brug af programmet ”ProctorExam”.
Nedenfor følger en nærmere gennemgang af sagen og Datatilsynets afgørelse.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at ITU’s behandling af personoplysninger er sket inden for rammerne af reglerne i databeskyttelsesforordningens[1] artikel 5, artikel 6, stk. 1, og databeskyttelseslovens[2] § 11, stk. 1.
Datatilsynet finder endvidere, at ITU’s behandling i forbindelse med brugen af ProctorExam er sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra f, artikel 32, og artikel 35.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Datatilsynet modtog den 30. april 2020 en telefonisk henvendelse om, at ITU havde i sinde at føre kontrol med eksaminanders computere under prøveafholdelse ved skriftlig hjemmeeksamen ved hjælp af et monitoreringsværktøj kaldet ProctorExam.
Efter det oplyste ville ITU i forbindelse hermed få adgang til eksaminandens webcams og skærme, og den påtænkte behandling ville finde sted på baggrund af eksaminandens samtykke. Hvis eksaminanden ikke ønskede at give samtykke, ville eksaminanden ikke få mulighed for at gå til eksamen.
Datatilsynet anmodede på baggrund heraf den 30. april 2020 ITU om en udtalelse til sagen. ITU fremkom den 7. maj 2020 med en udtalelse til sagen.
Den 12. maj 2020 anmodede tilsynet som følge heraf om en ny udtalelse til sagen. ITU fremkom den 25. maj 2020 med en supplerende udtalelse. ITU oplyste bl.a. i udtalelsen, at eksamen blev afholdt den 13. maj 2020.
2.1. ITU’s bemærkninger
2.1.1. Baggrund for kontrol ved skriftlig hjemmeprøve
ITU har indledningsvis forklaret, at regeringen på grund af COVID-19-situationen foretog en fysisk nedlukning af universiteterne, og at regeringen samtidig stillede krav om, at undervisningen og eksaminer skulle gennemføres online.
ITU omlagde på baggrund heraf undervisning og eksaminer til at foregå online.
Undervisnings- og Forskningsministeriet instruerede samtidig ITU om at afholde eksaminer under sædvanlige regler om integritet, selvom eksaminer ikke måtte afholdes som stedprøve på ITU.
ITU er som uddannelsesinstitution forpligtet til at sikre, at kvaliteten af undervisning og eksaminer fastholdes, ligesom ITU indestår som bevisudstedende universitet for, at eksamensbeviser for gennemførte bachelor- og kandidatuddannelser og anden studieaktivitet er retvisende, og at dimittenterne har de faglige kompetencer, der fremgår af beviset, samt at de dimitterende på retmæssig vis har opnået de påførte resultater.
Endvidere har ITU anført, at ITU og andre universiteter derfor har ret til at tage initiativer for at kontrollere, at de studerende ikke har fået uretmæssig hjælp til at gennemføre deres eksaminer, hvilket fremgår af et brev af 12. september 2019 fra Styrelsen for Forskning og Uddannelse.
Som følge af omlægningen til online eksaminer, har ITU for hver enkelt eksamen vurderet, om omlægningen og gennemførelsen af eksaminerne kunne gennemføres uden overvågning.
ITU har som følge heraf vurderet, at det ikke er muligt at omlægge eksamen i faget ”Algorithms and Data Structures” helt uden overvågning. Begrundelsen herfor er, at faget er et grundlæggende kursus, hvor de studerende skal vise deres basale færdigheder inden for emneområdet. Alle korrekte svar i denne eksamen vil være identiske, fordi der er ét korrekt svar uden forklaring eller uddybning, og det er derfor i denne eksamen afgørende, at eksaminanderne ikke har kommunikeret med hinanden eller fået hjælp fra andre. Dette behov er der ikke i forhold til andre eksaminer, hvor formålet f.eks. er, at de studerende viser og beskriver, hvordan de er kommet frem til resultaterne, hvorfor svarene vil være forskellige, således at helt identiske svar vil dermed kunne identificeres som plagiat.
ITU har derfor bekræftet, at universitetet påtænkte at anvende monitoreringsværktøjet ProctorExam den 13. maj 2020 i forbindelse med hjemmeeksamen i faget ”Algorithms and Data Structures”, og at ITU i den henseende er dataansvarlig for behandlingen af personoplysninger ved brug af ProctorExam.
2.1.2. Behovet for ProctorExam og behandlingen af personoplysninger i forbindelse hermed
ITU har anført, at formålet med brugen af ProctorExam er at føre tilsyn med eksaminanderne under eksamen og undgå eksamenssnyd. ITU skal i den forbindelse sikre:
- at en afleveret besvarelse ikke er udfærdiget af tredjemand, og
- at eksaminanden har udfærdiget besvarelsen uden at modtage nogen form for assistance.
Første punkt sikres ved, at eksaminanden identificerer sig ved at fremvise sit ITU-udstedte studiekort til kameraet ved eksaminationens begyndelse. Er eksaminanden ikke i besiddelse af et studiekort, kan kørekort eller pas fremvises i stedet.
ITU mener, at videooptagelserne af eksaminanden er en rimelig og nødvendig foranstaltning for at sikre identiteten af den person, som afgiver besvarelse til eksamen.
Andet punkt sikres ved at overvåge og optage eksaminandens muligheder for at kommunikere:
- Lydoptagelsen sikrer, at det vil blive opdaget, hvis eksaminanden tiltales.
- Videooptagelsen sikrer, at det vil blive opdaget, hvis den studerende benytter mobiltelefon el. lign. til kommunikation, eller hvis eksaminanden åbenlyst modtager (lydløs) instruktion fra en person i lokalet.
- Optagelsen af skærmindholdet sikrer, at det vil blive opdaget, hvis eksaminanden kommunikerer ved hjælp af f.eks. mail, chat eller internet-fora direkte på eksaminandens computer.
ITU mener, at de tre optagelser er en rimelig og nødvendig foranstaltning for at sikre, at eksaminanden ikke kommunikerer under eksamen, og at de tre optagelser er særskilt nødvendige.
Det fremgår herudover, at cirka 330 studerende er tilmeldt faget ”Algorithms and Data Structures” i forårssemestret 2020, og at ITU således behandler oplysninger om cirka 330 studerende.
Andre personer kan risikere at bevæge sig forbi eksaminandens kamera, hvorfor ITU kan komme til at behandle oplysninger om andre end de cirka 330 studerende. Det er dog et krav, at eksaminanden er alene, hvorfor det vil være et uheld, en krisesituation eller i forbindelse med snyd, hvis dette ikke er tilfældet.
Der behandles personoplysninger, herunder nogle fortrolige oplysninger, i form af navnlig:
- Billedlegitimation på eksaminanden – studiekort, kørekort eller pas (alm. eksamenslegitimation)
- Videooptagelse af eksaminanden (i stedet for de normale eksamensvagters observation af eksaminanderne under eksamen)
- Lydoptagelse af eksaminanden (i stedet for de normale eksamensvagters observation af eksaminanderne under eksamen)
- Skærmbilleder af eksaminandens computer (i stedet for de normale eksamensvagters observation af eksaminanderne under eksamen)
- Registrering af eksaminandens browserhistorik i de tre timer, som eksamen varer (browserhistorikken registreres hverken før eller efter eksamen)
Der behandles ikke følsomme oplysninger, medmindre eksaminanden, bevidst eller ubevidst, selv deler sådanne foran computerens kamera, mundtligt eller via sin skærm.
Behandlingen af oplysninger om eksaminanderne sker med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra e, jf. databeskyttelseslovens § 6, stk. 1.
Det er ikke ITU’s mening, at der skal behandles følsomme oplysninger, men i det omfang en eksaminand, bevidst eller ubevidst, deler sådanne, anses hjemlen til denne behandling at være databeskyttelsesforordningens artikel 9, stk. 2, litra g, jf. databeskyttelseslovens § 7, stk. 4. ITU har i øvrigt opfordret eksaminanderne til at arrangere deres computere således, at der ikke foretages utilsigtet behandling af følsomme oplysninger i forbindelse med optagelserne af video, lyd og skærm.
ITU oplyser endvidere, at ITU er opmærksom på Datatilsynets afgørelse vedrørende Fredericia Gymnasium. Det er i den forbindelse ITU’s opfattelse, at rammerne for ITU’s anvendelse af ProctorExam adskiller sig væsentligt fra Fredericia Gymnasiums tidligere anvendelse af ExamCookie, ligesom systemerne i sig selv adskiller sig væsentligt fra hinanden.
ITU har i denne forbindelse anført bl.a., at ProctorExam modsat ExamCookie ikke kræver installation af general-purpose software; at ProctorExam ikke overvåger netværkstrafik, clipboard-indhold eller baggrundsprocesser; at ITU alene benytter ProctorExam til eksamen, hvor det vurderes nødvendigt; at ExamCookie automatisk sorterede elevernes data og viste enhver kommunikation med omverdenen eller brug af ikke-tilladte hjælpemidler, mens ProctorExam alene optager lyd, billede og skærm, hvorefter enkelte medarbejdere potentielt efterfølgende gennemgår dele af optagelserne manuelt; og at ExamCookie blev brugt som en yderligere kontrol til almindelige stedprøver, mens den afholdte onlinestedprøve på ITU krævede fjerntilsynsførelse og dermed et dedikeret software som ProctorExam.
Endvidere har ITU anført, at der ikke behandles biometriske data om eksaminanden ved eksaminandens billedlegitimering i begyndelsen af eksamen. Personale fra ITU kontrollerer ved stikprøvekontrol manuelt eksaminandens identitet ved at holde studiekort eller andet billedlegitimation op mod ansigtet, som fremgår af computerens kamera. ITU benytter ikke software-baseret ansigtsgenkendelse eller anden teknisk behandling til entydigt at identificere eksaminanden.
Behandlingen af oplysninger om eksaminanderne er efter ITU’s opfattelse i overensstemmelse med de grundlæggende principper i databeskyttelsesforordningens artikel 5, herunder stk. 1, litra a, c og f.
ITU har i den forbindelse anført, at behandlingen har hjemmel i databeskyttelseslovgivningen, at oplysningsforpligtelsen er opfyldt, og at databehandling via ProctorExam efter ITU’s vurdering er den mindst muligt indgribende løsning, når det sammenholdes med formålet om, at eksamen skal gennemføres online, og behovet for eksamenstilsyn. Endelig har ITU anført, at ITU har implementeret tekniske og organisatoriske sikkerhedsforanstaltninger, som sikrer et passende sikkerhedsniveau.
Optagelserne af eksaminanderne opbevares af ProctorExam på servere i Frankfurt i 21 dage, hvorefter optagelserne slettes. Det er ITU’s vurdering, at 21 dage er det kortest mulige tidstum, da der skal være tid til at gennemgå optagelser fra 330 eksaminander.
2.1.3. Oplysninger om behandlingen
ITU har anført, at ITU opfylder oplysningsforpligtelsen i databeskyttelsesforordningen ved, at studerende på ITU ved studiestart modtager og via ITU’s kommunikationsplatform kan tilgå ITU’s generelle oplysningspligtskrivelse, hvoraf oplysninger om ITU’s behandling af personoplysninger fremgår.
Endvidere har ITU udleveret en konkret beskrivelse af den behandling af personoplysninger, som foregår i forbindelse med eksaminationen i ”Algorithms and Data Structures” og brugen af ProctorExam. Denne beskrivelse har haft særlig fokus på bedst muligt at ramme målgruppen – eksaminanderne – i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form i et klart og enkelt sprog, som det kræves efter databeskyttelsesforordningens artikel 12, stk. 1.
2.1.4. ProctorExams tekniske anvendelse og sikkerhedsniveau
ProctorExams tilsynsløsning optager video, lyd og skærmbillede fra kamera, mikrofon og skærm på eksaminandens computer under eksaminationen. Optagelserne pågår konstant i eksamens varighed, som er tre timer. Endvidere optager ProctorExam eksaminandens browserhistorik under eksamen.
Optagelserne fra eksaminandens computer transmitteres løbende til ProctorExams servere i Frankfurt, Tyskland.
Autoriseret ITU-personale kan efter eksamen tilgå optagelserne fra deres lokale computer via et webinterface. Det autoriserede personale består af kursets tre undervisere, ITU’s tekniske support til systemet (enkelte ansatte i Learning Support og Studieadministrationen) og eksamenstilsynet (ansatte i Studieadministrationen og Learning Support).
ITU’s medarbejderes adgang til optagelserne kontrolleres ved brugernavn og kodeord. ITU har efterspurgt en 2-faktor autentifikation, men har ikke fået dette. ITU har derfor indskærpet over for personalet, som har adgang til ProctorExam, at ITU’s stående password-politik også gælder for ProctorExam – særligt at personalet skal undgå password-genbrug, og at passwordet skal have tilstrækkelig styrke.
Enkelte ansatte fra ProctorExam vil endvidere have adgang til optagelserne. Disse er underlagt fortrolighed, hvilket også gælder for underdatabehandlere.
Optagelserne transmitteres krypteret efter almindelige best practices (https) – både ved den løbende transmittering under eksaminationen og ITU-personalets efterfølgende tilgang til optagelserne via webinterface. Hertil benyttes TSL (via AWS), og ITU’s it-afdeling har verificeret, at der benyttes Protocol TLS 1.3, X25519, AES_128_GCM. Personoplysningerne er ”at rest” krypteret ved Amazon S3 server-side encryption, AES-256. AWS arkitekturen er ISO 27018 certificeret og overholder ”EU Cloud Code of Conduct”.
Optagelserne sker via en udvidelse (en ”extension”) til webbrowseren Google Chrome. Udvidelsen udnytter allerede eksisterende features til at implementere ekstra funktionalitet, hvorved det bliver muligt at optage video, lyd og skærmindhold.
Udvidelsen installeres via Googles ”chrome web store”, og installationen er dermed underlagt Googles egenkontrol, som ifølge ITU’s professorer inden for it-sikkerhed, er vurderet at være blandt de sikreste og bedste på markedet. Udvidelsen er ligetil at installere og afinstallere, og risikoen for, at udvidelsen afinstalleres ukorrekt eller delvist er meget lille.
ITU har endvidere indgået en kommerciel kontrakt og en databehandleraftale med ProctorExam for at sikre, at udvidelsen til Google Chrome virker efter hensigten, og at ProctorExams behandling af oplysninger på vegne af ITU sker i overensstemmelse med databeskyttelsesreglerne.
ITU har ved fastsættelsen af et passende sikkerhedsniveau taget udgangspunkt i ITU’s risikovurdering for den behandlingsaktivitet, som består af tre delvurderinger i forhold til de studerendes rettigheder og frihedsrettigheder:
- Uautoriseret adgang til persondata= lav
- Uautoriseret sletning eller tab af persondata= lav
- Uautoriseret ændring af persondata= lav
På baggrund af denne risikovurdering har ITU primært truffet følgende foranstaltninger:
- Der er valgt en teknisk løsning, der minimerer IT-sikkerhedsrisikoen for den studerendes computer (Google Chrome plugin) og fejlagtig aktivering
- Der er valgt en løsning, der kun optager det allermest nødvendige, og kun under selve eksamen.
- Der er valgt en løsning, hvor data er krypteret, både i transmission og lagret.
- ITU’s personale, der tilgår data, gør det kun fra deres ITU arbejdsmaskiner, der selv er underlagt ITU’s IT-sikkerhedspolitik.
- Den personalegruppe, der har adgang til data, er begrænset til det minimale.
- Der er valgt en meget restriktiv opbevaringspolitik på 21 dage
- Eksaminanderne er fuldt informerede om optagelserne, og de er opfordret til om nødvendigt at begrænse synligheden af private detaljer i deres private hjem, f.eks. ved strategisk at vælge, hvor de sidder under eksamen.
Alt i alt har ITU vurderet risikoen for eksaminandernes rettigheder og frihedsrettigheder som meget lav. Endvidere er det ITU’s vurdering, at de trufne sikkerhedsforanstaltninger sikrer et passende sikkerhedsniveau, og at tilbageværende risici står mål med behovet for at føre tilsyn til eksamen.
3. Begrundelse for Datatilsynets afgørelse
3.1. Behandling af personoplysninger ved brugen af ProctorExam
3.1.1.
Det følger af databeskyttelsesforordningens artikel 2, stk. 1, at forordningen finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register.
Af databeskyttelsesforordningens artikel 6, stk. 1 fremgår det, at behandling af personoplysninger kun er lovlig, hvis og i det omfang mindst ét af forholdene i litra a-f gør sig gældende. Af litra e, fremgår det, at personoplysninger kan behandles, når behandling er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
Endvidere fremgår det af databeskyttelseslovens § 11, stk. 1, at offentlige myndigheder kan behandle oplysninger om personnummer med henblik på en entydig identifikation eller som journalnummer.
Datatilsynet lægger på baggrund af ITU’s udtalelser i sagen til grund, at ITU er dataansvarlig for den behandling af personoplysninger, som foretages i forbindelse med brugen af ProctorExam, og at formålet med den pågældende behandling af personoplysninger er at føre tilsyn med eksaminanderne under eksamen i faget ”Algorithms and Data Structures” og undgå eksamenssnyd.
Der behandles efter det oplyste personoplysninger i form af video- og lydoptagelse af eksaminanderne, skærmbilleder af eksaminandernes computere, registrering af eksaminandernes browserhistorik og billedlegitimation i form af pas, studie- eller kørekort om cirka 330 eksaminander. Video-, lyd- og skærmoptagelserne pågår i eksaminationstiden, som er tre timer.
Tilsynet lægger på baggrund heraf til grund, at ITU efter omstændighederne også behandler oplysninger om eksaminandernes personnummer ved brugen af ProctorExam, da personnummer fremgår af pas og kørekort.
Datatilsynet har endvidere lagt vægt på, at ITU som følge af COVID-19-situationen blev pålagt en fysisk nedlukning, og at al undervisning og alle eksaminer fremadrettet skulle gennemføres online, samtidig med at online eksaminer skulle afholdes under sædvanlige regler om integritet. Som følge heraf foretog ITU efter det oplyste en vurdering af behovet for eksamenstilsyn i de fag, som ITU udbyder.
ITU vurderede, at det var særlig nødvendigt med eksamenstilsyn i faget ”Algorithms and Data Structures”, idet faget var et grundlæggende kursus, hvor de studerende skulle vise deres basale færdigheder inden for emneområdet. Alle korrekte svar i eksamen ville være identiske, da der var ét korrekt svar uden forklaring eller uddybning, hvorfor det modsat andre fag var afgørende at kunne påvise, at eksaminanden ikke fik hjælp fra andre.
Datatilsynet finder efter en konkret vurdering af sagens oplysninger, at der ikke er grundlag for til at tilsidesætte ITU’s vurdering af nødvendigheden for tilsyn i forbindelse med eksaminationen i faget ”Algorithms and Data Structures”, og at ITU’s behandling af personoplysninger ved brugen af ProctorExam kan ske inden for rammerne af databeskyttelsesforordningens artikel 6, stk. 1, litra e.
Datatilsynet finder endvidere, at ITU kan behandle eksaminandernes personnummer, jf. databeskyttelseslovens § 11, stk. 1, med henblik på entydig identifikation af eksaminanderne for at forbygge og forhindre eksamenssnyd.
3.1.2.
De grundlæggende principper for behandling af personoplysninger, som fremgår af databeskyttelsesforordningens artikel 5, skal iagttages i forbindelse med enhver behandling af personoplysninger.
Dette indebærer bl.a., at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede, jf. bestemmelsens stk. 1, litra a (»lovlighed, rimelighed og gennemsigtighed«). Det indebærer bl.a., at behandlingen skal være proportional i forhold til de(t) formål, som personoplysninger behandles til.
Endvidere skal personoplysninger være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles, jf. bestemmelsens stk. 1, litra c (»dataminimering«).
Datatilsynet finder, at ITU’s behandling af oplysninger om eksaminander i faget ”Algorithms and Data Structures” ved brug af ProctorExam er i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra a og c.
Der er herved lagt vægt på, at formålet med behandlingen er at føre tilsyn med eksaminanderne under eksamen og undgå eksamenssnyd, og at video-, lyd- og skærmoptagelse af eksaminanderne samt registrering af browserhistorik, mens eksamen pågår, imødeser behandlingsformålet og sikrer, at eksamensbesvarelsen ikke er assisteret af eller lavet af tredjemand.
ITU har redegjort for den konkrete nødvendighed af og det konkrete omfang af den pågældende behandling af personoplysninger, da lyd-, video- og skærmoptagelser samt browserhistorik sikrer, at ITU kan opdage, om en eksaminands eksamensbesvarelse er udfærdiget på utilbørlig vis.
ITU har endvidere redegjort for de it- og sikkerhedsmæssige foranstaltninger, som er foretaget for at sikre, at oplysninger om eksaminanderne behandles på tilbørlig vis. Datatilsynet henviser til afsnit 3.3 for mere herom.
Datatilsynet har af hensyn til fagets eksamensform og karakter samt omfanget af den pågældende behandling af personoplysninger ikke fundet anledning til at tilsidesætte denne vurdering.
Endelig har Datatilsynet noteret sig, at ITU har sat en kort opbevaringsfrist på 21 dage, hvorefter optagelserne slettes.
Datatilsynet bemærker afslutningsvis, at den dataansvarlige i forbindelse med vurderingen af nødvendigheden af tilsyn ved online eksaminationer skal overveje, om det er muligt at omlægge eksamensformen, således at eksamen kan gennemføres betryggende og samtidig i mindst muligt indgribende form, for så vidt angår behandling af personoplysninger.
3.1.3.
Det fremgår af databeskyttelsesforordningens artikel 9, stk. 1, at behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt.
Af bestemmelsens stk. 2, litra a-j, fremgår visse undtagelser til forbuddet i stk. 1. Det fremgår bl.a. af litra g, at oplysningerne oplistet i stk. 1, kan behandles, hvis behandling er nødvendig af hensyn til væsentlige samfundsinteresser på grundlag af EU-retten eller medlemsstaternes nationale ret og står i rimeligt forhold til det mål, der forfølges, respekterer det væsentligste indhold af retten til databeskyttelse og sikrer passende og specifikke foranstaltninger til beskyttelse af den registreredes grundlæggende rettigheder og interesser.
Det følger endvidere af databeskyttelseslovens § 7, stk. 4, at behandling af oplysninger omfattet af databeskyttelsesforordningens artikel 9, stk. 1, kan ske, hvis behandling af oplysninger er nødvendig af hensyn til væsentlige samfundsinteresser, jf. databeskyttelsesforordningens artikel 9, stk. 2, litra g.
ITU har oplyst, at der som udgangspunkt ikke behandles personoplysninger omfattet af databeskyttelsesforordningens artikel 9, men at det ikke kan udelukkes, at der i forbindelse med overvågning af eksaminandernes computere kan ske behandling af personoplysninger omfattet af forordningens artikel9.
ITU har henvist til, at oplysninger omfattet af forordningens artikel 9 i så fald behandles efter databeskyttelseslovens § 7, stk. 4.
Denne bestemmelse har karakter af en opsamlingsbestemmelse med et snævert anvendelsesområde som efter tilsynets opfattelse ikke kan udgøre et grundlag for behandling af oplysninger omfattet af forordningens artikel 9, ved brugen af ProctorExam.
Tilsynet har noteret sig, at ITU som udgangspunkt ikke behandler oplysninger omfattet af databeskyttelsesforordningens artikel 9, ved brugen af ProctorExam, og at behandling af sådanne oplysninger i vidt omfang må anses for utilsigtet i det omfang, at det måtte forekomme.
Med henblik på at undgå, at eksaminandernes adfærd utilsigtet giver anledning til behandling af følsomme oplysninger, henstiller Datatilsynet til, at ITU i et større omfang opfordrer eksaminanderne til og understreger nødvendigheden af, at eksaminanderne foretager foranstaltninger for at undgå utilsigtet deling af oplysninger, således at det tydeliggøres for de studerende, hvorledes de skal forholde sig i eksamenssituationenen i forhold til de behandlingsaktiviteter, der finder sted ved monitorering ved brug af ProctoExam. Tilsynet henviser til afsnit 3.2, hvor nødvendigheden af oplysninger om behandlingen gennemgås yderligere.
3.1.4.
Sammenfattende finder Datatilsynet således, at ITU’s behandling af oplysninger om eksaminanderne i forbindelse med eksamen i faget ”Algorithms and Data Structures” på grundlag af sagens oplysninger kan finde sted indenfor rammerne af databeskyttelsesforordningens artikel 5, herunder stk. 1, litra a og c, og artikel 6, stk. 1, litra e, og databeskyttelseslovens § 11, stk. 1.
Datatilsynet finder dog, at databeskyttelsesforordningens § 7, stk. 4, ikke giver hjemmel til at behandle oplysninger omfattet af forordningens artikel 9 i forbindelse ved ITU’s brug af ProctorExam.
3.2. Oplysninger om behandlingen
Det fremgår af databeskyttelsesforordningens artikel 5, stk. 1, litra a, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«)
Det følger bl.a. heraf, at den dataansvarlige har en forpligtelse til at sikre, at den dataansvarliges behandling af personoplysninger er gennemsigtig for de(n) registrerede.
Indledningsvis bemærker Datatilsynet, at det er tilsynets vurdering, at ITU’s behandling af oplysninger om eksaminanderne ved brug af ProctorExam ikke har karakter af viderebehandling til et andet formål, som udløser en ny oplysningspligt efter databeskyttelsesforordningens artikel 13, stk. 3. Henset til behandlingens særlige karakter bør der dog, som ITU konkret har gjort, gives yderligere oplysninger til de(n) registrerede for at sikre behandlingens gennemsigtighed.
Datatilsynet finder overordnet, at ITU har givet eksaminanderne i faget ”Algorithms and Data Structures” oplysninger om behandlingen af eksaminandernes personoplysninger i forbindelse med brugen af ProctorExam i overensstemmelse med databeskyttelsesforordningen.
Der er herved lagt særlig vægt på, at eksaminanderne i faget ”Algorithms and Data Structures” i forbindelse med eksamen har modtaget en oplysningsskrivelse, som konkret beskriver behandlingen af personoplysninger om eksaminanderne, der foretages i forbindelse med brugen af ProctorExam, og at denne oplysningsskrivelse har haft særlig fokus på at give den pågældende målgruppe – eksaminanderne – oplysningerne i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog.
Tilsynet har endvidere lagt vægt på det af ITU oplyste om, at studerende på ITU ved studiestart modtager en kopi af ITU’s generelle oplysningspligtskrivelse, som indeholder generelle oplysninger om ITU’s behandling af personoplysninger om de studerende i forbindelse med de studerendes uddannelsesforløb.
Den generelle oplysningspligtskrivelse er endvidere efter det oplyste tilgængelig på ITU’s kommunikationsplatform, som de studerende løbende kan tilgå.
Datatilsynet kan efter en gennemgang af oplysningsskrivelserne konstatere, at ITU overvejende har givet oplysninger om den pågældende behandling af personoplysninger i en kortfattet, gennemsigtig – og for målgruppen – letforståelig og lettilgængelig form og i et klart og enkelt sprog i overensstemmelse med forordningens artikel 5, stk. 1, litra a. Uanset, at de søgninger, der foretages fremgår af optagelse af skærmen, finder Datatilsynet dog, at det havde været rigtigst, at ITU havde oplyst eksaminanderne om, at der under eksamen tillige foretages en registrering af søgehistorik,
Datatilsynet henstiller endvidere til, at ITU tydeliggør nødvendigheden af og opfordrer til, at eksaminanden foretager foranstaltninger for at undgå utilsigtet deling af oplysninger, herunder oplysninger om andre eller oplysninger omfattet af forordningens artikel 9, jf. art. 5, stk. 1, litra a og c.
Endelig henstiller Datatilsynet til, at ITU giver eksaminanderne vejledende information om, hvordan eksaminanderne egenhændigt kan konfigurere den enkelte browserløsning – i dette tilfælde Google Chrome – således at browserløsningen kan indstilles med databeskyttelse for øje, jf. princippet i databeskyttelsesforordningens artikel 25.
3.3. Sikkerhedsforanstaltninger
Af databeskyttelsesforordningens artikel 5, stk. 1, litra f, følger det, at personoplysninger skal behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«).
Det følger endvidere af forordningens artikel 32, at den dataansvarlige og databehandleren under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder skal gennemføre passende tekniske og organisatoriske foranstaltning for at sikre et sikkerhedsniveau, der passer til disse risici.
Herudover fremgår det af databeskyttelsesforordningens artikel 35, at den dataansvarlige forud for en behandling, som sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, skal foretage en analyse af de påtænkt behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger.
Datatilsynet finder, at ITU’s behandling af personoplysninger ved brugen af ProctorExam er sket inden for rammerne af databeskyttelsesforordningens artikel 5, stk. 1, litra f, artikel 32, og artikel 35.
Datatilsynet har herved lagt vægt på det oplyste om, at ITU har udført en risikovurdering i forhold til de pågældende behandlingsaktiviteter, og hvilke risici disse aktiviteter udgjorde for de registreredes rettigheder og frihedsrettigheder. Behandlingsaktiviteterne udgjorde ifølge vurderingen generelt en lav risiko for eksaminandernes rettigheder og frihedsrettigheder.
Ud fra de oplysninger, som tilsynet har fået forelagt ikke finder grundlag for at tilsidesætte vurderingen af, at risikoen må anses for at være lav.
Datatilsynet har endvidere lagt vægt på, at ITU har afsøgt markedet for løsninger, som muliggjorde tilsyn med eksaminanderne under eksamen i faget ”Algorithms and Data Structures”, og at ITU har valgt den løsning (ProctorExam) som umiddelbart foretager den mindst indgribende behandling af personoplysninger og samtidig muliggør, at behandlingens formål kan imødekommes.
ProctorExam foretager alene optagelser i den tid, eksamen pågår, og løsningen, som er en ”extension” til Chrome, forudsætter ikke flere tilladelser til eksaminandernes computere end det, som er relevant og nødvendigt. Derudover er løsningen let af installere og afinstallere.
Endvidere transmitteres optagelserne løbende fra eksaminandernes computere krypteret, hvor protokol TLS 1.3 med X25519 og AES-GCM-128 benyttes. Det samme gælder, når optagelserne efterfølgende skal tilgås af det relevante personale.
Endelig opbevares optagelserne inden for EU på servere i Frankfurt, og optagelserne opbevares alene i 21 dage. Optagelserne er ”at rest” krypteret ved Amazon S3 server-side enxryption, AES-256.
Endelig har Datatilsynet lagt vægt på, at ITU har begrænset adgangen til de pågældende optagelser til det, som henset til antallet af eksaminander og opbevaringsperioden må anses for at være det nødvendige. Adgangen for de autoriserede medarbejdere sker på medarbejdernes lokale arbejdscomputere via et webinterface, og transmitteringen af data er også her krypteret ved brug af ovenfor nævnte protokol.
Afslutningsvis bemærker Datatilsynet, at det er beklageligt, at der ved adgangskontrol ikke er to-faktorautentifikation. Tilsynet har dog noteret sig, at det var efterspurgt af ITU, og at ITU har foretaget relevante skridt i forhold til password-sikkerheden for at imødekomme denne mangel.
Datatilsynets opfattelse af valg af IT-løsningen til overvågning af eksamen baserer sig på, at ITU har konfigureret den omhandlede browserekstension på en sådan måde, at oplysninger om eksaminanderne, herunder om søgehistorik, der ikke er relevante i forhold til overvågning af eksamen, ikke videregives til Google.
Datatilsynet opfordrer i den forbindelse generelt til, at den dataansvarlige vælger den mest privatlivsvenlige løsning eksempelvis ved valg af browser, jf. princippet i databeskyttelsesforordningens art 25.
Sammenfattende er det tilsynets vurdering, at ITU’s behandling af personoplysninger ved brugen af ProctorExam er sket inden for rammerne af databeskyttelsesforordningens artikel 5, stk. f, artikel 32, og artikel 35.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger /databeskyttelsesloven).