Kritik af gymnasiums brug af eksamensovervågningssoftware

Dato: 19-04-2024

Datatilsynet har afsluttet et tilsyn vedrørende Roskilde Katedralskoles brug af software til eksamensovervågning. Datatilsynet udtaler kritik af, at Roskilde Katedralskole ikke har foretaget en tilstrækkelig risikovurdering og som følge heraf ikke har sikret databeskyttelse gennem design.

Journalnummer: 2023-421-0019.

Resumé

Datatilsynet indledte den 27. februar 2023 en sag af egen drift mod Roskilde Katedralskole, idet Datatilsynet gennem medieomtale var blevet bekendt med, at en række gymnasier påtænkte at benytte software til at overvåge elevernes eksamensaflæggelse med henblik på at forebygge og kontrollere snyd.

På den baggrund besluttede Datatilsynet at føre tilsyn med en række gymnasiers behandling af personoplysninger i forbindelse med deres brug af software til eksamensovervågning. Sagens fokus var gymnasiernes iagttagelse af reglerne om behandlingsgrundlag, proportionalitetsprincippet, opbevaringsbegrænsning, oplysningspligt samt databeskyttelse gennem design og gennem standardindstillinger.

På baggrund af de modtagne svar udvalgte Datatilsynet enkelte gymnasier til nærmere undersøgelse, herunder Roskilde Katedralskole.

Datatilsynet har netop truffet afgørelse i sagen vedrørende Roskilde Katedralskoles brug af eksamensovervågningssoftware.

Roskilde Katedralskole overholder generelt databeskyttelsesreglerne

Datatilsynet fandt overordnet, at Roskilde Katedralskole har iagttaget reglerne om behandlingsgrundlag, proportionalitetsprincippet, opbevaringsbegrænsning og oplysningspligt, og at Roskilde Katedralskoles behandling af personoplysninger dermed er sket i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, artikel 5, stk. 1, litra c og e, og artikel 12, 13 og 14.

Roskilde Katedralskole opfordres til at genoverveje oplysningspligtsmeddelelse

Datatilsynet opfordrer imidlertid Roskilde Katedralskole til at overveje om – og i givet fald i hvilket omfang – det er muligt at gøre den oplysningspligtmeddelelse, der gives til eleverne – endnu mere letforståelig og bruge klarere og enklere sprog. Samtidig opfordrer Datatilsynet til, at gymnasiet sikrer, at henvisningerne er korrekte, og at der alene fremgår relevant information.

Datatilsynet henstiller til fornyet risikovurdering

Tilsynet fandt samtidig grundlag for at udtale kritik af, at Roskilde Katedralskole ikke har foretaget en tilstrækkelig risikovurdering og som følge heraf ikke har gennemført passende tekniske eller organisatoriske foranstaltninger, som er designet med henblik på at sikre, at der ikke indhentes yderligere oplysninger end de tilsigtede. Roskilde Katedralskoles behandling af personoplysninger er dermed ikke sket i overensstemmelse med reglerne om databeskyttelse gennem design i databeskyttelsesforordningens artikel 25, stk. 1.

På baggrund heraf henstiller Datatilsynet, at Roskilde Katedralskole som led i sin eventuelle fremtidige brug af eksamensovervågning gennemfører en fornyet risikovurdering efter forordningens artikel 25 som bl.a. adresserer de i afgørelsen nævnte risici, samt i øvrigt i langt højere grad tager højde for, at eksamensaflæggelse – og overvågning – sker ved brug af elevens egen computer. Gymnasiet skal samtidig i et større omfang gøre eleverne opmærksomme på de identificerede risici, opfordre eleverne til og give konkrete eksempler på, hvilke tiltag eleverne selv kan gøre for at undgå utilsigtet at eksponere (private) oplysninger i eksamenssituationen. Det kan f.eks. omfatte vejledende information om, at eleverne under eksamen kan gøre brug af en anden browser, som ikke indeholder deres private oplysninger.

Datatilsynet har herefter afsluttet tilsyn med tre øvrige gymnasiers brug af eksamensovervågningssoftware med henvisning til denne afgørelse og henstillet, at de pågældende gymnasier orienterer sig i afgørelsen og på baggrund heraf vurderer, om – og i givet fald i hvilket omfang – gymnasierne skal foretage justeringer af deres eventuelle brug af eksamensovervågningssoftware for at sikre, at den sker i overensstemmelse med databeskyttelsesreglerne.

Datatilsynet vender hermed tilbage til sagen, hvor tilsynet den 27. februar 2023 indledte en sag af egen drift mod Roskilde Katedralskole. Tilsynet blev iværksat, idet Datatilsynet gennem medieomtale var blevet bekendt med, at en række gymnasier påtænkte at benytte software til at overvåge elevernes eksamensaflæggelse med henblik på at forebygge og kontrollere snyd.

På den baggrund besluttede Datatilsynet at føre tilsyn med Roskilde Katedralskoles brug af software til overvågning af elevernes eksamensaflæggelse. Det drejer sig specifikt om gymnasiets iagttagelse af reglerne om (i) behandlingsgrundlag, (ii) proportionalitetsprincippet, (iii) opbevaringsbegrænsning og (iv) oplysningspligt samt (v) databeskyttelse gennem design og gennem standardindstillinger.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at Roskilde Katedralskoles behandling af personoplysninger er sket i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, artikel 5, stk. 1, litra c og e, samt artikel 12, 13 og 14.

Datatilsynet finder imidlertid, at der er grundlag for at udtale kritik af, at Roskilde Katedralskoles behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 25, stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Datatilsynet blev gennem medieomtale[2] bekendt med, at en række gymnasier påtænkte at benytte software til at overvåge elevernes eksamensaflæggelse med henblik på at forebygge og kontrollere snyd.

Datatilsynet har tidligere i 2019[3], 2020[4] og i 2021[5] vurderet og truffet afgørelser om brugen af softwarebaseret eksamensovervågning.

På den baggrund besluttede Datatilsynet at føre tilsyn med en række gymnasiers brug af software til overvågning af elevernes eksamensaflæggelse.

Tilsynet blev indledningsvist gennemført via en skriftlig spørgeskemaundersøgelse, så Datatilsynet kunne foretage en overordnet vurdering af, om gymnasierne havde foretaget de nødvendige vurderinger og afvejninger, der er påkrævet efter databeskyttelsesreglerne. 

Datatilsynet vurderede på baggrund af de modtagne svar, hvilke gymnasier som tilsynet ønskede at foretage en mere dybdegående kontrol af, herunder stille yderligere spørgsmål og anmode om dokumentation.

Roskilde Katedralskole blev på den baggrund udvalgt til en nærmere undersøgelse af gymnasiets brug af eksamensovervågningssoftwaren ExamCookie.

2.1 Roskilde Katedralskoles bemærkninger

Roskilde Katedralskole har overordnet anført, at gymnasiet på tidspunktet for igangsættelsen af tilsynet ikke benyttede ExamCookie, men at gymnasiet forventede at bruge programmet i forbindelse med afholdelsen af eksamener i sommeren 2023. Roskilde Katedralskole har efterfølgende bekræftet over for Datatilsynet, at gymnasiet har anvendt ExamCookie i sommeren 2023.

I den forbindelse har Roskilde Katedralskole anført, at gymnasiet er dataansvarlig for behandlingen af personoplysninger som sker i forbindelse med overvågningen af elevernes computere under eksamensaflæggelse, og at virksomheden ExamCookie er gymnasiets databehandler for så vidt angår den behandling af personoplysninger som sker ved brug af eksamensovervågningssoftwaren.

ExamCookie er et program, som har til formål at monitorere elevers computeraktivitet under en prøve for herved at sikre, at prøven foregår efter retningslinjerne. Programmet downloades på elevernes computer, inden prøven starter.

Roskilde Katedralskole har oplyst, at programmet kan registrere aktivitet på computeren. Skolens eksamensansvarlige får derved fuldt overblik over den aktivitet, der foregår på elevernes computere under prøven. Efter prøven indikerer programmet, hvilke elever der har anvendt forbudte hjælpemidler som f.eks. chatbots, kommunikation med omverdenen, oversættelsesprogrammer og fildeling. Dette udgør dokumentation til at afklare, om eleven har snydt. På samme vis sikrer det også at de elever, der mistænkes for snyd, kan dokumentere og afkræfte dette.

Roskilde Katedralskole har oplyst, at der ved brug af ExamCookie behandles personoplysninger i form af registreringsdata og eksamensdata.

Registreringsdata omfatter:

  • Elevens fulde navn
  • Elevens klasse og evt. hold
  • Elevens skole og årgang
  • Elevens eksamensplan
  • Elevens Unilogin bruger ID og password
  • Elevens CPR-nummer

Eksamensdata omfatter de oplysninger, som indsamles fra elevens computer under prøven og omfatter som udgangspunkt:

  • Relevante skærmbilleder
  • Indhold af kopieret tekst og billeder i udklipsholder
  • Programmer i front på computeren
  • Aktive URL-adresser i browsere

Roskilde Katedralskole oplyst, at skærmbilleder indsamles, når der er et nyt program i front, når der sker skærmændring på 5% (pixelændring) og med tilfældige tidsintervaller af 30-120 sekunder. Roskilde Katedralskole har vurderet, at behandlingen af skærmbilleder er relevant og nødvendig for at kunne registrere, om der har været anvendt ikke-tilladte funktioner i ellers tilladte programmer, f.eks. bøjning af verber i Word eller oversættelse af tekst ved en sprogprøve.

Med hensyn til oplysningerne i elevernes udklipsholder har Roskilde Katedralskole anført, at behandlingen af denne type oplysninger udgør et redskab, der kan medvirke til at afsløre, om eleven har gjort brug af ulovligt materiale eller ulovlige hjælpemidler som f.eks. ChatGPT i sin opgave. Det er videre anført, at der ved indsamling af oplysninger i computerens udklipsholder er etableret foranstaltninger som begrænser indsamlingen til alene at omfatte relevante oplysninger, idet eleverne instrueres i at rydde udklipsholdere for historisk indhold forud for prøven.

Behandling af oplysninger om programmer i front giver ifølge Roskilde Katedralskole mulighed for at overvåge de programmer, som eleven specifikt tilgår under prøven. Det vurderes relevant og nødvendigt for at se, om eleven har gjort brug af programmer, der ikke er tilladt ved prøven.

For så vidt angår indsamling af aktive URL-adresser i browsere har Roskilde Katedralskole oplyst, at behandlingen er nødvendig for at afsløre, om der under prøven har været oprettet forbindelse til webadresser eller servere, som ikke er tilladte.

Det er via programmet også muligt at indsamle oplysninger om computerens aktive processer. Roskilde Katedralskole har vurderet, at disse oplysninger går ud over, hvad der er relevant og nødvendigt til formålet, hvorfor gymnasiet – med henvisning til princippet om dataminimering – har fravalgt denne funktion og derfor ikke behandler disse oplysninger. 

Det samme gælder oplysninger om aktiv netværksaktivitet, der indsamles via computerens netværkskort. Ifølge Roskilde Katedralskoles dokumentation har gymnasiet vurderet, at det ligeledes ikke er nødvendigt og har derfor bedt leverandøren om at fjerne denne funktionalitet fra programmet. Dette er ifølge dokumentationen sket i sommeren 2022.

Roskilde Katedralskole har anført, at gymnasiet behandler personoplysninger med henblik på at opdage og forebygge snyd under eksamen og dermed sikre, at eksamen eller prøven kan afvikles på ensartede vilkår for alle elever, herunder sikre:

  • at besvarelsen er udfærdiget uden uretmæssig hjælp
  • at der alene er benyttet tilladte hjælpemidler
  • at eksaminanden ikke har udgivet en andens arbejde for sit eget, og
  • at eksaminanden ikke har anvendt eget tidligere bedømt arbejde uden henvisning hertil.

Registreringsdata bliver behandlet med det formål entydigt at identificere eleven, herunder elevens institution, klasse, hold, prøvens dato, og start- og sluttidspunkt. Eksamensdata bliver behandlet med det formål at kunne sikre, at prøven er foregået efter gældende regler.

Roskilde Katedralskole har anført, at gymnasiet for hver enkelt prøve konkret vurderer behovet for at foretage eksamensovervågning. Gymnasiet vurderer i den forbindelse, om det er muligt for gymnasiet at opnå det ønskede formål med mindre indgribende metoder, f.eks. ved brug af eksamensvagter.

I de tilfælde, hvor Roskilde Katedralskole beslutter at anvende eksamensovervågning, har gymnasiet vurderet, at eksamensvagterne ikke har mulighed for effektivt at overvåge elevernes aktiviteter på deres computere.

Roskilde Katedralskole har videre bemærket, at den ellers anvendte plagiatkontrol ikke kan afsløre anvendelse af ikke-tilladte funktioner eller programmer, herunder om eleven helt eller delvist har anvendt ChatGPT eller lignende teknologi under prøven. Plagiatkontrollen kan ligeledes ikke afsløre, om eleverne har fået en anden til at skrive besvarelsen.

Gymnasiet har anført, at behandlingen sker med hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra e. I den forbindelse har gymnasiet henvist til en række bekendtgørelser, der er udstedt i medfør af bl.a. lovbekendtgørelse nr. 1076 af 4. september 2013 om uddannelse til studentereksamen (gymnasieloven) som det supplerende nationale retsgrundlag til behandling af de omhandlede personoplysninger.

Det drejer sig om §§ 14-15 og 20 i bekendtgørelse om prøver og eksamen i de almene og studieforberedende ungdoms- og voksenuddannelser[6]. Heraf fremgår bl.a. følgende:

§ 14. Institutionen skal sikre, at prøverne gennemføres under forhold, der er egnede til at udelukke, at eksaminanden kommunikerer utilsigtet. […]

  • 15. Under prøverne er anvendelse af hjælpemidler, herunder elektroniske, tilladt, jf. dog stk. 2, medmindre der i reglerne for den enkelte uddannelse er fastsat begrænsninger.

Stk. 2. Eksaminanden har under prøver, der er underlagt tilsyn, alene adgang til internettet, for så vidt angår egne læremidler, egne notater og egne arbejder […]

  • 20. Besvarelsen skal være eksaminandens egen og selvstændige besvarelse, medmindre andet fremgår af reglerne for den enkelte uddannelse. En eksaminand, der under en prøve skaffer sig eller giver en anden eksaminand uretmæssig hjælp til besvarelse af en opgave eller benytter ikke-tilladte hjælpemidler, bortvises af institutionen fra den pågældende prøve.

Stk. 2. Hvis der under eller efter en prøve opstår formodning om, at en eksaminand uretmæssigt har skaffet sig eller ydet hjælp, jf. stk. 1, har udgivet en andens arbejde for sit eget eller har anvendt eget tidligere bedømt arbejde uden henvisning hertil, indberettes dette til institutionen. Bliver formodningen bekræftet, og handlingen har fået eller ville kunne få betydning for bedømmelsen, skal institutionen bortvise eksaminanden fra den pågældende prøve. Når en skriftlig opgavebesvarelse er udarbejdet af en gruppe af eksaminander, uden at den enkeltes bidrag kan konstateres, og opgavebesvarelsen indgår i bedømmelsesgrundlaget ved en efterfølgende mundtlig eksamination, har eksaminanderne et fælles ansvar for besvarelsen, og alle eksaminander i gruppen kan ved bekræftet formodning om uretmæssig hjælp bortvises fra prøven. […]”

Endvidere har gymnasiet henvist til §§ 5-7 i bekendtgørelse om visse regler om prøver og eksamen i de gymnasiale uddannelser[7], hvoraf bl.a. følgende fremgår:

§ 5. Institutionen tilrettelægger gennemførelsen af prøverne, så de kan gennemføres under forhold, der er egnede til at udelukke, at eksaminanden kommunikerer utilsigtet, anvender ikke-tilladte hjælpemidler eller i øvrigt overtræder eksamensreglerne.

Stk. 2. Institutionen kan fastsætte nærmere regler for afholdelse af prøverne (lokale eksamensregler).

Stk. 3. De lokale eksamensregler kan bl.a. indeholde regler om tilsyn, afvikling, fremmøde, adgang til internettet efter § 6, stk. 4-5, brug af cloud-tjenester, overvågning og logning af netværksaktivitet, monitorering af eksaminandernes computere/tablets mv. og brug af elektroniske enheder i øvrigt.

Stk. 4. Institutionen informerer eksaminanderne om eksamensreglerne på en måde, som i forhold til de lokale forhold bedst bidrager til, at eksaminanderne er opmærksomme på vigtigheden af, at de overholder reglerne.

  • 6. Under prøven er det tilladt for eksaminanden at anvende hjælpemidler, herunder digitale, medmindre der for den enkelte prøve er fastsat begrænsninger.

Stk. 2. Det er dog ikke tilladt for eksaminanden til prøven at medbringe udstyr, herunder mobiltelefoner og lignende, med hvilken eksaminanden kan kommunikere, eller som kan etablere adgang til internettet. Ved en prøve, hvor eksaminanden skal udarbejde og aflevere besvarelsen digitalt, er den enhed eller de enheder, hvormed eksaminanden udarbejder og afleverer besvarelsen, dog undtaget.

Stk. 3. Adgang til internettet under prøverne er ikke tilladt for eksaminanden, jf. dog stk. 4 og 5, medmindre der for den enkelte prøve er givet adgang hertil.

Stk. 4. Eksaminanden kan under en prøve, hvor adgang til internettet ikke er tilladt efter stk. 3, anvende internettet, for så vidt angår digital adgang til undervisningsmateriale, der på institutionens foranledning er blevet anvendt i undervisningen, og som fremgår af undervisningsbeskrivelsen, såfremt det ikke kan medbringes og opbevares lokalt.

Stk. 5. Egne notater og egne arbejder skal medbringes og opbevares lokalt under prøven. Eksaminanden har dog i tilfælde, hvor materialet har en sådan karakter, at det ikke kan opbevares lokalt, adgang til at tilgå materialet via internettet under prøven.

Stk. 6. Reglerne i stk. 2-5 gælder ikke for en prøve, hvor eksaminanden under prøven ikke skal være til stede på institutionen eller et andet sted, som institutionen fastsætter for prøveafholdelsen.

  • 7. Besvarelsen skal være eksaminandens egen og selvstændige besvarelse. Såfremt hele eller dele af prøven afholdes som en gruppeprøve, skal besvarelsen, i det omfang dette følger af reglerne for prøven, være gruppens egen og selvstændige besvarelse.

Stk. 2. Institutionen bortviser eksaminanden fra prøven eller tildeler eksaminanden karakteren -3 (minus tre), hvis eksaminanden i forbindelse med en prøve foretager sig handlinger for at skaffe sig eller give en anden eksaminand uretmæssig hjælp til besvarelse af en opgave. Det samme gælder, hvis eksaminanden benytter ikke-tilladte hjælpemidler, udgiver andres arbejde for at være sit eget eller afleverer eget tidligere bedømt arbejde uden henvisning hertil. […]”

Gymnasiet har endelig henvist til § 1 i bekendtgørelse om adgangen til at medbringe og anvende udstyr, herunder digitale hjælpemidler, under prøver i de gymnasiale uddannelser[8], som har følgende ordlyd:

§ 1. Under en prøve i de gymnasiale uddannelser er det tilladt for eksaminanden at anvende hjælpemidler, herunder digitale, medmindre der for den enkelte prøve er fastsat begrænsninger.

Stk. 2. Det er dog ikke tilladt for eksaminanden til prøven at medbringe udstyr, herunder mobiltelefoner og lignende, med hvilket eksaminanden kan kommunikere, eller som kan etablere adgang til internettet. Ved en skriftlig prøve, hvor eksaminanden skal udarbejde og aflevere besvarelsen digitalt, er den enhed eller de enheder, hvormed eksaminanden udarbejder og afleverer besvarelsen, dog undtaget. Ved en mundtlig prøve er den computer eller tablet, som eksaminanden anvender for at kunne anvende hjælpemidler, som eksaminanden skal have digital adgang til, også undtaget.

Stk. 3. Reglerne i stk. 2 gælder ikke for en prøve, hvor eksaminanden under prøven ikke skal være til stede på institutionen eller et andet sted, som institutionen fastsætter for prøveafholdelsen.”

Gymnasiet har derudover anført, at der ikke sker behandling af særlige kategorier af oplysninger omfattet af databeskyttelsesforordningens artikel 9, idet ExamCookie ikke som udgangspunkt har adgang til andre end de ovenfor nævnte oplysninger. Roskilde Katedralskole fremhæver imidlertid risikoen for, at eleverne selv tilgår særlige kategorier af oplysninger under prøven, og der tages et skærmbillede heraf. Eleverne bliver derfor forud for eksamen instrueret i, at det ikke er tilladt at tilgå sådanne oplysninger under prøven.

Personoplysningerne opbevares som udgangspunkt i 30 dage på ExamCookies servere, da Roskilde Katedralskole har vurderet, at det er den kortest mulige periode som gymnasiet kan nå at gennemgå de indsamlede oplysninger på. I særlige tilfælde, f.eks. ved mistanke om snyd eller ved behandling af en eksamensklage, kan oplysningerne opbevares i op til tre måneder. Roskilde Katedralskole kan desuden til enhver tid anmode ExamCookie om at slette oplysninger.

Roskilde Katedralskole har udarbejdet et skriftligt oplysningsmateriale til eleverne, som bliver udleveret til eleverne forud for eksamen. Eleverne bliver i den forbindelse oplyst om:

  • formålet med behandlingen og retsgrundlaget
  • hvor oplysningerne stammer fra
  • kategorier af personoplysninger
  • hvem der har adgang til de indsamlede data
  • hvor længe personoplysningerne opbevares
  • den registreredes rettigheder
  • kontaktoplysninger på skolen som dataansvarlig
  • kontaktoplysninger på Datatilsynet som tilsynsmyndighed og om muligheden for at klage til tilsynet

Eleverne vejledes herudover om brugen af ExamCookie. Gymnasiet sørger i den forbindelse for at udlevere en skriftlig vejledning med beskrivelse af de behandlinger som programmet foretager, og de forholdsregler som eleverne bør iagttage ved brug af programmet. Eleverne orienteres samtidig udtrykkeligt om, at det ikke er tilladt at tilgå følsomme oplysninger under prøven.

Roskilde Katedralskole har endelig anført, at gymnasiet har sørget for, at softwarens funktionalitet er indrettet til at sikre databeskyttelse gennem design og gennem standardindstillinger.

Gymnasiet har herunder vurderet, at risikoen for de registreredes rettigheder og frihedsrettigheder i forbindelse med behandlingen af personoplysningerne er lav og acceptabel, hvorfor gymnasiet har vurderet, at der ikke er behov for at udarbejde en konsekvensanalyse.

3. Begrundelse for Datatilsynets afgørelse

3.1 Behandlingsgrundlag

Datatilsynet lægger til grund, at Roskilde Katedralskole er dataansvarlig for den behandling af personoplysninger, der sker i forbindelse med overvågningen af elevers computere under prøveafholdelse. Ligeledes lægger tilsynet til grund, at behandlingen af personoplysninger sker med henblik på at opdage og forebygge eksamenssnyd.

Endvidere lægger Datatilsynet til grund, at Roskilde Katedralskole behandler oplysninger om elevens navn, klasse, hold, skole, årgang, UNI-login, bruger ID og personnummer, samt oplysninger i form af registreringer af aktivitet på elevens computer under eksamen. Datatilsynet lægger dermed til grund, at Roskilde Katedralskole behandler personoplysninger omfattet af databeskyttelsesforordningens artikel 6 og oplysninger om personnummer omfattet af databeskyttelseslovens § 11.

Endelig lægger Datatilsynet til grund, at Roskilde Katedralskole som udgangspunkt ikke behandler særlige kategorier af oplysninger omfattet af databeskyttelsesforordningens artikel 9 som led i eksamensovervågningen, og at behandling af sådanne oplysninger må anses for utilsigtet i det omfang, som det måtte forekomme.

Det er Datatilsynets vurdering, at Roskilde Katedralskoles behandling af de omhandlede personoplysninger er nødvendig af hensyn til gymnasiets udførelse af sine myndighedsopgaver, jf.  databeskyttelsesforordningens artikel 6, stk. 1, litra e, og § 14, stk. 1, i bekendtgørelse nr. 343 af 8. april 2016 om prøver og eksamen i de almene studieforberedende ungdoms- og voksenuddannelser, samt § 5, stk. 1 og 2, i bekendtgørelse nr. 1276 af 27. november 2017 om visse regler om prøver og eksamen i de gymnasiale uddannelser.

Datatilsynet har herved navnlig lagt vægt på, at oplysningerne behandles med henblik på at opdage og forebygge eksamenssnyd, hvilket ligger inden for den myndighedsopgave, som gymnasiet kan og skal varetage.

Datatilsynet finder endvidere, at Roskilde Katedralskole kan behandle oplysninger om elevernes personnumre efter databeskyttelseslovens § 11, stk. 1, da disse behandles med henblik på entydig identifikation af eleverne.

3.2 Proportionalitetsprincippet

Behandling af personoplysninger skal – foruden at ske på baggrund af et relevant behandlingsgrundlag – altid ske i overensstemmelse med en række grundlæggende principper.

Det omfatter bl.a. proportionalitetsprincippet i forordningens artikel 5, stk. 1, litra c, hvorefter personoplysninger skal altid skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles. Man skal således altid vurdere, hvordan de(t) forfulgte formål med rimelighed kan opfyldes ved behandling af færrest mulige oplysninger, og om muligt helt uden personoplysninger.

Det er Datatilsynets vurdering, at Roskilde Katedralskoles brug af softwarebaseret eksamensovervågning grundlæggende kan ske inden for rammerne af databeskyttelsesforordningens artikel 5, stk. 1, litra c.

Datatilsynet har herved lagt vægt på, at formålet med den softwarebaserede eksamensovervågning er at føre tilsyn under eksamen og opdage og forebygge eksamenssnyd, og at aflæggelse af eksamen er et kort og afgrænset forløb, som – uanset den softwarebaserede eksamensovervågning – generelt må anses som en overvåget situation.

Endvidere har Datatilsynet lagt vægt på, at det i lyset af, at visse digitale hjælpemidler er tilladt til skriftlige eksaminer, er vanskeligt – og i nogle situationer umuligt – at sikre sig imod ulovlig brug af ellers tilladte hjælpemidler. Det kan f.eks. være tilfældet, hvor tilladte hjælpemidler så som tekstbehandlingsprogrammer indeholder forbudte funktioner som automatisk bøjning af verber eller lignende. Ligeledes har tilsynet lagt vægt på, at den teknologiske udvikling i form af generativ kunstig intelligens indebærer, at eksisterende plagiatkontroller, hvorved en eksamensbesvarelse kan sammenholdes med tekstindhold fra internettet eller tidligere besvarelser, ikke længere er effektiv.

Datatilsynet har endelig lagt vægt på, at adgang til internettet ikke generelt er forbudt under eksamen, og at en generel blokering af internettrafik ikke er formålsegnet, ligesom at det ikke på forhånd er muligt at fastslå, hvilke (tilladte) internetadresser det kan være relevant for eksaminanden at tilgå under eksamen, og at Roskilde Katedralskole for hver eksamen vurderer behovet for at foretage softwarebaseret eksamensovervågning, herunder om det er muligt at bruge mindre indgribende metoder.

Spørgsmålet er herefter, i hvilket omfang alle de indsamlede typer af oplysninger er tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt for at opfylde formålet.

Roskilde Katedralskole har vurderet, at indsamling og behandling af oplysninger i form af skærmbilleder, aktive URL-adresser, aktive programmer, samt indholdet af udklipsholderen er nødvendig for at opfylde formålet om at opdage og forebygge eksamenssnyd. Gymnasiet har i den forbindelse nærmere redegjort for, i hvilket omfang de enkelte typer af oplysninger er nødvendige at behandle af hensyn til at opdage og forebygge eksamenssnyd.

Roskilde Katedralskole har ligeledes vurderet, at indsamling af oplysninger om computerens aktive processer går ud over, hvad der er relevant og nødvendigt til at opdage og forebygge eksamenssnyd, hvorfor gymnasiet har fravalgt denne funktion og derfor ikke behandler disse oplysninger. Tilsvarende har gymnasiet vurderet, at oplysninger om aktive netværksforbindelser fra computerens netværkskort ikke er nødvendige og derfor ikke behandles.

Datatilsynet finder herefter, at der ikke er grundlag for at tilsidesætte Roskilde Katedralskoles vurdering af, at behandling af alle de omhandlede typer af oplysninger er nødvendig i forhold til formålet om at opdage og forebygge snyd, jf. databeskyttelsesforordningens artikel 5, stk. 1, litra c.

Datatilsynet har særligt lagt vægt på, at indsamling af de omhandlede typer af oplysninger navnlig er nødvendig for på forskellig vis at opdage og forebygge eksamenssnyd, som kan antage forskellige former, f.eks. brug af ulovlige funktioner i eksisterende programmer, kommunikation med medstuderende eller brug af chatbots.

Datatilsynet bemærker samtidig, at tilsynet forudsætter at indsamling af oplysninger om computerens aktive processer og om netværkstrafik er funktioner, der reelt slås fra af Roskilde Katedralskole, og at oplysningerne derved aldrig indsamles som led i eksamensovervågningen, og at der ikke alene er tale om, at gymnasiet ser bort fra oplysningerne som led i en eventuel gennemgang af data for mulig eksamenssnyd.

3.3 Opbevaringsbegrænsning

Datatilsynet har noteret sig, at Roskilde Katedralskole har fastsat en opbevaringsfrist på 30 dage, hvorefter oplysningerne slettes. Roskilde Katedralskole har anført, at fristen på 30 dage er kortest mulige periode inden for hvilken skolen kan nå at gennemgå de indsamlede oplysninger. I særlige tilfælde, f.eks. ved mistanke om snyd eller i tilfælde af en klage, kan oplysningerne opbevares i tre måneder.

Datatilsynet finder, at Roskilde Katedralskoles opbevaring af oplysningerne sker i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra e.

Datatilsynet har herved lagt vægt på, at gymnasiet har foretaget en vurdering af, hvor længe det er relevant at opbevare de omhandlede oplysninger i lyset af formålet med behandlingen, og at der ikke ses at være omstændigheder, der giver grundlag for at tilsidesætte den fastsatte opbevaringsfrist.

3.4 Oplysningspligt

Roskilde Katedralskole har anført, at gymnasiet har udarbejdet et skriftligt oplysningsmateriale til eleverne, som bliver udleveret til eleverne forud for eksamen, med henblik på at opfylde gymnasiets oplysningspligt efter databeskyttelsesforordningen. Gymnasiet har sendt en kopi af dette materiale til Datatilsynet.

Datatilsynet finder – efter en gennemgang af det fremsendte materiale – overordnet, at Roskilde Katedralskoles iagttagelse af gymnasiets oplysningspligt sker i overensstemmelse med databeskyttelsesforordningens artikel 12, 13 og 14.  

Datatilsynet har navnlig lagt vægt på, at de informationer, der skal gives efter forordningens artikel 13 og 14, fremgår af det materiale, der udleveres til eleverne med oplysninger om, hvordan deres oplysninger behandles som led i eksamensovervågningen, og at dette materiale udleveres til eleverne inden afholdelse af den enkelte eksamen.

Endvidere har Datatilsynet lagt vægt på, at oplysningspligtsmeddelelsen er stilet til ældre elever i alderen 16-20 år, og at de nødvendige informationer er forholdsvis klart beskrevet.

Datatilsynet opfordrer imidlertid til, at Roskilde Katedralskole overvejer om – og i givet fald i hvilket omfang – det er muligt at gøre den oplysningspligtmeddelelse, der gives til eleverne – endnu mere letforståelig og bruge klarere og enklere sprog. Samtidig opfordrer Datatilsynet til, at gymnasiet sikrer, at henvisningerne er korrekte, og at der alene fremgår relevant information.[9]

Datatilsynet henviser i den forbindelse til Det Europæiske Databeskyttelsesråds retningslinjer om gennemsigtighed[10], hvoraf bl.a. følgende fremgår:

”Kravet om, at oplysningerne er "letforståelige", betyder, at de skal kunne forstås af et gennemsnitligt medlem af den tilsigtede målgruppe. Forståelighed er tæt knyttet til kravet om anvendelse af et klart og enkelt sprog. Ansvarlige dataansvarlige vil have kendskab til de personer, som de indsamler oplysninger om, og kan bruge denne viden til at afgøre, hvad den pågældende målgruppe sandsynligvis vil kunne forstå. F.eks. kan en dataansvarlig, der indsamler personoplysninger om fagfolk, antage, at den pågældendes målgruppe har en højere grad af forståelse, end en dataansvarlig, som indsamler personoplysninger om børn. Hvis de dataansvarlige er usikre med hensyn til graden af forståelighed og gennemsigtighed af oplysningerne og effektiviteten af brugergrænseflader/meddelelser/politikker osv., kan de teste disse, f.eks. gennem mekanismer som bl.a. brugerpaneler, kontrol af læsbarheden, formelle og uformelle kontakter og dialog med bl.a. erhvervsgrupper, interesseorganisationer for forbrugere samt tilsynsorganer, hvor det er relevant. […]

Kravet om et klart og enkelt sprog betyder, at oplysninger skal gives på en så enkel måde som muligt, så der undgås komplekse sætnings- og sprogstrukturer. Oplysningerne bør være konkrete og endelige, og de bør ikke være formuleret i abstrakte eller tvetydige vendinger eller give mulighed for forskellige fortolkninger. Navnlig bør formålet med og retsgrundlaget for behandlingen af personoplysninger være klart. […]

Sproglige betydningsindikatorer som f.eks. "kan", "kunne", "nogle", "ofte" og "mulig" bør ligeledes undgås. Hvis dataansvarlige vælger at anvende et vagt sprog, bør de i overensstemmelse med ansvarlighedsprincippet kunne godtgøre, hvorfor anvendelsen af et sådant sprog ikke kan undgås, og hvordan det ikke undergraver en retfærdig behandling. Afsnit og sætninger bør være velstrukturerede med anvendelse af punktopstillinger og indrykninger for at signalere hierarkiske relationer. Formuleringsformen bør være aktiv i stedet for passiv, og alt for mange substantiver bør undgås. De oplysninger, de registrerede får, bør ikke indeholde alt for juridisk og teknisk eller specialiseret sprog og terminologi. […]

Når dataansvarlige henvender sig til børn [16] og ved eller burde vide, at deres varer/tjenesteydelser især bruges af børn […], bør de sørge for, at ordforråd, tone og stil i det sprog, der benyttes, passer til børn og forstås af børn, således at de børn, oplysningerne er stilet til, forstår, at meddelelsen/oplysningerne er stilet til dem [18]. […] Artikel 29-Gruppen er af den holdning, at gennemsigtighed er en selvstændig rettighed, der gælder såvel for børn som for voksne. […] Derfor er dataansvarlige – i overensstemmelse med den specifikke omtale af gennemsigtighedsforanstaltninger rettet mod børn i artikel 12, stk. 1 (understøttet af betragtning 38 og 58) – når de henvender sig til børn eller er klar over, at deres varer og tjenesteydelser især anvendes af børn i en alder, hvor de kan læse, forpligtede til at sikre, at enhver oplysning eller meddelelse formidles i et klart og enkelt sprog eller gennem en udtryksmåde, som børn let kan forstå. […]

[16] Udtrykket "barn" er ikke defineret i persondataforordningen, men Artikel 29-Gruppen anerkender i overensstemmelse med FN's konvention om barnets rettigheder, som alle EU-medlemsstater har ratificeret, at et barn er en person under 18 år.

[18] Det fremgår af betragtning 38, at "Børn bør nyde særlig beskyttelse af deres personoplysninger, eftersom de ofte er mindre bevidste om de pågældende risici, konsekvenser og garantier og deres rettigheder for så vidt angår behandling af personoplysninger". I betragtning 58 anføres det, at "Eftersom børn bør nyde særlig beskyttelse, bør alle oplysninger og meddelelser, der er stilet til et barn, være i et så klart og enkelt sprog, så barnet let kan forstå det.”

3.5 Databeskyttelse gennem design

Det følger af databeskyttelsesforordningens artikel 25, stk. 1, at den dataansvarlige – både på tidspunktet for fastlæggelse af midlerne til behandlingen og på tidspunktet for selve behandlingen – skal træffe passende tekniske og organisatoriske foranstaltninger, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder. Det skal ske under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer.

Henset til bestemmelsens risikobaserede tilgang skal den dataansvarlige således foretage en risikovurdering og i den forbindelse identificere eventuelle risici for de registreredes rettigheder, og fastlægge deres sandsynlighed og alvor med henblik på at gennemføre foranstaltninger til effektivt at afbøde de identificerede risici.

Identifikation af de specifikke risici ved den omhandlede behandlingsaktivitet er således en forudsætning for overholdelse af databeskyttelsesforordningens artikel 25, stk. 1, idet vurderingen af hvad der vil udgøre passende tekniske og organisatoriske foranstaltninger tager udgangspunkt i det konkret afdækkede risikobillede.

Roskilde Katedralskole har anført, at gymnasiet har vurderet, at risikoen for de registreredes rettigheder og frihedsrettigheder i forbindelse med behandlingen af personoplysninger som led i eksamensovervågningen er lav og acceptabel, og at programmets funktionalitet er indrettet til at sikre databeskyttelse gennem design og gennem standardindstillinger.

Datatilsynet anerkender, at Roskilde Katedralskole har identificeret enkelte risici for elevernes rettigheder og frihedsrettigheder. Det gælder bl.a. risikoen for, at gymnasiet utilsigtet indsamler oplysninger, som allerede findes i elevens udklipsholder, når eksamen påbegyndes, samt risikoen for, at eleven tilgår oplysninger om sig selv eller andre, som gymnasiet ikke har et formål med at behandle. Det kan f.eks. være elevens helbredsoplysninger.

Konkret har Roskilde Katedralskole anført følgende:

”ExamCookie har som udgangspunkt ikke adgang til andre end de ovenfor angivne almindelige og fortrolige personoplysninger. Dette forudsat, at en elev ikke selv tilgår disse data under eksamen, og der eventuelt tages et skærmbillede heraf.

Roskilde Katedralskole har vurderet, at der ikke findes hjemmel til behandling af følsomme personoplysninger i forbindelse med eksamensovervågningen. Eleverne instrueres derfor i god tid op til prøve både mundtligt og skriftligt om, hvad sådanne personoplysninger omfatter, hvilke behandlingsaktiviteter der foregår under prøven, og skolen understreger på det kraftigste nødvendigheden af, at eleverne følger de forholdsregler, som skolen anviser, for at sikre, at eleverne ikke uforvarende kommer til at eksponere følsomme oplysninger under prøven. […]

Roskilde Katedralskole har således vurderet, at der ikke er risiko for behandling af følsomme oplysninger, idet risikoen for behandling eller videregivelse af følsomme oplysninger på dette grundlag alene vurderes at være hypotetisk.”

Det er imidlertid Datatilsynets vurdering, at Roskilde Katedralskole ikke har identificeret og vurderet alle de specifikke risici for elevernes rettigheder og frihedsrettigheder, der er forbundet med brugen af eksamensovervågning, og at visse risici, som gymnasiet har identificeret, ikke er håndteret fyldestgørende.

Det drejer sig f.eks. om følgende risici:

  • Ved behandling af skærmbilleder sker der f.eks. indsamling af al information, som fremgår af elevernes skærme. Det betyder f.eks., at der ved anvendelse af en browser kan fremgå oplysninger i form af eleverne private bogmærker, favoritter og lignende, ligesom at der i adresselinjen kan fremkomme forslag til diverse hjemmesider baseret på elevernes søge- og browserhistorik samt favoritter. Roskilde Katedralskole vil i disse tilfælde utilsigtet – via skærmbilleder – indsamle oplysninger som gymnasiet hverken har et formål med at behandle, eller lovligt grundlag for at behandle.
  • Visse elever kan være berettiget til at aflægge eksamen under særlige prøvevilkår som følge af f.eks. ordblindhed. Det kan f.eks. bestå af tilladelse til at anvende særlige it-hjælpemidler (f.eks. oplæsning af tekst, ordforslag, diktering eller forstørrelse af tekst). I givet fald vil Roskilde Katedralskole behandle oplysninger omfattet af databeskyttelsesforordningens artikel 9 som led i eksamensovervågningen uden at have identificeret en relevant undtagelse til det generelle forbud mod at behandle sådanne oplysninger.
  • Der kan være filer, mapper mv. på elevens computer, hvis navn eller metadata i øvrigt indeholder private oplysninger om eleven. Roskilde Katedralskole vil i disse tilfælde utilsigtet – via skærmbilleder – indsamle oplysninger som gymnasiet hverken har et formål med at behandle, eller lovligt grundlag for at behandle.
  • Fejlkonfiguration af eksamensovervågningen, f.eks. med forkert angivelse af eksamens starttidspunkt, kan – for de elever, der installerer eksamensovervågningen i god tid inden eksamensstart – føre til, at der indsamles oplysninger om elevens private brug af sin computer inden eksamensstart.

Det er således Datatilsynets opfattelse, at navnlig risikoen for utilsigtet indsamling af personoplysninger, herunder særlige kategorier af personoplysninger, ikke er hypotetisk.

Det er herefter Datatilsynets vurdering, at den mangelfulde risikovurdering har været medvirkende til, at Roskilde Katedralskole ikke har truffet passende tekniske og organisatoriske foranstaltninger for at sikre databeskyttelse gennem design og gennem standardindstillinger, jf. databeskyttelsesforordningens artikel 25, stk. 1.

Datatilsynet har i den forbindelse bl.a. lagt vægt på, konfigureringen eller opsætningen af programmet ikke medfører, at der kun indsamles og behandles oplysninger, som gymnasiet har forudsat i forbindelse med beslutningen om at implementere softwaren og kun på den måde, som gymnasiet har forudsat. Der er tværtimod en overvejende risiko for, at der sker utilsigtet behandling af oplysninger, som Roskilde Katedralskole ikke har et formål med at behandle eller lovligt grundlag for at behandle.

Endelig har Datatilsynet lagt vægt på, at Roskilde Katedralskole ikke som led i sin risikovurdering i tilstrækkelig grad har taget højde for, at eksamen – og derfor eksamensovervågningen – afvikles på elevernes private computere, hvor elevernes private oplysninger kan forefindes på forskellig vis.

Datatilsynet finder på baggrund af ovenstående samlet set, at Roskilde Katedralskole ikke har foretaget en tilstrækkelig risikovurdering, som er en forudsætning for at kunne håndtere eventuelle risici for de registreredes rettigheder og gennemføre foranstaltninger til effektivt at afbøde de identificerede risici. Roskilde Katedralskole har som følge heraf ikke gennemført passende tekniske eller organisatoriske foranstaltninger, som er designet med henblik på at sikre, at der ikke indhentes yderligere oplysninger end de tilsigtede.

Datatilsynet finder derfor, at databeskyttelsesforordningens artikel 25 ikke er overholdt, hvilket tilsynet finder, at der er grundlag for at udtale kritik af.

Datatilsynet henstiller, at Roskilde Katedralskole som led i sin eventuelle fremtidige brug af eksamensovervågning gennemfører en fornyet risikovurdering efter forordningens artikel 25, som bl.a. adresserer de ovennævnte risici, samt i øvrigt i langt højere grad tager højde for, at eksamensaflæggelse – og overvågning – sker ved brug af elevens egen computer. Samtidig skal gymnasiet i et større omfang gøre elevernes opmærksomme på de identificere risici, opfordre eleverne til og give konkret eksempler på, hvilke tiltag eleverne selv kan gøre for at undgå utilsigtet at eksponere (private) oplysninger i eksamenssituationen. Det kan f.eks. omfatte vejledende information om, at eleverne under eksamen kan gøre brug af en anden browser, som ikke indeholder deres private oplysninger.

 

[1]   Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2]   Berlingske.dk, Nye tider ved eksamen i gymnasiet: ”Ja, det er overvågning”, 8. februar 2023: https://www.berlingske.dk/metropol/nye-tider-ved-eksamen-i-gymnasiet-ja-det-er-overvaagning

3   Datatilsynet sag med j.nr. 2018-432-0015: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2019/maj/fredericia-gymnasiums-behandling-af-personoplysninger-ved-brug-af-programmet-examcookie

4   Datatilsynets sag med j.nr. 2019-432-0020: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2020/mar/den-digitale-proevevagt

5   Datatilsynets sag med j.nr. 2020-432-0034: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2021/jan/universitets-brug-af-tilsynsprogram-ved-online-eksamen

[6]   Bekendtgørelse nr. 343 af 8. april 2016 om prøver og eksamen i de almene studieforberedende ungdoms- og voksenuddannelser.

[7]   Bekendtgørelse nr. 1276 af 27. november 2017 om visse regler om prøver og eksamen i de gymnasiale uddannelser.

[8]   Bekendtgørelse nr. 224 af 19. marts 2018 om adgangen til at medbringe og anvende udstyr, herunder digitale hjælpemidler, under prøver i de gymnasiale uddannelser.

[9]   Se bl.a. fodnote 1, samt skemaet i afsnit 4.2, der indeholder beskrivelse af typer af personoplysninger, som Roskilde Katedralskole ikke behandler, f.eks. netværkskort og procesliste.

[10] Artikel 29-gruppens retningslinjer for gennemsigtighed i henhold til forordning 2016/679, WP 260, tiltrådt af Det Europæiske Databeskyttelsesråd den 25. maj 2018, s. 7ff.