Datatilsynet indledte den 27. februar 2023 en sag af egen drift mod Roskilde Katedralskole, idet Datatilsynet gennem medieomtale var blevet bekendt med, at en række gymnasier påtænkte at benytte software til at overvåge elevernes eksamensaflæggelse med henblik på at forebygge og kontrollere snyd.
På den baggrund besluttede Datatilsynet at føre tilsyn med en række gymnasiers behandling af personoplysninger i forbindelse med deres brug af software til eksamensovervågning. Sagens fokus var gymnasiernes iagttagelse af reglerne om behandlingsgrundlag, proportionalitetsprincippet, opbevaringsbegrænsning, oplysningspligt samt databeskyttelse gennem design og gennem standardindstillinger.
På baggrund af de modtagne svar udvalgte Datatilsynet enkelte gymnasier til nærmere undersøgelse, herunder Roskilde Katedralskole.
Datatilsynet har netop truffet afgørelse i sagen vedrørende Roskilde Katedralskoles brug af eksamensovervågningssoftware.
Roskilde Katedralskole overholder generelt databeskyttelsesreglerne
Datatilsynet fandt overordnet, at Roskilde Katedralskole har iagttaget reglerne om behandlingsgrundlag, proportionalitetsprincippet, opbevaringsbegrænsning og oplysningspligt, og at Roskilde Katedralskoles behandling af personoplysninger dermed er sket i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, artikel 5, stk. 1, litra c og e, og artikel 12, 13 og 14.
Roskilde Katedralskole opfordres til at genoverveje oplysningspligtsmeddelelse
Datatilsynet opfordrer imidlertid Roskilde Katedralskole til at overveje om – og i givet fald i hvilket omfang – det er muligt at gøre den oplysningspligtmeddelelse, der gives til eleverne – endnu mere letforståelig og bruge klarere og enklere sprog. Samtidig opfordrer Datatilsynet til, at gymnasiet sikrer, at henvisningerne er korrekte, og at der alene fremgår relevant information.
Datatilsynet henstiller til fornyet risikovurdering
Tilsynet fandt samtidig grundlag for at udtale kritik af, at Roskilde Katedralskole ikke har foretaget en tilstrækkelig risikovurdering og som følge heraf ikke har gennemført passende tekniske eller organisatoriske foranstaltninger, som er designet med henblik på at sikre, at der ikke indhentes yderligere oplysninger end de tilsigtede. Roskilde Katedralskoles behandling af personoplysninger er dermed ikke sket i overensstemmelse med reglerne om databeskyttelse gennem design i databeskyttelsesforordningens artikel 25, stk. 1.
På baggrund heraf henstiller Datatilsynet, at Roskilde Katedralskole som led i sin eventuelle fremtidige brug af eksamensovervågning gennemfører en fornyet risikovurdering efter forordningens artikel 25 som bl.a. adresserer de i afgørelsen nævnte risici, samt i øvrigt i langt højere grad tager højde for, at eksamensaflæggelse – og overvågning – sker ved brug af elevens egen computer. Gymnasiet skal samtidig i et større omfang gøre eleverne opmærksomme på de identificerede risici, opfordre eleverne til og give konkrete eksempler på, hvilke tiltag eleverne selv kan gøre for at undgå utilsigtet at eksponere (private) oplysninger i eksamenssituationen. Det kan f.eks. omfatte vejledende information om, at eleverne under eksamen kan gøre brug af en anden browser, som ikke indeholder deres private oplysninger.
Datatilsynet har herefter afsluttet tilsyn med tre øvrige gymnasiers brug af eksamensovervågningssoftware med henvisning til denne afgørelse og henstillet, at de pågældende gymnasier orienterer sig i afgørelsen og på baggrund heraf vurderer, om – og i givet fald i hvilket omfang – gymnasierne skal foretage justeringer af deres eventuelle brug af eksamensovervågningssoftware for at sikre, at den sker i overensstemmelse med databeskyttelsesreglerne.
Vil du vide mere?
Læs selve afgørelsen her.
Læs også Datatilsynets pjece om oplysningspligten her.
Vil du hellere lytte end at læse? Så kan du høre Datatilsynets podcast om risikovurderinger her.