Nyhedsmail

vores Artikel i forbindelse med udsendelse af nyhedsmail den 30. maj 2024.

Mange skoler afholder i disse tider skriftlige eksaminer eller terminsprøver for deres elever. I den forbindelse kan det være fristende at benytte elektroniske hjælpemidler til at undersøge, hvorvidt eleverne snyder under deres eksamen eksempelvis ved at tilgå hjemmesider, der ikke må tilgås.

Som dataansvarlig skal man dog gøre sig nogle overvejelser, inden man tager sådanne elektroniske hjælpemidler i brug. Man skal bl.a. sikre, at der findes et passende behandlingsgrundlag, iagttage sin oplysningspligt over for eleverne og man skal have foretaget en risikovurdering af ibrugtagningen af det nye system.

I den forbindelse anbefaler Gapsolutions, at man finder inspiration i Datatilsynets nyeste afgørelse fra maj 2024.

I forbindelse med et tilsyn vedrørende Roskilde Katedralskoles brug af software til eksamensovervågning, har Datatilsynet udtalt kritik af gymnasiets behandling af elevers oplysninger i forbindelse med brugen af ExamCookie på elevernes private computere. Systemet monitorerer og afsender fx screendumps og copy-paste af tekst og billeder lavet under en eksamen med det formål at sikre, at prøven foregår inden for retningslinjerne og at opdage og forebygge eksamenssnyd.

I afgørelsen, har Datatilsynet lagt vægt på, at gymnasiet i sin risikovurdering har vurderet, at risikoen for elevernes rettigheder og frihedsrettigheder var lav og acceptabel, og at ExamCookie er indrettet til at sikre databeskyttelse gennem design og standardindstillinger. Gymnasiet havde forinden identificeret enkelte risici for eleverne, herunder bl.a. at gymnasiet utilsigtet indsamlede oplysninger, som allerede findes i elevens udklipsholder, eller at eleven tilgår oplysninger om sig selv eller andre, som gymnasiet ikke har et formål med at behandle, fx helbredsoplysninger om eleven.

For at mindske denne risici, havde Gymnasiet forinden informeret eleverne både skriftligt og mundtligt om ikke at eksponere følsomme oplysninger under prøven.

Dette var Datatilsynet imidlertid ikke enig i var tilstrækkeligt, idet der ved behandlingen af skærmbilleder fx kan fremgå oplysninger fra den anvendte browser i form af elevernes private bogmærker, favoritter og lignende, ligesom der kan forekomme forslag til diverse hjemmesider baseret på elevernes private søge- og browserhistorik. Ydermere kan der vises tilladelser til at anvende særlige IT-hjælpemidler fx i forbindelse med ordblindhed igennem skærmbillederne, hvilket gymnasiet hverken har et formål med at behandle, eller et lovligt grundlag til at behandle oplysningerne.

Den utilstrækkelige risikovurdering har medvirket til at gymnasiet ikke har truffet passende tekniske og organisatoriske foranstaltninger, da opsætningen af ExamCookie ikke medfører, at der kun indsamles og behandles oplysninger, som gymnasiet har forudsat. Datatilsynet har henstillet til, at gymnasiet foretager en fornyet risikovurdering af systemet.

Hvis I har brug for hjælp eller sparring til at udarbejde en risikovurdering, som bl.a. adresserer disse risici, kan I kontakte en af vores konsulenter.

Læs Datatilsynets afgørelse her