Sammendrag
Medlemmerne af Børne- og Skoleudvalget er via mail d. 9. november 2021 blevet kontaktet af en borger, der har indmeldt et sikkerhedsbrud til Datatilsynet. Borgeren er ikke tilfreds med administrationens svar og efterfølgende håndtering af sagen. Borgeren mener stadig at Ballerup Kommune har sikkerhedsbrud i forbindelse med brug af YouTube i undervisningen i folkeskolerne.
I sagen fremføres administrationens svar på de punkter der er beskrevet i mail fra borger.
Baggrund.
Ballerup Kommune har i januar 2020 anmeldt brud på datasikkerhed i forbindelse med anvendelsen af Youtube i undervisningen til Datatilsynet. Herefter er der blevet rettet op på det forhold der gav anledning til bruddet på datasikkerheden. En borger har efterfølgende i foråret 2021 klaget til Datatilsynet og har pr. mail d. 9 november 2021 skrevet til alle medlemmer af Børne- og Skoleudvalget med kommentarer om administrationens håndtering af sagen og påstand om at sikkerhedsbruddet stadig eksisterer.
Sagen vedrører at der i løbet af 2020 har været en del omtale i medierne af it-sikkerheden i forhold til anvendelsen af G Suite for Education i folkeskolerne rundt om i kommunerne. Folkeskolerne i Ballerup Kommune anvender G Suite for Education (kerneproduktet) og Chromebooks i det daglige arbejde omkring børns læring, trivsel og udvikling. På disse Chromebooks er Google-programmer (G Suite for Education) præ-installerede, og næsten alle data og dokumenter gemmes i Googles datacentre, som både er placeret i Europa og i USA.
I 2019 blev der udarbejdet en konsekvensanalyse (DPIA = Data Protection Impact Assessment) for brugen af G Suite for Education, lige som vi har indgået en databehandleraftale med Google Danmark. Konsekvensanalysen er opdateret i januar 2021
Sagsfremstilling
Klagen til Børne- og Skoleudvalgets medlemmer omfatter 3 punkter, som belyses nedenfor med administrationens svar.
Punkt 1. "For det første fastholder kommunen, at børnene skal have adgang til "internettets fulde ressourcer" , herunder youtube, selv om youtube selv (Google) klart har udtalt, at platformen kun er for børn på mindst 13 (dokumenteret i min klage). Fordi sådan er loven: alderen for digitalt samtykke er 13 år."
Administrationens svar: Digitaliseringsudvalget har den 18. maj 2018 i forbindelse med høring af skoler, dagtilbud og klubbers digitaliseringsstrategi diskuteret begrebet digital dannelse og herunder bevidsthed om, at elever bør oplyses om, hvordan de færdes sikkert på nettet frem for at der opstilles påbud og blokering af udvalgte sider. Det er ikke korrekt, at der findes dansk lovgivning med en aldersgrænse, der skulle kræve at der lukkes for indhold på YouTube. Youtube har selv dat tre niveauer, som Ballerup Kommune følger:
- Indskoling: Strengt begrænset YouTube-adgang
- Mellemtrin og udskoling: Moderat begrænset YouTube-adgang
- Personale: Ubegrænset YouTube-adgang
I Ballerup Kommune anvender vi YouTube som en vidensressource, da kanalen indeholder læringsmaterialer, viden der er præsenteret af fagpersoner/eksperter - også selvudråbte ”eksperter” - samt et vindue til almene menneskers holdninger. YouTube er de unges primære tilgang til viden. Derfor er det særligt vigtigt, at eleverne lærer at færdes på dette medie, være kildekritiske og strukturerede i deres søgning af viden. Det er en vigtig opgave for elevernes digitale dannelse at lære at navigere i denne verden af informationer. Det lærer eleverne at være kildekritiske, når de præsenteres for dette materiale af levende billeder og lyd.
Punkt 2. "For det andet stiller jeg spørgsmålstegn ved, om forældrenes forældremyndighed overhovedet er respektereret, når man blot får en udleveringskvittering med hjem. Reelt overtager kommunen noget af forældremyndigheden ved at nægte forældrene adgang til en låst computer."
Administrationens svar: Chromebook er et tilbud, som tilbydes elever i Ballerup Kommune. Det er et tilbud og man er som forælder velkommen til selv at stille en computer til rådighed. Digitaliserings- og Teknologiudvalget har haft ønske om muligheden for Bring Your Own Device (BYOD). Dette er nu indarbejdet i strategien og matcher fuldstændig tanken om en cloudbaseret løsning.
Punkt 3. "For det tredie - og det er faktisk næsten det værste - ser det ud som om, at embedsmændene (bevidst?) har fejlinformeret de berørte forældre om selve fejlen. Det fandt jeg ud af, fordi min kone og jeg aldrig fik nogen undskyldning eller beklagelse for det skete (!), så jeg søgte om aktindsigt i den besked, de andre berørte forældre havde fået. Det I skal bide mærke i her er, at embedsmændene i kommune helt omskriver det skete. Børnene havde IKKE lavet nogen youtube-account. De var blot logget ind i browseren med deres Google skolekonto, og afslørede derefter deres fulde identitet i kommentarer - fuldstændigt som i Helsingør-sagen. I øvrigt var det ulovligt, at de overhovedet VAR på youtube! Dels pga alderen, dels fordi vi som forældre aldrig givet tilladelse!"
Administrationens svar: Eleverne havde ikke oprettet en konto, da den netop blev oprettet ved at de kunne logge sig ind. Det er derfor vigtigt at understrege, at eleverne ikke havde foretaget en forkert handling. Administrationen sikrede efter dette var blevet klart instruks om sletning af YouTube-profil samt orientering til de berørte elevers forældre om instruksen. Denne information blev udelukkended sendt til de elever, der havde lagt videoer op på YouTube. De kunne fremsøges ved at søge på deres brugernavn UNI-login@skoledrev.dk. Databrud om hændelsen blev meldt til Datatilsynet. Potentielt kunne alle elever over 12 år kommentere på en video på YouTube. Da det ikke er muligt at fremsøge disse eventuelle hændelser, blev det besluttet, at der ikke blev meldt noget ud om dette, da risikoen for databrud blev vurderet til lille.