0
Læs nu

Du har ingen artikler på din læseliste

Hvis du ser en artikel, du gerne vil læse lidt senere, kan du klikke på dette ikon
Så bliver artiklen føjet til din læseliste, som du altid kan finde her, så du kan læse videre hvor du vil og når du vil.

Næste:
Næste:
Artiklen er føjet til din læseliste Du har ulæste artikler på din læseliste

Der har ikke været rettidig omhu i forhold til sikkerhedsniveauet i Aula, fastslår en datajuridisk ekspert.

Nyheder
Læs artiklen senere Gemt (klik for at fjerne) Læst

Kritik: Aula indeholder alvorlig sikkerhedsbrist

Efter skiftet fra Skoleintra til Aula har medarbejdere på landets folkeskoler pludselig adgang til hinandens private beskeder. Det er i strid med persondataforordningen, vurderer ekspert.

Nyheder
Læs artiklen senere Gemt (klik for at fjerne) Læst

Der er ikke oplæsning af denne artikel, så den oplæses derfor med maskinstemme. Kontakt os gerne på automatiskoplaesning@pol.dk, hvis du hører ord, hvis udtale kan forbedres. Du kan også hjælpe ved at udfylde spørgeskemaet herunder, hvor vi spørger, hvordan du har oplevet den automatiske oplæsning.

Spørgeskema om automatisk oplæsning

Kommunikationsplatformen Aula har efter alt at dømme en betydelig sikkerhedsbrist.

Private beskeder, der er arkiverede i det tidligere Skoleintra og overført til det nye Aula, er nu tilgængelige for alle andre medarbejdere, hvis de i Aula har fået tildelt rollen ’Skoleintra arkiv administrator’.

Beskederne kan eksempelvis være referater fra MUS-samtaler eller dokumentation i en personalesag, og det gælder for folkeskoler i alle de 88 kommuner, som indtil videre bruger Aula.

Desuden kan man som administrator i Aula - tilsigtet eller utilsigtet – med et enkelt klik tildele andre medarbejdere rettigheden til at læse med i arkiverede beskeder fra Skoleintra. Det kan også være arkiverede personlige filer fra Skoleintras private mappesystem.

Der er så mange mangler og uhensigtsmæssigheder, der tilsammen gør, at Aula ikke er sikkert

Det er netop blevet opdaget af Christian Jermiin Nielsen, der er lærer og Aula-administrator på Rødding Skole i Vejen Kommune.

»Jeg troede, det var en fejl, da jeg fandt ud af det. Pludselig kunne jeg læse med i mine kollegers private beskeder og også tildele andre den vidtgående rettighed,« siger han og kalder det en »sikkerhedsbrist«.

»Det kan godt være, at jeg juridisk set er en betroet medarbejder, men rent etisk er den enkelte medarbejder ikke blevet oplyst om, at jeg eller andre - f.eks. ledelsen - kan gå ind og læse deres arkiverede data fra Skoleintra. Aula burde være et sikkert system, og så bygger det på tillid på det punkt. Det er jo helt grotesk,« siger Christian Jermiin Nielsen.

I Aula kan man som 'Skoleintra arkiv administrator' nu tildele andre samme rettighed, så de får adgang til private besked-arkiver. Dybt problematisk, mener lærer Christian Jermiin Nielsen.

Efter mere end fire års tilløb gik Aula i luften for en måned siden. Det er kommunernes hidtil største it-projekt, og forud for lanceringen forlød det, at kommunikationskanalen er udviklet med særligt henblik på brugervenlighed og datasikkerhed.

Den endelige vejledning i hvordan skoler skulle flytte data fra Skoleintra til Aula, blev sendt ud 7. oktober – blot en uge inden overførslen skulle gennemføres, og den hektiske opstart vidner om iver for at få presset et »ufærdigt« it-projekt igennem, mener Christian Jermiin Nielsen.

»Ingen har vidst, at der skulle råbes vagt i gevær, for de har ikke nået at sætte sig ind i de nye sikkerhedsprocedurer. Der er så mange mangler og uhensigtsmæssigheder, der tilsammen gør, at Aula ikke er sikkert,« siger han.

»Falsk forudsætning«

Det er kommunernes it-fællesskab, Kombit, som står bag Aula. Lektor i persondataret Ayo Næsborg-Andersen vurderer, at Kombit ikke har sikret fortroligheden i det nye system tilstrækkeligt, da data blev overført fra Skoleintra, og det strider imod persondataforordningen, GDPR.

»Der har ikke været rettidig omhu i forhold til sikkerhedsniveauet. Hvis noget først er kvalificeret som fortroligt, skal man konkret vurdere, hvis det ikke skal være det længere. Men her har man sænket et sikkerhedsniveau uden at vurdere det konkret, og det er i strid med principperne i GDPR,« siger Ayo Næsborg-Andersen fra Syddansk Universitet.

Hun peger på, at alle medarbejdere burde fået oplyst, at de data, de valgte at føre med fra Skoleintra til Aula, fremover kunne tilgås af andre.

»Oplysningerne er gemt under en falsk forudsætning. Vi er inde ved de grundlæggende principper, og det er grelt,« siger Ayo Næsborg-Andersen.

Aula vil informere kommuner

Lærer Christian Jermiin Nielsen har forsøgt at gøre Aula og Netcompany, der står for udviklingen og implementeringen af systemet, opmærksom på problemet. Men Netcompany vurderer, at der »ikke er en decideret fejl i Aula« og henviser til, at kommunernes it-fællesskab Kombit selv ønsker funktionen.

Hos Kombit siger pressechef Henrik Kirkeskov, at det hele tiden har været meningen, at overførslen af data - også kaldet migreringen - skulle gælde dokumentation, der handlede om børn, så det ikke risikerede at gå tabt i forbindelse med lukningen af Skoleintra.

»Det er naturligvis uheldigt, hvis der er migreret personlige beskeder fra Skoleintra over til Aula,« siger Henrik Kirkeskov i et skriftligt svar.

Han understreger, at medarbejderne selv har kunnet vælge, hvilke af deres beskeder de ønskede at overføre fra Skoleintra til Aula. Adspurgt om ikke medarbejderne har gjort det i blinde, svarer Henrik Kirkeskov, at der i vejledningen for overførsel af data blev nævnt, at administratoren fremover ville kunne tildele andre rettighed til at tilgå deres data.

På baggrund af Politiken Skolelivs henvendelse vil Kombit nu informere kommunerne om, hvordan medarbejdere skal håndtere rettigheder i Aula. Desuden vil Kombit opfordre kommunerne til at sørge for at lave nogle rutiner for stikprøvekontrol, så det bliver tjekket, om nogen uretmæssigt har kigget i data.

  • Ældste
  • Nyeste
  • Mest anbefalede

Skriv kommentar

2000 tegn tilbage

Læs mere:

Forsiden