Fornyet risikovurdering vedr. ExamCookie Rungsted Gymnasium
ExamCookie Maj 2024
Fornyet risikovurdering vedr. ExamCookie
Rungsted Gymnasium
1. Indledning
Rungsted Gymnasium har indgået databehandleraftale med ExamCookie.
Forud for aftaleindgåelsen har skolen udarbejdet selvstændig risikovurdering med udgangspunkt i ExamCookie’s risiko og konsekvensanalyse1 mhp. at få beskrevet og legitimeret behovet for at anvende computermonitoreringsværktøjet til at sikre, at skolen kan overholde de forpligtigelser, skolen er underlagt iht. de bekendtgørelser, der er på området for prøver og eksaminer på de gymnasiale uddannelser.
Skolen har fundet det nødvendigt at udarbejde denne risikovurdering, da ExamCookie i sin risiko og konsekvensanalyse, pkt. 18, vurderer, at ”De personoplysninger ExamCookie har adgang til, antager ExamCookie for at være af en tilstrækkelig karakter til at de kunne skade eller berøre personer, hvis oplysningerne kom til uvedkommendes kendskab.”
Derudover er risikovurderingen bl.a. begrundet i, at Datatilsynet tidligere har givet kritik af institutioners brug af den tidligere version af ExamCookie bl.a. Datatilsynets afgørelse fra den 16. maj 20192, der vedrørte Fredericias Gymnasiums behandling af personoplysninger ved brug af programmet ExamCookie, samt Datatilsynets afgørelse fra den 26. januar 2021,3 der vedrørte IT-universitetets brug af tilsynsprogrammet ProctorExam ved onlineeksamen. Risikovurderingen har til har til formål at beskrive behandlingen af personoplysninger, vurdere behandlingens nødvendighed og proportionalitet og bidrage til at håndtere de risici for fysiske personers rettigheder og frihedsrettigheder, som behandlingen af personoplysninger medfører. Datatilsynet har også i afgørelse af 19. maj 2024 givet kritik på skolers brug af værktøjet, og denne risikovurdering indeholder en stillingtagen til de nye kritikpunkter.
Det hedder i § 1 i Bekendtgørelse om prøver og eksamen i de almene og studieforberedende ungdoms- og voksenuddannelser
”§ 1. Formålet med prøver og eksamener, som er reguleret i bekendtgørelsen, er at dokumentere, i hvilken grad eksaminanden opfylder de mål og krav, der er fastsat for faget og uddannelsen.”
Prøver og eksaminer på de gymnasiale uddannelser er i øvrigt i vidt omfang regelbelagt mhp. på at sikre, at prøver afvikles på ensartede vilkår for alle. Begrundelsen herfor er, at karaktergennemsnittet kan være bestemmende for den studerendes adgang til en videregående uddannelse, herunder om der opnås adgang til den studerendes 1., 2. eller 3. prioritet.
I denne risikovurdering afdækker skolen:
de behandlingsaktiviteter, som foretages i ExamCookie, formål med behandlingerne samt de legitime interesser, som skolen forfølger herved
om behandlingsaktiviteterne er nødvendige og står i et rimeligt forhold til formålene
hvilke risici behandlingerne udgør for de registrerede
de foranstaltninger, som indføres for at sikre et passende beskyttelsesniveau.
2. Formål med anvendelse af ExamCookie ved flg. prøver
ExamCookie
vil blive anvendt ved nedennævnte prøve/eksamen:
Fra og med skoleåret 2023/2024 anvendes ExamCookie ved følgende årsprøve/terminsprøver og eksamener:
Skriftlig biologi A-niveau (stx)
Skriftlige kemi A- og B-niveau (stx)
Skriftlig dansk A-niveau (stx)
Skriftlig engelsk B- og A-niveau (stx)
Skriftlig spansk A-niveau (stx)
Skriftlig fransk A-niveau (stx)
Skriftlig tysk A-niveau (stx)
Skriftlig matematik C, B og A-niveau (stx)
Skriftlig samfundsfag A-niveau (stx)
Skriftlig musik A-niveau (stx)
Skriftlig fysik A-niveau (stx)
Skriftlig biotek A-niveau (stx)
Skriftlige virksomhedsøkonomi B-niveau (stx)
Årsagen til, at skolen søger en elektronisk løsning til overvågning og kontrol med elevernes computere under prøver og eksamener, er, at tidligere undersøgelser foretaget af Undervisningsministeriet viser, at der er ca. 10 %, der i større eller mindre omfang xxxxxx under eksamener.4 Begrundet mistanke om snyd opstår fx i de tilfælde, hvor en elev afleverer sin opgave forholdsvis tidligt, efter prøven er igangsat, og efterfølgende opnår en usandsynlig høj karakter set i forhold til indsatsen, eller i tilfælde, hvor det vurderes, at eleven har præsteret meget over evne i forhold til sit tidligere niveau.
Samtidig indsamles data for i tvivlstilfælde at kunne frikende eleven for mistanke om snyd, og overvågningen kan dermed bidrage til at beskytte elevernes retssikkerhed.
Fremkomsten af ChatGPT og lign. AI-assistenter og chatbots har kun i endnu højere grad fremskønnet behovet for overvågning og effektiv kontrol med elevernes computere under prøver og eksamener. BVUM har ligeledes meddelt ungdomsuddannelsessektoren, at det ikke er tilladt eleverne at gøre brug af ChatGPT og lign. teknologier/hjælpeværktøjer, idet brug af fx ChatGPT betragtes som snyd.
I tilfælde af at eleven påstår at have uploadet en forkert besvarelse kan ExamCookie derudover bruges til at bekræfte, hvilken opgave der er elevens korrekte eksamensopgave, og dermed hjælpe eleven i den pågældende situation.
3. Forholdsregler mod eksamenssnyd
Skolen benytter eksamensvagter til at føre opsyn med, at eksamen foregår efter reglerne, jf. Undervisningsministeriets anbefalinger i forhold til benyttelse af eksamensvagter Undervisningsministeriets Anbefalinger i forhold til eksamensvagter (antal og forberedelse). Eksamensvagterne har dog ingen mulighed for effektivt at overvåge elevernes aktiviteter på deres computere.
Derudover er der ved skriftlige prøver og eksamener mulighed for at udføre plagiattjek vha. et plagiatkontrolprogram. Et sådant program kan imidlertid kun identificere lighed mellem dokumenter ved at afsløre, om en rækkefølge af ord i en opgave kan genfindes i en anden tekst et sted på internettet. Plagiatkontrollen kan ikke afsløre, om eleven fx har anvendt en ulovlig funktion i et ellers lovligt program, har åbnet ikke tilladte programmer, en anden har skrevet en besvarelse til eleven (en såkaldt ghostwriter), eller om eleven helt eller delvist har anvendt ChatGPT el.lign. teknologi under prøven.
For at kunne komme snyd ved prøver og eksamener til livs er det derfor skolens vurdering, at elektronisk monitorering af elevernes computere vha. et monitoreringsprogram er det eneste sikre middel til at registrere, om der er snydt. Alternativet til den elektroniske monitorering vil være en konstant manuel overvågning af hver enkelt elevcomputer, hvilket ikke er er reelt alternativ, da det dels vil være meget omkostningstungt, dels give anledning til megen postyr og uro under afviklingen af prøven.
Nedenfor er redegjort for, hvordan ExamCookie agtes taget i anvendelse, således at det kan ske inden for persondataforordningens rammer.
4. Behandlingsgrundlaget
Skolens behandling af personoplysninger i ExamCookie har hjemmel i databeskyttelsesforordningens5 art. 6 stk. 1, litra e (offentlig myndighedsudøvelse) i forhold til at håndhæve §§ 14, 15 og 20 i Bek. nr. 343 af 08/04/20166, §§ 5-7 i Bek. nr. 1276 af 27/11/20177 samt § 1 i Bek. nr. 224 af 19/03/20188.
Af sidstnævnte bekendtgørelses § 7, stk. 1, følger, at det er skolens ansvar at sikre, at besvarelsen ”skal være eksaminandens egen og selvstændige besvarelse”, og af stk. 7 fremgår, at eleven ved aflevering af en skriftlig besvarelse skriftligt skal bekræfte:
”at besvarelsen er udfærdiget uden uretmæssig hjælp,
at der alene er benyttet tilladte hjælpemidler,
at eksaminanden ikke har udgivet en andens arbejde for sit eget, og
at eksaminanden ikke har anvendt eget tidligere bedømt arbejde uden henvisning hertil, …”
Skolen er således forpligtet til at forhindre eksamenssnyd. Det er skolens klare vurdering, at dette ansvar reelt ikke er muligt at løfte, uden at der indsamles data, der objektivt kan afgøre, om eleven har snydt. Anvendelse af ExamCookie på den måde, som det er beskrevet i skolens retningslinjer/i nærværende dokument, vurderes nødvendig, for at skolen på tilfredsstillende vis kan løfte opgaven.
5. Forudsætninger og rammer for anvendelse af ExamCookie
Skolen har som dataansvarlig ansvaret for it-sikkerheden, herunder beskyttelsen og kontrollen over indsamlede personoplysninger. Hermed følger en forpligtelse til at forholde sig til og vurdere, hvilke risici der ses ved brug af ExamCookie, og i samarbejde med ExamCookie iværksætte foranstaltninger, der sikrer en passende beskyttelse af de indsamlede personoplysninger.
Skolen er i denne forbindelse særligt opmærksom på at påse og kunne dokumentere, at behandlingen sker i overensstemmelse med principperne i persondataforordningens art. 5, herunder især art. 5, stk. 1, litra c og f, samt art. 32 og 35.
Som fast forudsætning vil ExamCookie kun blive taget i anvendelse i de tilfælde, det giver mening.
Skolen vurderer, at programmet mest hensigtsmæssigt kan anvendes ved skriftlige eksaminer, hvor:
der er restriktioner for, hvilke hjælpemidler der må anvendes, og
det ikke uden brug af en elektronisk monitoreringsløsning er muligt at kontrollere, om der sker snyd.
Skolen tildeler selv brugerrettigheder til systemet, jf. nedenstående skema:
Skolen har iværksat foranstaltninger, der sikrer, at procesliste IKKE monitoreres, selv om det står krydsmarkeret, jf. nedenfor afsnit 6.3, ad e), Scenarie 2.
Inden prøven starter, downloades ExamCookie på elevens computer. Når programmet er startet, logges ind med Unilogin. Ved prøvens sluttidspunkt afslutter og sletter programmet sig selv automatisk.
De indsamlede oplysninger vil efter en fast procedure blive slettet efter 30 dage. Dog kan det i enkelte tilfælde komme på tale at gemme udvalgte oplysninger i op til 3 måneder, fx hvis de indsamlede oplysninger beviser, at der er blevet snydt under prøven, eller ved behandling af en klagesag, hvor det er nødvendigt at have de indsamlede oplysninger tilgængelige.
6. Skolen sikrer, at kun nødvendige personoplysninger behandles
Skolen vil sikre, at indsamlingen af data fra elevens computer sker i overensstemmelse med § 5, stk. 3 og 4, i Bek. nr. 1276 af 27/11/2017, og at der udelukkende behandles data, som er nødvendige for at afgøre om, og i givet fald dokumentere, at der er gjort brug af ulovlige hjælpemidler.
De data, som behandles, kan potentielt indeholde oplysninger, der vil kunne skade eller berøre den registrerede, hvis der sker databrud.
Det skal hertil bemærkes, at ExamCookie som udgangspunkt ikke har adgang til følsomme personoplysninger. Sådanne oplysninger vil kun blive eksponeret, i tilfælde af at eleven selv tilgår disse under prøven, og der tages skærmbillede heraf.
Eleverne instrueres forud for prøverne både skriftligt og mundtligt om, at det ikke er tilladt at tilgå følsomme personoplysninger under prøverne (hverken via egen pc eller via internetsider mv.).
Derudover vejledes eleverne forud for prøverne om, hvilke foranstaltninger de selv er ansvarlige for at iværksætte, så der under eksamen ikke eksponeres følsomme eller på anden måde private personoplysninger, se nedenfor Afsnit 7 og denne risikovurderings Bilag B.
Det er skolens vurdering, at det herved sikres, at det kun er nødvendige og almindelige oplysninger, som behandles.
Overordnet indsamles to kategorier af data: Registreringsdata og Eksamensdata.
6.1. Registreringsdata
Registreringsdata indsamles udelukkende med det formål at identificere brugeren.
For at få programmet installeret og afinstalleret, så snart prøven er slut, kræver det, at eleven anvender sit Unilogin eller et udleveret login.
ExamCookie har indgået en tilslutningsaftale med STIL (mellempakke9), hvilket betyder, at ExamCookie gør brug af SkoleGrunddata (datakilde til Unilogin) til fremskaffelse af identifikations- og uddannelsesoplysninger.
Registreringsdata omfatter:
Fulde navn
Klasse samt hold
Skole og årgang
Elevens eksamensplan
Unilogin bruger ID og password (password er krypteret)
Elevens personnummer, jf. databeskyttelseslovens § 11, stk. 1. (Cpr-nummer pseudonymiseres og krypteres og er dermed ikke synligt i selve programmet).
6.2. Eksamensdata
Eksamensdata omfatter de oplysninger, som indsamles fra elevens computer under prøven:
Relevante skærmbilleder
Indhold af kopieret tekst og billeder i clipboard – udklipsholder i Office (alle Office-applikationer)
Programmer i front på computeren
Aktive URL-adresser i browsere
Det er vurderet, at nedenstående aktivitet, Proceslisteoplysninger, efter aftale med ExamCookie deaktiveres eller fjernes fra programmet, da indsamling af disse ligger udover, hvad der er nødvendigt til formålet, jf. art. 5, stk. 1, litra c), om dataminimering:
Proceslisteoplysninger.
Eksamensdata pseudonymiseres og krypteres og kan således ikke tilkobles den enkelte bruger.
6.3. Behandlingsaktiviteter
Der er blevet sat spørgsmålstegn ved, dels om der er behov for at indsamle alle de ovennævnte oplysninger for at kunne bevise, om der er blevet snydt under prøven, dels om indsamlingen kan ske inden for persondataforordningens rammer. Det er skolens vurdering, at hjemmel til de angivne behandlinger skal findes i persondataforordningens art. 6, stk. 1, litra e), om nødvendig behandling af hensyn til en opgave som henhører under offentlig myndighedsudøvelse. Herudover henvises til § 5, stk. 3, i Bek. nr. 1276 af 27/11/201710 om bl.a. ”adgang til internettet …, brug af cloud-tjenester, overvågning og logning af netværksaktivitet, monitorering af eksaminandernes computere/tablets mv. og brug af elektroniske enheder i øvrigt.”
Nedenfor søges begrundet, at der kun behandles de personoplysninger, der findes nødvendige til formålet, at behandlingsaktiviteterne med de foranstaltninger, der indføres, står i et rimeligt forhold til formålene, og at behandlingen kan ske inden for persondataforordningens rammer.
ad a) Relevante skærmbilleder
behandles med det formål at kunne opdage, om der er gjort brug af ulovlige funktionaliteter, fx til bøjning af verber i Word eller oversættelse af tekst ved en sprogprøve.
Der indsamles skærmbilleder ud fra kriterierne: nyt program i front11, 5 % skærmændring (pixelændring) og med tilfældigt tidsinterval af 30-120 sek. Med indsamling af skærmbilleder vil skolen være i stand til at supervisere meget af den aktivitet, der up-front (umiddelbart) er foregået på elevens computer under prøven, og dermed gives mulighed for at registrere, om der har været anvendt en ulovlig funktion i et ellers lovligt program, eksemplificeret ved at det er lovligt at anvende Word, men ikke den funktion i Word, der giver mulighed for fx at se bøjningen af et konkret verbum. Det er skolens vurdering, at denne indsamling kan have en yderst præventiv effekt og også er et parameter, der med høj sandsynlighed kan medvirke til afsløre, om eleven har snydt.
Det er som nævnt skolens vurdering, at hjemmel til behandlingsaktiviteten skal findes i persondataforordningens art. 6, stk. 1, litra e), samt § 5, stk. 3, i Bek. nr. 1276 af 27/11/2017, og at behandlingen med de foranstaltninger, som indføres, vil kunne ske inden for persondataforordningens rammer.
ad b) Indhold af kopieret tekst og billeder i clipboard
behandles med det formål at kunne opdage, om der er gjort brug af ulovligt materiale.
Ved at indsamle alle oplysninger i computerens udklipsholder har skolen et redskab, der eksplicit kan medvirke til at afsløre, om eleven har gjort brug af ulovligt materiale eller ulovlige hjælpemidler, fx ChatGPT, i sin opgave.
Som forholdsregel ved overvågning af indholdet af computerens clipboard er det af afgørende betydning, at eleven i god tid inden prøven oplyses om, at denne indsamling af oplysninger også omfatter, hvad der evt. historisk ligger gemt i udklipsholderen, og at det er elevens pligt iht. eksamensreglerne forud for prøven at tømme udklipsholderen for alle anvendte applikationer, primært Office-applikationer. Skolen udleverer en vejledning, der beskriver, hvordan dette gøres.
Det er skolens vurdering, at der med implementering af nævnte foranstaltning kun indsamles oplysninger, som det er relevant at indsamle ifm. monitorering af prøven, og at behandlingsaktiviteten ligeledes kan ske med hjemmel i persondataforordningens art. 6, stk. 1, litra e) samt § 5, stk. 3, i Bek. nr. 1276 af 27/11/2017.12
ad c) Programmer i front på computeren
behandles med det formål at kunne opdage, om der er gjort brug af ulovlige programmer.
Den eneste måde at kontrollere dette på er ved at foretage en onlineovervågning af de programmer, eleven selv åbner under prøven. Registrering af alle de programmer, der eksplicit åbnes på computeren, og som derfor kan ses af skærmbilledet, vurderes at være en tilstrækkelig metode til at afgøre, om der under prøven har været anvendt programmer, som vil være at betragte som ulovlige hjælpemidler.
Det er skolens vurdering, at der ved behandlingen kun indsamles oplysninger fra elevens computer, der er hjemmel til at indsamle, jf. persondataforordningens art. 6, stk. 1, litra e) samt § 5, stk. 3, i Bek. nr. 1276 af 27/11/2017, og at behandlingen med de foranstaltninger, som indføres, vil kunne ske inden for persondataforordningens rammer.
ad d) Aktive URL-adresser i browsere
behandles med det formål at kunne opdage, om der er tilgået ulovlige URL’er ved brug af computerens internetbrowser.
En online registrering af URL-adresser er den eneste sikre metode til ved mistanke om snyd at opdage, om eleven har tilgået webadresser, som ikke er tilladte efter eksamensreglerne, herunder også at se, om der under prøven har været forbindelse til egne, private servere.
Det er skolens vurdering, at behandlingshjemmel til den nævnte behandling findes i persondataforordningens art. 6, stk. 1, litra e) samt § 5, stk. 3, i Bek. nr. 1276 af 27/11/2017, og behandlingen med de foranstaltninger, som indføres, vil kunne ske inden for persondataforordningens rammer.
Ad e)
Proceslisteoplysninger – Scenarie 1:
Rungsted Gymnasium har
fravalgt scenarie 1, da skolen IKKE vurderer at overvågning af
proceslisten er formålstjenlig og proportional
Scenarie 1 behandles med det formål at kunne opdage, om der er kører ulovlige programmer eller processer på computeren, som ikke kan opdages ved monitorering af skærmbilleder.
Ad
e) Proceslisteoplysninger – Scenarie 2
Rungsted Gymnasium HAR valgt Scenarie 2, da skolen vurderer monitorering af proceslisten er overflødig, da vi som skole alene anvender skærmdumps
Overvågning af proceslisten viser alle programmer, processer, apps m.v., som har kørt på elevens computer under eksamen. Overvågningen af proceslisten er en metode til ved mistanke om snyd at opdage, om eleven har kørt programmer, der ikke er tilladte efter eksamensreglerne, og som det ikke er muligt at opdage ved monitorering skærmbillederne. Leverandøren oplyser, at ca. 70 % af snydescenarier opdages ved monitorering af proceslisten. Ved indsamling af proceslisteoplysninger er der dog risiko for, at der indsamles private oplysninger, som er eksamen uvedkommende, hvilket kan være problematisk ift. persondataforordningens art. 5, stk. 1, litra c, om ”Dataminimering”, som bestemmer, at personoplysninger skal være:
Nødvendige: Indsamling og behandling af personoplysninger skal være begrænset til det absolut nødvendige for at opfylde et bestemt formål.
Relevante: De indsamlede personoplysninger skal være relevante for det formål, de indsamles og behandles til.
Proportionelle: Omfanget af indsamling og behandling af personoplysninger skal stå i rimeligt forhold til det forfulgte formål.
Ved at registrere alle de processer, der afvikles på elevens
computer, er det skolens vurdering, at der er risiko for, at der
indsamles oplysninger, som ligger ud over det, der er nødvendigt for
at kunne afsløre snyd. Desuden er det vurderingen at ved at indsamle
oplysning om alle de programmer, som eleven har i front på
computeren, får skolen allerede de oplysninger, der er nødvendige
ift. formålet.
Skolen har derfor valgt at anmode
leverandøren om, at proceslisten fjernes/deaktiveres i programmet.
7. Risikoscenarier ved brug af ExamCookie
Datatilsynets har i sin afgørelse x.xx. 0000-000-0000.xx 19-04-2024 påpeget flg. risikoscenarier, som bør mitigeres:
Risiko for, at skolen via de indsamlede skærmbilleder kan indsamle oplysninger, som skolen hverken har et formål med eller lovligt grundlag for at behandle, herunder fx elevernes private bogmærker, favoritter og lignende, ligesom der i adresselinjen kan fremkomme forslag til diverse hjemmesider baseret på elevernes søge- og browserhistorik samt favoritter.
Skolen iværksætter flg. foranstaltning:
Eleverne vejledes om:
at det under eksamen er forbudt at tilgå hjemmesider, apps m.v., som kan indeholde følsomme eller private oplysninger
at det under eksamen er hensigtsmæssigt at anvende en browser, som ikke indeholder nogen private oplysninger, eller oprette en ny bruger, som ikke indeholder personlige programmer.
hvis de bruger deres ”sædvanlige” browser, instrueres eleverne mundtligt og skriftligt om:
Sådan rydder du dit clipboard
Sådan skjuler du dine bogmærker og favoritter
Sådan sletter du din søge- browserhistorik.
Skolen kan behandle oplysninger omfattet af databeskyttelsesforordningens artikel 9 ifm. med overvågning af elever, som er berettiget til at aflægge eksamen under særlige prøvevilkår og har tilladelse til at anvende særlige it-hjælpemidler.
Skolen vurderer:
For elever, som er berettiget til at anvende særlige it-hjælpemidler under eksamen, vil behandling af personoplysninger omfattet af persondataforordningens art. 9 kunne ske på grundlag af en undtagelse til det generelle forbud mod at behandle følsomme personoplysninger, da behandlingen er nødvendig af hensyn til:
væsentlige samfundsinteresser, jf. persondataforordningens art. 9, stk. 2, xxxxx g, jf. § 5, stk. 3, i Bek. nr. 1276 af 27/11/2017 (kapitel om Snyd og anden overtrædelse af eksamensreglerne), og
national ret (SPS - Specialpædagogisk Støtte, som skal sikre, at elever og studerende med en fysisk eller psykisk funktionsnedsættelse kan gennemføre en uddannelse på lige fod med andre), jf. persondataforordningens art. 9, stk. 2, litra b jf. § 44, i LBK nr. 146 af 14/02/2024 § 44 (kapitel 6 om tilskud til specialpædagogisk bistand)
Risiko for, at skolen via skærmbilleder kan indsamle oplysninger om filer og mapper mv. på elevens computer, hvis navn eller metadata i øvrigt indeholder private oplysninger om eleven, som skolen hverken har et formål med eller lovligt grundlag for at behandle.
Skolen iværksætter flg. foranstaltning:
Eleverne opfordres til evt. at slette eller omdøbe filer og mapper eller alternativt gemme filer eller mapper, hvis navn eller metadata kan afsløre private oplysninger i en ny, ”neutral” mappe.
Risiko for fejlkonfiguration af eksamensovervågningen, fx med forkert angivelse af eksamens
starttidspunkt, hvilket kan føre til, at der utilsigtet kan indsamles oplysninger om elevens private brug af sin computer inden prøvens start, hvorved der er risiko eksponering af følsomme eller private oplysninger.
Skolen iværksætter flg. foranstaltning:
Skolen opretter så vidt muligt prøven gennem eksamensplanen i fx Lectio
Hvis prøven oprettes manuelt, bør det sikres, at der udelukkende angives det reelle tidsrum, hvori eksamen finder sted.
Skolen er opmærksom på, at i fald der angives et forkert tidsrum for prøven, og elever tilgår ExamCookie og bliver monitoreret uden for prøvens tidsrum, er der tale om en utilsigtet hændelse.
Skolen informerer eleverne om, at der er mulighed for at anmode om en ekstraordinær sletning, hvis der ved en fejl er indsamlet private oplysninger. Anmodning skal ske til en navngiven ansvarlig på skolen.
8. Sikkerhedsforanstaltninger ved brug af ExamCookie
Skolen ønsker at være bevidst om enhver risiko ved brug af ExamCookie, at forholde sig til identificerede risici og iværksætte risikonedbringende foranstaltninger for derigennem søge at opnå et tilstrækkeligt sikkerhedsniveau.
Persondataforordningens art. 32, stk. 1, fastslår, at den dataansvarlige og databehandleren skal gennemføre passende tekniske og organisatoriske foranstaltninger, og stk. 2, at der ved vurderingen af, hvilket sikkerhedsniveau der er passende navnlig skal tages hensyn til risiko for ”hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.”
Konkret fremgår det af databehandleraftalens Bilag C, pkt. C.2., at sikkerhedsniveauet skal afspejle, ”at databehandleren indsamler fortrolige oplysninger mhp. at kunne dokumentere evt. eksamenssnyd.”
ExamCookie indhenter en gang årligt for egen regning ISAE 3000 GDPR-erklæring.
Der er iværksat flg. sikkerhedsforanstaltninger:
Oversigt over brugerrettigheder:
Skolen tildeler brugerrettigheder, og der er udarbejdet oversigt over hvilke adgangsniveauer, som giver hvilke rettigheder, jf. ovenfor s. 4.
Adgang til data:
Alle personoplysninger importeres direkte fra Uni-sync-tilslutningen.
Personoplysningerne pseudonymiseres og krypteres. Passwords til Unilogin er krypteret.
Kun én betroet medarbejder (partner) i virksomheden har adgang til data, og der er indgået fortrolighedserklæring.
Al data krypteres ”in transmission”, ”in rest” og “in motion”. Data hverken deles med eller videregives til tredjeparter. ExamCookie’s teknologi er sikkerhedstestet mod hacking og har opdateret antivirusprogram.
Opbevaring af data:
Data opbevares på ExamCookie’s servere hos Microsoft Azure i Holland og Tyskland. Microsoft Azure’s datacentre opfylder internationale og branchespecifikke standarder og overensstemmelser, herunder adskillige ISO-certificeringer.
Registreringsdata og Eksamensdata er gemt bag to separate krypteringsnøgler, som kun den betroede medarbejder har adgang til, og adgang kræver konkret login gennem 2-faktor godkendelse, krypteringsnøgle og én specifik IP-adresse.
Data er ikke tilgængelig for underdatabehandler Microsoft Azure, jf. hertil ExamCookie’s databehandleraftale Bilag C, pkt. C.6.:
”C.6 Instruks vedrørende overførsel af personoplysninger til tredjelande
Der overføres ikke data til tredjelande. Data bliver som beskrevet i denne aftale bilag B, opbevare[t] i Holland & Tyskland, efter aftale med Microsoft Azure. Eventuel support fra Microsoft Azure vil ske fra deres danske support i henhold til aftalen med Microsoft Azure.
…”
Sletterutine:
Personoplysningerne opbevares på ExamCookie’s servers som udgangspunkt i 30 dage og i særlige tilfælde maksimalt i 3 måneder. ExamCookie kan slette data inden for maksimalt 48 timer, hvis der skulle være et ønske fra den dataansvarlige skole om dette. Endelig synkroniserer ExamCookie ugentligt sit system med Unilogin, hvorved data om elever, som ikke længere er aktive i SkoleGrunddata slettes.13
De registreredes rettigheder:
Eleven, hvis oplysninger bliver behandlet, kan få adgang til indsigt i data indsamlet fra institutionen via Unilogin på ExamCookie´s hjemmeside.14 Desuden kan den registrerede altid udøve sine rettigheder ved henvendelse til den dataansvarlige skole.
Oplysningspligt:
Skolen er som dataansvarlig forpligtet til i god tid inden prøverne at oplyse eleverne om indsamlingen af personoplysninger, jf. databeskyttelsesforordningens art. 13.
Skolen vil derfor forud for prøven skriftligt oplyse eleven om:
formålet med behandlingen samt retsgrundlaget
hvor længe personoplysningerne opbevares
den registreredes rettigheder
kontaktoplysninger for skolen som dataansvarlig
kontaktoplysninger for tilsynsmyndighed, Datatilsynet.
Eleverne vil derudover inden prøven blive vejledt om brugen af ExamCookie, herunder sørger
skolen for, at:
der udleveres skriftlig vejledning til eleverne med beskrivelse af de behandlinger, programmet foretager, og de forholdsregler, som bør iagttages ved brug af programmet
eleverne udtrykkeligt orienteres om, at det ikke er tilladt at tilgå følsomme oplysninger under prøven, hverken via egen pc eller via websider mv.
eleverne vejledes om, hvilke foranstaltninger de selv har ansvar for at iværksætte forud for prøven mhp. at imødegå utilsigtet eksponering af følsomme eller private oplysninger
der op til prøven gives eleverne passende vejledning i brug af systemet, herunder hvordan de skal forholde sig, hvis de støder på konkrete problemer under prøven fx ved tabt internetforbindelse. Der udleveres hertil skriftlig information i ”Praktisk information ̶ ExamCookie” baseret på FAQ for ExamCookie - Læs de mest hyppige spørgsmål her
eleverne orienteres skriftligt om de regler, der skal følges, samt hvilken konsekvens overtrædelse kan medføre.
8. Konklusion
Skolen konkluderer på ovenstående baggrund, at:
anvendelsen af monitoreringsprogrammet ExamCookie er proportional og nødvendig, for at skolen på tilfredsstillende vis kan efterleve de formål og regler, prøven er underlagt
anvendelsen af monitoreringsprogrammet ExamCookie er proportional og nødvendig for, at skolen på tilfredsstillende vis og effektfuldt kan leve op til myndighedsopgaven med at sikre og føre tilsyn med, at eleverne ikke xxxxxx under prøverne
der med de mitigerende foranstaltninger, som er iværksat, kun indsamles data, som er nødvendige til formålet
der er identificeret en relevant undtagelse til det generelle forbud mod behandling af følsomme personoplysninger
oplysningspligten over for eleverne overholdes
der etableres et passende sikkerhedsniveau, teknisk og organisatorisk, til beskyttelse af data
risikoen for de fysiske personers rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger på dette grundlag vurderes at være lav og acceptabel, hvorfor der ikke er behov for at udarbejde en konsekvensanalyse. Denne risikovurdering samt underliggende bilag indeholder en beskrivelse af behandlingsaktiviteterne og formålene hermed, vurdering af om behandlings-aktiviteterne er nødvendige og proportionale, vurdering af risici for de registrerede ved behandlingen samt forslag til mitigerende foranstaltninger – elementer, som også vil indgå i en evt. konsekvensanalyse.
Rungsted Gymnasiums lokale regler ved deltagelse i prøven
Se: xxxxx://xxxxxxxx-xxx.xx/xxxxxxx/ samt xxxxx://xxxxxxxx-xxx.xx/xx-xxxxx/ (se ExamCookie)
1 Information til risiko og konsekvensanalyse ExamCookie 2022, jf. Bilag C.
5 EUROPA-PARLAMENTETS OG RÅDETS FORORDNING (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF
6 Bekendtgørelse om prøver og eksamen i de almene og studieforberedende ungdoms- og voksenuddannelser.
7 Bekendtgørelse om visse regler om prøver og eksamen i de gymnasiale uddannelser.
8 Bekendtgørelse om adgangen til at medbringe og anvende udstyr, herunder digitale hjælpemidler, under prøver i de gymnasiale uddannelser.
10 Bekendtgørelse om visse regler om prøver og eksamen i de gymnasiale uddannelser.
11 Jf. også ad c).
12 Jf. IT-Universitets brug af tilsynsprogram ved online eksamen: ”ITU har i denne forbindelse anført bl.a., at ProctorExam modsat ExamCookie ikke kræver installation af general-purpose software; at ProctorExam ikke overvåger netværkstrafik, clipboard-indhold eller baggrundsprocesser.”
13 Alle personoplysninger i SkoleGrunddata importeres og opdateres løbende med gymnasiernes administrative systemer, og da ExamCookie ugentligt synkroniserer deres elevdatabase med SkoleGrunddata, vil oplysninger om ikke aktive elever løbende blive slettet med det formål at sikre dataminimering.
16