AU indsamlede uberettiget studerendes data til Google Analytics i knap to år: "Det er ikke særligt heldigt"
Efter en testperiode i 2021 af læringsplatformen Brightspace glemte AU at fjerne et såkaldt plugin, der placerede Google Analytics-cookies i de studerendes browsere. Brightspace sendte dermed uberettiget data om de studerendes brug af platformen til Google i næsten to år.
Fra AU introducerede læringsplatformen Brightspace i 2021 og frem til september 2022, placerede platformen uberettiget Google Analytics-cookies i de studerendes browsere.
AU placerede det såkaldte Google Analytics-plugin på Brightspace, da man testede platformen i de første måneder af 2021, inden man endeligt ville lancere platformen for alle studerende i efterårssemestret samme år. Under pilottestene i foråret var det med studerende og underviseres samtykke, at Brightspace brugte Google Analytics til at opsamle data for at ”forøge brugervenligheden”.
Men ved det, som CED (Centre for Educational Development) – det universitetspædagogiske center ved AU og systemejer af Brightspace – betegner som en beklagelig fejl, blev Google Analytics-pluginnet ikke fjernet igen, da pilotperioden var ovre. Dermed fortsatte registreringen, og fra efteråret 2021 omfattede det altså hele AU, der tog Brightspace i brug. Registreringen skete, uden at nogen brugere blev gjort opmærksom på, at der var installeret et plugin.
Det bekræfter Anders Hyldig, der er funktionschef ved AU’s CED.
”Pluginnet blev ved en fejl ikke slået endeligt fra, da vi var færdige med pilotperioden. Den har dermed indsamlet aggregeret brugsdata efter pilottesten, men det er ikke blevet brugt til noget som helst, og det første vi gjorde, da vi blev opmærksom på det, var selvfølgelig at stoppe dataindsamlingen og få slettet alt data. På dagen. Det var en menneskelig fejl,” siger Anders Hyldig og fortsætter:
”Det er ikke særligt heldigt, og det vidner om, at der er nogle processer, vi kan stramme op på. Når man har kørt en pilottest, skal man sikre sig, at man afleverer den ordentligt systemteknisk. Det har vi nu strammet op på,” siger han.
Databeskyttelsesrådgiver kritiserer CED
I henhold til love om databeskyttelse – for eksempel ePrivacy Directive – skal en webside have tilladelse af brugeren, hvis den vil indsamle cookies. Når en cookie placeres, indsamler den data fra brugerens ageren på websiden – i denne sammenhæng har den sendt data til webanalyseværktøjet Google Analytics. Brightspace placerede Google Analytics-cookies i næsten to år uden at spørge om tilladelse.
Anders Hyldig forklarer, at CED blev opmærksom på pluginnet i slutningen af september 2022. I september tog det danske datatilsyn stilling til Google Analytics og konkluderede, at ”... værktøjet ikke kan benyttes lovligt uden videre”. Tilsynet fandt, at man kun må bruge Google Analytics, hvis man ”... lægger en plan for at lovliggøre sin brug ved at træffe supplerende foranstaltninger”. Datatilsynet forholdt sig allerede til lovligheden af brugen af Google Analytics i januar 2022, da det østrigske datatilsyn konkluderede, at en virksomhed ikke lovligt kunne benytte sig af Google Analytics.
Det var også i september, at studerende fra faget Critical Data Studies på AU henvendte sig til AU’s databeskyttelsesenhed, da de gennem deres underviser, lektor Midas Nouwens, var blevet opmærksomme på, at Brightspace placerede de nævnte cookies. I henvendelsen, der også drejede sig om deres undren over, at Brightspace lod underviserne vide, hvad de foretog sig på platformen, søgte de blandt andet svar på, hvad den retlige basis var for databehandlingen, og hvorfor data overhovedet blev indsamlet.
AU-databeskyttelsesrådgiver Søren Broberg Nielsen kritiserer i sin behandling af henvendelsen fra de studerende CED for den uberettigede brug af Google Analytics-cookies. Han noterer sig dog samtidig, at pluginnet er fjernet, at data ikke er blevet brugt, og at data blev bestilt slettet hos Google.
Adjunkt og forsker i digitale rettigheder og databeskyttelse, Midas Nouwens, der så vidt vides var den første, der opdagede pluginnet, mener, at fejlen efterfølgende er blevet håndteret korrekt.
”Det her var tydeligvis ikke sådan, det skulle håndteres, men samtidig er måden, det er blevet løst på, håndteret, som den skulle”, siger Midas Nouwens.
Det var Victor Nørgaard, som læser informationsvidenskab på 4. semester, der på vegne af de studerende fra faget Data Studies henvendte sig til AU’s databeskyttelsesenhed, og han er tilfreds med, at pluginnet nu er fjernet.
”Det er dejligt, det er væk, og at de anerkender fejlen,” siger Victor Nørgaard.
Korrekturlæst af Charlotte Boel.