Datatilsynet har afgjort en tilsynssag om brug af eksamensovervågningssoftware på et gymnasium. Myndigheden konstaterer, at behandling af personoplysninger som udgangspunkt er sket lovligt og proportionelt, herunder med korrekt behandlingsgrundlag, opbevaringsbegrænsning og oplysningspligt i overensstemmelse med databeskyttelsesforordningens artikler 6, 5 og 12-14.
Kritik og henstillinger under art. 25
Datatilsynet udtaler kritik for en utilstrækkelig risikovurdering og fravær af passende tekniske og organisatoriske foranstaltninger designet til dataminimering. Behandlingen har derfor ikke fuldt ud levet op til kravet om databeskyttelse gennem design efter GDPR artikel 25, stk. 1. Myndigheden henstiller, at gymnasiet gennemfører en fornyet risikovurdering, der adresserer de identificerede risici og dokumenterer valgte foranstaltninger.
Henstillingerne retter sig særligt mod eksamen på elevernes egne enheder. Gymnasiet bør i højere grad informere om risici og give konkrete råd, som reducerer utilsigtet eksponering af private oplysninger, f.eks. at anvende en separat browser eller justere standardindstillinger.
Interesseret i forvaltningsret? Deltag i Forvaltningskonferencen 2026
Læs mere her →Oplysningspligt og opfølgning
Datatilsynet opfordrer til en klarere og mere præcis oplysningspligtmeddelelse, med korrekte henvisninger og kun relevante oplysninger. Det skal gøre formålet, datatyper, behandlingsgrundlag og opbevaringstid let forståelige for eleverne.
Myndigheden afslutter samtidig tilsyn med tre andre gymnasier med henvisning til afgørelsen og anbefaler, at institutionerne vurderer behov for justeringer for at sikre overholdelse af databeskyttelsesreglerne. Se afgørelsen på Datatilsynets hjemmeside her. Generel vejledning om oplysningspligt kan læses her, og introduktion til risikovurderinger findes i myndighedens podcast her.
