EU-persondataforordningen i punktform

Den nye EU-persondataforordning udfordrer en lang række af de rutiner, som kendetegner skolernes hverdag.

Vi får mange henvendelser med spørgsmål til den nye persondataforordningen. Flere skoler efterlyser overblik og vejledning – og med god grund, for der er meget at holde styr på for at opfylde de nye krav til håndtering af persondata.

Bliv klogere på EU-persondataforordningen

Hvis du vil vide mere om EU-persondataloven, så kan du læse vores vejledninger og tilmelde dig vores nyhedsbrev om emnet. Vi udsender løbende input og inspiration, der har relevans for skolernes rolle.

Janus Friis Binderslev, Partner i Deloitte Enterprise Risk Services  (11 min.)

Læs vejledninger

10 vigtige punkter

1. Personers ret til at blive glemt

Den registrerede har ret til at kunne kontrollere, hvordan data benyttes. Der skal således være en plan for at registrerede fra tidligere som ikke længere har relevans for skolen, fjernes når opbevaring af data ikke længere kan begrundes reelt. Den registrerede skal kunne bede om at blive slettet og skolen skal kunne dokumentere at dette faktisk er sket.

2. Dataportabilitet

Den registrerede har ret til at bede om data, som skolen har opbevaret, for dernæst at kunne give den til en ny skole.

3. Privacy /Data Protection Impact Assessment (PIA)

De processor, skolen har omkring håndtering af persondata skal tage udgangspunkt i en vurdering af den konsekvens, et spild af data vil medføre for den registrerede.

4. Privacy by design/by default

Sikkerhed skal være udgangspunktet for den måde en sikkerhedsløsning eller proces designes og udføres på. By default betyder, at dette altid skal være aktivt.

5. Skærpede dokumentationskrav

Der stilles krav om egenkontrol i stil med det, vi kender fra fødevaresektoren. Som skole skal I kunne dokumentere, hvilke processor I har og dokumentere, at de overholdes. I tilfælde af kontrol fra datatilsynet skal disse foreligge og være opdaterede.

6. Databeskyttelseansvarlig (Dataprotection officer – DPO)

En DPO er kontaktperson for datatilsynet og ansvarlig for at forordningens krav håndteres korrekt. Det er endnu uvist om skoler er forpligtede til at udnævne en DPO.

7. Information om behandling af datasubjektet

Handler om transparens for den registrede borger. Skolen har pligt til at informere den registrerede om, hvad dennes data bruges til.

8. Samtykke

Det, skolen gør med den registreredes data skal være i overensstemmelse med den præcise opgave, som skolen varetager for den registrerede. Den registrerede skal på forhånd have afgivet et eksplicit samtykke.

9. Indberetning og underretning

En skole er i tilfælde af spild eller eksponering af persondata forpligtet til at underrette Datatilsynet inden for 72 timer. Hvis data er blevet genstand for et brud på skolens datasikkerhed, skal den registrerede bruger også underrettes. Derudover skal den registrerede kunne bede skolen om oplysninger om registrerede data samt hvad disse er brugt til.

10. Sanktioner

Med den nye forordning følger en ramme for bødestørrelser på enten 4% af en skoles omsætning eller 20 mill. € alt efter hvad der er størst. Dertil kommer, at en skole kan frakendes retten til at håndtere persondata.

Kilde: Janus Friis Bindslev – Deloitte.dk

Ny EU-forordning for persondata

En forordning er modsat et direktiv almengyldig og bindende. Dets krav indtræder umiddelbart i alle medlemsstater. Persondataforordningen er således at betragte som en hver anden dansk lov samtidig med, at den eksisterer sideløbende i hele EU.

EU-Persondataforordningen der håndhæves fra 25. maj 2018 bør tages alvorligt. Hvor persondataloven sjældent har været årsag til retsforfølgelse medfører den nye forordning krav om selvkontrol og udførlig dokumentation. Fra EU’s side understreges alvoren i, at bøderammen går op til 4% af virksomhedens omsætning eller 20 mill € alt efter, hvad der er størst. I særlige tilfælde kan en virksomhed helt underkendes retten til at håndtere personfølsomme data.

Lad os slå fast allerede nu, at der ligger et stort arbejde og venter på skolerne. Der bør sættes tid og ressourcer af til forberedelse og tilpasning af organisationens måde at håndtere persondata på.

Eksempler på personfølsomme data

Alle oplysninger om en identificeret eller identificerbar fysisk person skal opbevares fortroligt.

Helbredsmæssige oplysninger, PPR-oplysninger og lignende skal opbevares fortroligt og i overensstemmelse med forordningens sikkerhedsbestemmelser.

Årsager til fravær figurerer under personfølsomme oplysninger og skal opbevares i overensstemmelse med forordningens bestemmelser.

Oplysninger om værge og forældre er personfølsomme oplysninger og skal opbevares i overensstemmelse med persondataforordningens bestemmelser.

Oplysninger og vurderinger af en elevs karakter og person er personfølsomme oplysninger og skal opbevares i overensstemmelse med persondataforordningens bestemmelser.

Oplysninger omkring ansættelser, MUS-samtaler, lønforhold og lignende er personfølsomme oplysninger og skal opbevares i overensstemmelse med persondataforordningens bestemmelser.

Brug af elevrelateret materiale på digitale medier kræver, at der foreligger et samtykke med den enkelte elev. Er eleven under 16 år skal samtykkeerklæring underskrives af forældre eller værge.

Eksempler på håndtering af persondata

Udprint, udfyldte formularer, Sticky notes under skrivebordsunderlaget, arkivmapper, pengekasser og -skabe og lignende er alle eksempler på steder, hvor personfølsomme data, login oplysninger, mere eller mindre bevidst, opbevares.

Et skolekontor er ofte et sted, hvor mange passerer forbi. Det er derfor muligt, at uvedkommende kan observere eller fjerne data af personfølsom karakter fra en skoles kontor.

Kontorets server er et af de steder, hvor flest persondata opbevares. Derfor er det vigtigt, at denne server er sikret i overensstemmelse med persondataforordningen.

Mange skoler har endnu en lokal server på skolen. I sjældne tilfælde er data på denne krypteret. I praksis betyder det, at enhver person med adgang til denne server let ville kunne tilgå data på denne harddiske selv uden et brugerlogin.

Vi anbefaler SkoleIT Hosted Kontor som base for skolens administration i overensstemmelse med persondataloven

Læs om SkoleIT Hosted Kontor

Skolens administrative løsning til håndtering af personale- og elevregistring indholder som udgangspunkt mange personfølsomme data. Det er særdeles vigtigt at denne ikke er tilgængelig for uvedkommende.

I er som skole ansvarlige for, at indhente databehandler aftaler med parter som håndterer data i relation til det administrative system. Det kan være producenten, hostingselskaber og lignende.

EDB-Brugs, Tabulex, Dansk SkoleData og UV-Efterskoler er eksempler på administrative platforme som benyttes på mange skoler.

Vi anbefaler SkoleIT Hosted Kontor som base for skolens administration i overensstemmelse med persondataloven

Læs om SkoleIT Hosted Kontor

Både Google og Microsoft har forpligtet sig på at overholde rammerne i GDPR. Det betyder at både Google G Suite såvel som Office 365 fra Microsoft må benyttes til håndtering af persondata.

Det er dataansvarliges ansvar, at persondata håndteres i overensstemmelse med forordningens forhold omkring arkivering, adgangsbegrænsning med videre.

Ansattes computere og mobile digitale enheder giver ofte adgang til mange data af personfølsom karakter. Det er derfor helt centralt, at ansatte beskytter deres enheder med en kompleks kode. Hvis en mobil enhed forsvinder, skal det være muligt at slette alle data på enheden, så et databrist undgås.

  • Der må ikke findes personfølsomme data direkte på pc, tablet eller smartphone
  • Adgang til tjenester som giver adgang til personfølsomme skal være begrænset af et personligt login
  • Personlige computeres harddiske bør krypteres
  • Når en enhed forlades skal den være låst

Der skal benyttes sikker email til al kommunikation af personfølsom karakter. Sikker mail benytter et certifikat til verificering af afsender og modtager og giver  mulighed for kryptering af indhold i mail.

Kontakt SkoleIT for information omkring sikker mail.

Skolens hjemmeside skal være forsynet med et godkendt SSL certifikat, hvis der er mulighed for at udfylde en formular med personfølsomme oplysninger.

Der er tillige krav til opbevaring af oplysninger i fht. hosting af hjemmesiden.

Kontakt SkoleIT for oplysninger omkring sikker hosting.

Print med personfølsomme oplysninger bør aldrig efterlades i printeren. Vi anbefaler, at kontoret har sin egen printer.

Efterlad aldrig USB-nøgler med følsomme data.

Ha’ dokumentationen i orden

Hver gang en elev tilmelder sig skolen, en sygemelding kommer ind, der deles billeder fra musicalforestillingen, noteres standpunktskarakter eller ansættes personale, så står I med eksempler på data, som I er forpligtiget til at håndtere fortroligt eller skal indhente samtykkeerklæring til.

Det er nødvendigt at analysere hvilke typer af data, der håndteres:

  • Hvorfra og hvordan oplysninger indsamles
  • Om oplysningerne videregives, til hvem og hvordan
  • Hvorfor oplysningerne håndteres
  • Hvordan oplysningerne bevares og sikres mod spild
  • Hvornår og hvordan oplysninger slettes, når de ikke længere er relevante
  • Hvordan samtykkeerklæringer indhentes og opbevares

Dokumentationen bør vedligeholdes.

Gratis værktøjer

Skriv til os på [email protected] , så sender vi et analyseværktøj til registrering af persondata.

Kendt it-sikkerhedschef bag gratis vejledning: Kom i mål med EU-persondataforordningen

Bemærk: Der er fuldstændig ansvarsfraskrivelse ved download og brug af dette regneark.