EU-persondataforordning – 25. maj 2018

Den nye EU-persondataforordning nærmer sig. I den kommende tid vil vi her på siden informere om de nye krav og vejlede i hvordan I som skole kan forberede jer på at opfylde den nye forordning.

Undervejs vil vi inddrage mulige løsninger på de udfordringer som de nye krav stiller.

En praktisk guide til skoler

“Compliance” betyder at overholde et sæt konkretiserede regler.  EU-persondataforordningen fremsætter en række krav til håndtering af persondata i virksomheder og organisationer. Disse håndhæves fra 25. maj 2018. Opgaven frem til denne dato er, at gøre skolen compliant med disse nye krav.

Lad os slå fast allerede nu, at der her ligger et stort område og venter på skolerne. Der skal sættes tid af og ressourcer til forberedelse og tilpasning af organisationens måde at håndtere persondata på. I første omgang gælder det om at bevidstgøre sig om forordningens rammer og dernæst at kigge på hvilke konsekvenser de nye krav får for skolen.

Bliv bevidst omkring skolens data

I kolonnen til højre gennemgår vi typer af data og hvor de typisk behandles. Vi anbefaler i første omgang at bevidstgøre sig om, hvilke data skolen håndterer samt hvordan disse data transporteres og opbevares i praksis.

Hvordan flyder data i vores organisation?

Hver gang en elev tilmelder sig skolen, en sygemelding kommer ind, der deles billeder fra musicalforestillingen, noteres standpunktskarakter eller ansættes personale står I med eksempler på data som I er pligtige til at håndtere fortroligt eller indhente samtykkeerklæring i forhold til.

Det er nødvendigt at analysere hvilke typer af data der håndteres

  • Hvorfra og hvordan oplysninger indsamles
  • Videregives oplysningerne og hvordan?
  • Hvorfor håndteres oplysningerne?
  • Hvordan oplysningerne bevares og sikres mod spild
  • Hvornår og hvordan oplysninger slettes når de ikke længere er relevante
  • Hvordan indhentes og opbevares samtykkeerklæringer

Det er nødvendigt at skolen dokumenterer praksis herfor og at dokumentationen vedligeholdes.

Hvem er databeskyttelsesansvarlig hos os? (DPO)

Offentlige myndigheder og virksomheder med mere end 250 ansatte skal udvælge en Data Protection Officer (DPO). DPO’en har ansvaret for at infomere og rådgive omkring forpligtelser samt følgende at sikre at disse følges til dørs.

Samtykke

Der er forskellige situationer hvor et samtykke er nødvendigt. Det kan foreksempel være i forhold brug af billede som fremstiller elever på skolens hjemmeside. Endvidere kan I være forpligtede til at indhente samtykke, hvis der foregår en form for overvågning af elevernes færden.

Hvilke data handler det om?

Eksempler på personfølsomme data…

Alle oplysninger om en identificeret eller identificerbar fysisk person skal opbevares fortroligt.

Helbredsmæssige oplysninger, PPR-oplysninger og lignende skal opbevares fortroligt og i overensstemmelse med forordningens sikkerhedsbestemmelser

Årsager til fravær figurerer under personfølsomme oplysninger og skal opbevares i overensstemmelse med forordningens bestemmelser

Oplysninger om værge og forældre er personfølsomme oplysninger og skal opbevares i overensstemmelse med persondataforordningens bestemmelser

Oplysninger og vurderinger af en elevs karakter og person er personfølsomme oplysninger og skal opbevares i overensstemmelse med persondataforordningens bestemmelser

Oplysninger omkring ansættelser, MUS-samtaler, lønforhold og lignende er personfølsomme oplysninger og skal opbevares i overensstemmelse med persondataforordningens bestemmelser.

Brug af elevrelateret materiale på digitale medier kræver, at der foreligger et samtykke med den enkelte elev. Er eleven under 16 år skal samtykkeerklæring underskrives af forældre eller værge.

Hvor håndteres de følsomme data?

Eksempler på steder persondata håndteres og opbevares…

Udprint, udfyldte formularer, Sticky notes under skrivebordsunderlaget, arkivmapper, pengekasser og -skabe og lignende er alle eksempler på steder, hvor personfølsomme data, login oplysninger,  mere eller mindre bevidst, opbevares.

Et skolekontor er ofte et sted hvor mange passerer forbi. Det er derfor muligt, at uvedkommende kan observere eller fjerne data af personfølsom karakter fra en skoles kontor.

Kontorets server er et af de steder, hvor flest persondata opbevares. Derfor er det vigtigt, at denne server er sikret i overensstemmelse med persondataforordningen.

Mange skoler har endnu en lokal server på skolen. I sjældne tilfælde er data på denne krypteret. I praksis betyder det, at enhver person med adgang til denne server let ville kunne tilgå data på denne harddiske selv uden et brugerlogin.

Vi anbefaler SkoleIT Hosted Kontor som base for skolens administration i overensstemmelse med persondataloven

Læs om SkoleIT Hosted Kontor

Skolens administrative løsning til håndtering af personale- og elevregistring indholder som udgangspunkt mange personfølsomme data. Det er særdeles vigtigt at denne ikke er tilgængelig for uvedkommende.

I er som skole ansvarlige for, at indhente databehandler aftaler med parter som håndterer data i relation til det administrative system. Det kan være producenten, hostingselskaber og lignende.

EDB-Brugs, Tabulex, Dansk SkoleData og UV-Efterskoler er eksempler på administrative platforme som benyttes på mange skoler.

Vi anbefaler SkoleIT Hosted Kontor som base for skolens administration i overensstemmelse med persondataloven

Læs om SkoleIT Hosted Kontor

Google Apps, Office 365 og lignende cloudløsninger lever på nuværende tidspunkt ikke op til kravende i den aktuelle persondatalov eller den kommende EU-persondataforordning. Det er således ikke lovligt at benytte disse til persondata eller personhenførbare data.

I praksis betyder det, at følgende ikke må forefindes her

  • Elevudtalelser
  • Oplysninger om forældre og værge
  • Helbredsmæssige oplysninger
  • Fravær og årsag hertil
  • Elevlister med CPR-numre

Herfor skal benyttes intranetløsninger som lever op til EU-persondataforordningen. Der skal foreligge en fyldestgørende databehandler aftale mellem den ansvarlige udbyder, evt. hostingselskab og skolen

SkoleIT har udviklet vores eget Cloudroom som tilføjer intranetfunktioner til Google Apps og Office 365

Kontakt SkoleIT for mere information om Cloudroom.

Ansattes computere og mobile digitale enheder giver ofte adgang til mange data af personfølsom karakter. Det er derfor helt centralt, at ansatte beskytter deres enheder med en kompleks kode. Hvis en mobil enhed forsvinder skal det være muligt, at slette alle data på enheden, så et databrist undgås

  • Der må ikke findes personfølsomme data direkte på pc, tablet eller smartphone
  • Adgang til tjenester som giver adgang til personfølsomme skal være begrænset af et personligt login
  • Personlige computeres harddiske bør krypteres
  • Når en enhed forlades skal den være låst

Der skal benyttes Sikker email til al kommunikation af personfølsom karakter. Sikker mail benytte certikat til verificering af afsender og modtager og giver tillige mulighed for kryptering af indhold i mail.

Kontakt SkoleIT for information omkring sikker mail

Skolens hjemmeside skal være forsynes med et godkendt SSL certifikat såfremt der gives mulighed for udfyldelse af formular med personfølsomme oplysninger

Der er tillige krav til opbevaring af oplysninger i fht. hosting af hjemmesiden.

Kontakt SkoleIT for oplysninger omkring sikker hosting

Print med personfølsomme oplysninger bør aldrig efterlades i printeren. Vi anbefaler, at kontoret har sin egen printer

Efterlad tillige aldrig USB-nøgler med følsom data

Kilde: http://sosu.dk/for-medlemmer/udvalg/o-a-udvalget/243-den-nye-eu-persondataforordning

Summary
Article Name
Den nye EU persondataforordning
Description
SkoleIT hjælper skoler med at blive klar til at imødekomme den nye EU persondataordning som træder i kraft 25. maj 2018.
Author
Publisher Name
SkoleIT ApS
Publisher Logo