EU-persondataforordning 25. maj 2018 i punktform

Den nye EU-persondataforordning erstatter et EU-direktiv fra 1995 som grundet den teknologiske udvikling ikke længere kan betragtes tidssvarende. Forordningen er at betragte som dansk lov fra 18. maj 2018 og udfordrer en lang række af de rutiner, som kendetegner hverdagen i danske organisationer, virksomheder og skoler.

I den kommende tid vil vi her på siden informere om de nye krav og vejlede i, hvordan I som skole kan blive klar til, at opfylde den nye forordning inden 25. maj 2018. Undervejs vil vi inddrage mulige løsninger på de udfordringer som forordningen stiller.

Overordnet

“Compliance” henviser til det at være i overensstemmelse med et sæt konkretiserede regler.  EU-persondataforordningen fremsætter en række nye krav til håndtering af persondata i virksomheder og organisationer. En forordning er modsat et direktiv almengyldig og bindende. Dets krav indtræder umiddelbart i alle medlemsstater. Persondataforordningen er således at betragte som en hver anden dansk lov samtidig med, at den eksisterer sideløbende i hele EU.

EU-Persondataforordningen der håndhæves fra 25. maj 2018 bør tages alvorligt. Hvor persondataloven sjældent har været årsag til retsforfølgelse medfører den nye forordning krav om selvkontrol og udførlig dokumentation. Fra EU’s side understreges alvoren i, at bøderammen går op til 4% af virksomhedens omsætning eller 20 mill € alt efter, hvad der er størst. I særlige tilfælde kan en virksomhed helt underkendes retten til at håndtere personfølsomme data.

Lad os slå fast allerede nu, at der ligger et stort arbejde og venter på skolerne. Der bør sættes tid og ressourcer af til forberedelse og tilpasning af organisationens måde at håndtere persondata på.

10 væsentlige punkter

  1. Borgerens ret til at blive glemt. Den registrerede har ret til at kunne kontrollere hvordan vore data benyttes. Der skal således være en plan for at registrerede fra tidligere som ikke længere har relevans for organisationen, fjernes når opbevaring af data ikke længere kan begrundes reelt. Den registrerede skal kunne bede om at blive slettet og organisationen skal kunne dokumentere at dette faktisk er sket.
  2. Dataportabilitet betyder i forlængelse af retten til at blive glemt, at den registrerede har ret til at bede om data som en organisation har opbevaret for dernæst at kunne give den til en ny organisation.
  3. Privacy /Data Protection Impact Assessment (PIA). De processor  som organisationen har omkring håndtering af persondata skal tage udgangspunkt i en vurdering af den konsekvens et spild af data vil medføre for den registrerede.
  4. Privacy by design/by default. Sikkerhed skal være udgangspunktet for den måde en sikkerhedsløsning eller proces designes og udføres på. By default betyder at dette altid skal være aktivt.
  5. Skærpede dokumentationskrav. Der stilles krav om egenkontrol i stil med det vi kender fra fødevaresektoren. Organisationer skal kunne dokumentere hvilke processor man har og tillige dokumentere at de overholdes. I tilfælde af kontrol fra datatilsynet skal disse foreligger og være opdaterede.
  6. Krav om Databeskyttelseansvarlig (Dataprotection officer DPO). Organisationens DPO er ansvarlig for at forordningens krav håndteres i organisationen og er samtidig kontaktperson for datatilsynet. Det er endnu uvist om skoler er forpligtede til at udnævne en DPO.
  7. Information om behandling af datasubjektet handler om transparens for den registrede borger. Organisationen har pligt til at informere den registrerede om hvad dennes data bruges til.
  8. Samtykke. Det som en organisation gør med den registreredes data skal være i overensstemmelse med den præcise opgave som organisationen varetager for den registrerede eller den registrerede skal på forhånd have afgivet et eksplicit samtykke til at organisationen må gøre det med den registreredes data som den gør.
  9. Indberetningskrav til Datatilsynes og underretning af datasubjekt. En organisation er i tilfælde af spild eller eksponering af persondata forpligtet til inden for 72 timer at underrette Datatilsynet samt den registrerede bruger hvis data er blevet genstand for et brud på organisationens datasikkerhed. Derudover skal den registrerede kunne bede organisation om oplysninger om registrerede data samt hvad disse er brugt til.
  10. Sanktioner. Med den nye forordning følger en ramme for bødestørrelser på enten 4% af en organisationens omsætning eller 20 mill. € alt efter hvad der er størst. Dertil kommer at en organisation kan frakendes retten til at hånd persondata.

Kilde: Janus Friis Bindslev – Deloitte.dk

Hvilke data handler det om?

Eksempler på personfølsomme data…

Alle oplysninger om en identificeret eller identificerbar fysisk person skal opbevares fortroligt.

Helbredsmæssige oplysninger, PPR-oplysninger og lignende skal opbevares fortroligt og i overensstemmelse med forordningens sikkerhedsbestemmelser

Årsager til fravær figurerer under personfølsomme oplysninger og skal opbevares i overensstemmelse med forordningens bestemmelser

Oplysninger om værge og forældre er personfølsomme oplysninger og skal opbevares i overensstemmelse med persondataforordningens bestemmelser

Oplysninger og vurderinger af en elevs karakter og person er personfølsomme oplysninger og skal opbevares i overensstemmelse med persondataforordningens bestemmelser

Oplysninger omkring ansættelser, MUS-samtaler, lønforhold og lignende er personfølsomme oplysninger og skal opbevares i overensstemmelse med persondataforordningens bestemmelser.

Brug af elevrelateret materiale på digitale medier kræver, at der foreligger et samtykke med den enkelte elev. Er eleven under 16 år skal samtykkeerklæring underskrives af forældre eller værge.

Hvor håndteres de følsomme data?

Eksempler på steder persondata håndteres og opbevares…

Udprint, udfyldte formularer, Sticky notes under skrivebordsunderlaget, arkivmapper, pengekasser og -skabe og lignende er alle eksempler på steder, hvor personfølsomme data, login oplysninger,  mere eller mindre bevidst, opbevares.

Et skolekontor er ofte et sted hvor mange passerer forbi. Det er derfor muligt, at uvedkommende kan observere eller fjerne data af personfølsom karakter fra en skoles kontor.

Kontorets server er et af de steder, hvor flest persondata opbevares. Derfor er det vigtigt, at denne server er sikret i overensstemmelse med persondataforordningen.

Mange skoler har endnu en lokal server på skolen. I sjældne tilfælde er data på denne krypteret. I praksis betyder det, at enhver person med adgang til denne server let ville kunne tilgå data på denne harddiske selv uden et brugerlogin.

Vi anbefaler SkoleIT Hosted Kontor som base for skolens administration i overensstemmelse med persondataloven

Læs om SkoleIT Hosted Kontor

Skolens administrative løsning til håndtering af personale- og elevregistring indholder som udgangspunkt mange personfølsomme data. Det er særdeles vigtigt at denne ikke er tilgængelig for uvedkommende.

I er som skole ansvarlige for, at indhente databehandler aftaler med parter som håndterer data i relation til det administrative system. Det kan være producenten, hostingselskaber og lignende.

EDB-Brugs, Tabulex, Dansk SkoleData og UV-Efterskoler er eksempler på administrative platforme som benyttes på mange skoler.

Vi anbefaler SkoleIT Hosted Kontor som base for skolens administration i overensstemmelse med persondataloven

Læs om SkoleIT Hosted Kontor

Google Apps, Office 365 og lignende cloudløsninger lever på nuværende tidspunkt ikke op til kravende i den aktuelle persondatalov eller den kommende EU-persondataforordning. Det er således ikke lovligt at benytte disse til persondata eller personhenførbare data.

I praksis betyder det, at følgende ikke må forefindes her

  • Elevudtalelser
  • Oplysninger om forældre og værge
  • Helbredsmæssige oplysninger
  • Fravær og årsag hertil
  • Elevlister med CPR-numre

Herfor skal benyttes intranetløsninger som lever op til EU-persondataforordningen. Der skal foreligge en fyldestgørende databehandler aftale mellem den ansvarlige udbyder, evt. hostingselskab og skolen

SkoleIT har udviklet vores eget Cloudroom som tilføjer intranetfunktioner til Google Apps og Office 365

Kontakt SkoleIT for mere information om Cloudroom.

Ansattes computere og mobile digitale enheder giver ofte adgang til mange data af personfølsom karakter. Det er derfor helt centralt, at ansatte beskytter deres enheder med en kompleks kode. Hvis en mobil enhed forsvinder skal det være muligt, at slette alle data på enheden, så et databrist undgås

  • Der må ikke findes personfølsomme data direkte på pc, tablet eller smartphone
  • Adgang til tjenester som giver adgang til personfølsomme skal være begrænset af et personligt login
  • Personlige computeres harddiske bør krypteres
  • Når en enhed forlades skal den være låst

Der skal benyttes Sikker email til al kommunikation af personfølsom karakter. Sikker mail benytte certikat til verificering af afsender og modtager og giver tillige mulighed for kryptering af indhold i mail.

Kontakt SkoleIT for information omkring sikker mail

Skolens hjemmeside skal være forsynes med et godkendt SSL certifikat såfremt der gives mulighed for udfyldelse af formular med personfølsomme oplysninger

Der er tillige krav til opbevaring af oplysninger i fht. hosting af hjemmesiden.

Kontakt SkoleIT for oplysninger omkring sikker hosting

Print med personfølsomme oplysninger bør aldrig efterlades i printeren. Vi anbefaler, at kontoret har sin egen printer

Efterlad tillige aldrig USB-nøgler med følsom data

Kilde: //sosu.dk/for-medlemmer/udvalg/o-a-udvalget/243-den-nye-eu-persondataforordning

Hvordan flyder data i vores organisation?

Hver gang en elev tilmelder sig skolen, en sygemelding kommer ind, der deles billeder fra musicalforestillingen, noteres standpunktskarakter eller ansættes personale står I med eksempler på data som I er pligtige til at håndtere fortroligt eller indhente samtykkeerklæring i forhold til.

Det er nødvendigt at analysere hvilke typer af data der håndteres

  • Hvorfra og hvordan oplysninger indsamles
  • Videregives oplysningerne og hvordan?
  • Hvorfor håndteres oplysningerne?
  • Hvordan oplysningerne bevares og sikres mod spild
  • Hvornår og hvordan oplysninger slettes når de ikke længere er relevante
  • Hvordan indhentes og opbevares samtykkeerklæringer

Det er nødvendigt at skolen dokumenterer praksis herfor og at dokumentationen vedligeholdes.

Samtykke

Der er forskellige situationer hvor et samtykke er nødvendigt. Det kan foreksempel være i forhold brug af billede som fremstiller elever på skolens hjemmeside. Endvidere kan I være forpligtede til at indhente samtykke, hvis der foregår en form for overvågning af elevernes færden.

Skal vi have en databeskyttelsesansvarlig(DPO) hos os?

Offentlige myndigheder og virksomheder med mere end 250 ansatte skal udvælge en Data Protection Officer (DPO). DPO’en har ansvaret for at infomere og rådgive omkring forpligtelser samt følgende at sikre at disse følges til dørs.