EU's forordning om beskyttelse af persondata (GDPR 20176/679) er trådt i kraft 25. maj 2018. Efterskoleforeningen har i samarbejde med de øvrige skoleforeninger på det frie område udarbejdet en række vejledninger og værktøjer til skolernes arbejde med at blive klar til at møde forordningens krav.

For alle dokumenterne gælder det, at vi tager forbehold for ændringer efterhånden som både vi og de udøvende myndigheder på området bliver klogere på de nye regler.

Se spørgsmål og svar på en række konkrete udfordringer længere nede.

Se vejledning og værktøjer her:

KNAP_VEJLEDNING KNAP_samtykke_elev  KNAP_samtykke_medarbejder 
KNAP_slettepligt KNAP_datamappe  KNAP_person_datapolitik
KNAP_Billeder_film KNAP_datastrom KNAP_instruks_ansatte

 

Yderligere vejledning kan findes på Datatilsynets hjemmeside link

Digitaliseringsstyrelsen har udarbejdet en læringspakke om it-sikkerhed for undervisningspersonale, som findes her

DP-SOLUTION tilbyder kurser i implementering af persondataforordningen link

Har du spørgsmål eller forslag til det videre arbejde med persondata, kan du kontakte specialkonsulent Mette Hjort-Madsen i Efterskoleforeningen mhm@efterskolerne.dk

FAQ eller ofte stillede spørgsmål
Efterskoleforeningen får rigtig mange spørgsmål fra skoler om persondataforordningen. Her har vi samlet svarene på de mest gængse.

Skal fysiske mapper med personoplysninger låses inde?
Svar: Ja. Uanset om personoplysninger opbevares fysisk eller elektronisk, skal skolen kunne godtgøre, at uvedkommende ikke har adgang til oplysningerne og herunder må oplysningerne ikke fortabes eller mistes. Konkret bør skolen foretage en konsekvens- og risikovurdering af konsekvenserne for de registrerede (og for skolen) ved tyveri eller tab af oplysningerne. Klasselister med navn og holdfordeling på elever er fx ikke lige så risikofyldte som personalemapper med personlighedstest, PPR-vurderinger, mv.

Man skal have samtykke til billeder. Gælder det også historisk materiale og årgangsbilleder på væggen?
Svar: Nej. Billeder og film, som skolen ejer og som ikke offentliggøres videre, er en del af skolens historie og kræver ikke samtykke at opbevare. Billeder på væggen er ikke digitale og er heller ikke en del af et register, som er kriteriet for at databehandling er omfattet af forordningen. Fremadrettet bør man dog oplyse om det, hvis der filmes til arrangementer på skolen med henblik på offentliggørelse. Vi anbefaler, at skolen opbevarer de samtykker, hvor elever/forældre har sagt NEJ til at skolen må bruge billeder af eleven/forældrene offentligt, således at disse kan sorteres fra, hvis billeder fra årgangen senere bruges offentligt/ i markedsføringsøjemed.

Skal vi have databehandleraftale med Google, Microsoft, Mailchimp, Dropbox, NETS, etc. etc.?
Svar: De afgørende kriterier for hvornår, der skal indgås databehandleraftale er følgende:
1. Om virksomheden behandler data på skolens vegne, og herunder om
2. Virksomheden handler efter instruks fra skolen som dataansvarlig.

Kriterierne medfører, at skolen skal have databehandleraftale med alle udbydere af tjenester, hvor data om skolens elever/forældre/medarbejdere/øvrige samarbejdspartnere behandles. Det gælder i første række udbydere af løsninger, hvor data behandles og/eller opbevares hos den eksterne virksomhed. Mest oplagte eksempler er Komit, Skoleplan, Skole-It, og andre udbydere af hosting-løsninger.
Uni-login er statens log-on-løsning og er skrevet ind i loven. Der skal derfor ikke indgås databehandleraftale med Uni-login. Det skal der derimod med de tjenester, der tilgår elevernes uni-login, som fx Gyldendal og Matematikfessor, mfl.

Nets betalingsservice er godkendt som betalingsinstitut under betalingstjenesteloven og underlagt tilsyn ved Finanstilsynet. Nets skriver på sin hjemmeside, at i det omfang, persondataforordningen medfører ændringer i de nuværende juridiske aftalegrundlag for brug af virksomhedens tjenester, vil dette blive indarbejdet løbende.

Microsoft garanterer overholdelse af forordningens krav ved brug af deres Cloud-løsninger og disse garantier er indarbejdet i virksomhedens standardkontrakter. De øvrige større tjenesteudbydere arbejder tilsyneladende på at blive klar til at forordningen træder i kraft 25. maj ved at flytte deres datacentre til EU, men der er endnu ikke kommet nogen garantier eller myndighedsudtalelser om lovligheden af at bruge disse tjenester til behandling af personoplysninger for skoler.

I skal til gengæld ikke indgå databehandleraftaler med en it-supporter, der alene yder support på skolens programmer og/eller hardware. Det afgørende kriterium her er, at supporteren ikke behandler data på skolens vegne. Til gengæld bør der udformes en fortrolighedserklæring, som sikrer at de pågældende ikke deler oplysninger, som er kommet til vedkommendes kendskab i medfør af arbejdet.

Facebook
Efterskoleforeningen kan ikke anbefale, at skolen anvender Facebook til kommunikation eller udveksling af oplysninger i forbindelse med skoledriften. I praksis overtager Facebook ejerskabet til alle oplysninger fra både private og virksomheder, som lægges på platformen og det bør ikke være et kriterium for optagelse som elev, at man har en facebook-profil. Personoplysninger om, hvor man befinder sig hvornår, eller at man er fraværende fra undervisning pga. sygdom, bør således ikke deles via Facebook eller tilknyttede apps (som fx Messenger).

Skal vi bruge sikker mail, når vi sender CPR-numre?
Svar: CPR-nummer er i persondataforordningens forstand en ’særlig kategori af oplysninger’, dvs. at det er danske regler for behandlingen, der gælder i og med, at cpr-nummer er en dansk opfindelse. Reglerne på området er, at man som dataansvarlig må behandle cpr-nummer, når man er lovgivningsmæssigt forpligtet til det eller har fået samtykke. Det er ikke en følsom oplysning, men må ikke offentliggøres uden samtykke. Man bør derfor bruge en sikker mailforbindelse, når der sendes materiale med cpr-numre og/eller følsomme oplysninger over internettet. Reglerne på området hedder, at offentlige myndigheder SKAL bruge sikker mail, mens private virksomheder anbefales at bruge sikker mail. Under alle omstændigheder er det skolen, der har ansvaret for, at kommunikation foregår under et tilstrækkeligt sikkerhedsniveau. Man kan ikke bruge argumentet, at det i første omgang var den registrerede selv, som fremsendte informationen og/eller, at der er givet indirekte samtykke.

De fleste online-tilmeldingsløsninger er krypterede og sikrer dermed, at information om cpr kan overføres til skolen via en sikker forbindelse.

Efterskoler har mulighed for at blive oprettet som både afsender og modtager af Digital Post (e-boks) efter samme regler som øvrige offentlige myndigheder. Løsningen er billig og forholdsvis effektiv. Efterskoleforeningen arbejder pt. på at klarlægge, hvordan systemet mere hensigtsmæssigt kan integreres med eksisterende administrations- og mailsystemer.

Nets har også en løsning til forsendelse af sikker mail ved hjælp af medarbejdersignatur, men den understøtter kun visse e-mailprogrammer.

Der findes andre løsninger, men disse har i nogle tilfælde den svaghed, at de forudsætter, at både afsender og modtager har installeret det pågældende program.

Hvilken løsning der passer bedst til jeres skole er således en lokal vurdering. Efterskoleforeningen hører gerne fra skoler, der har fundet gode løsninger på udfordringen med sikker e-mail.

CPR-nummer er i persondataforordningens forstand en ’særlig kategori af oplysninger’, dvs. at det er danske regler for behandlingen, der gælder i og med, at cpr-nummer er en dansk opfindelse. Reglerne på området er, at man som dataansvarlig må behandle cpr-nummer, når man er lovgivningsmæssigt forpligtet til det eller har fået samtykke. Det er ikke en følsom oplysning, men må ikke offentliggøres uden samtykke.

Må vi opbevare tidligere elevers kontaktoplysninger med henblik på at indkalde til jubilæer og andre arrangementer på skolen?
Principielt kræver det samtykke at behandle folks oplysninger, når det saglige formål med behandlingen (Skoleopholdet) er ophørt.

Fremadrettet bør skolen derfor som minimum oplyse om, at kontaktoplysningerne opbevares på skolen efter elevens afgang med henblik på at indkalde til jubilæer og andre relevante arrangementer på skolen. Det bør også fremgå, at man til enhver tid kan blive slettet fra listen ved henvendelse til skolens kontor. Næste gang der sendes e-mail eller post til gamle elever med indkaldelse til et arrangement, bør der indsættes en linje om, at man bedes svare tilbage, hvis man ikke længere ønsker at modtage invitationer fra skolen.

Ovenstående anbefaling er baseret på forordningens artikel 6, litra f) om legitime interesser og interesseafvejning som lovligt behandlingsgrundlag. Argumentet er, at skolen forfølger en legitim, ikke-kommerciel interesse, som de registrerede også formodes at have gavn af. Der er desuden tale om helt almindelige oplysninger, som ikke indebærer nogen risiko for de registrerede.

Dataansvar på statens systemer
Styrelsen for It og Læring har d. 24. maj sendt brev til alle skoler med information om fordeling af dataansvaret på de systemer, styrelsen stiller til rådighed for skolerne. Kort fortalt er der tre mulige scenarier; At skolen er dataansvarlig, at dataansvaret er fælles og endelig, at Styrelsen er dataansvarlig. Du kan se fordelingen i brevet til skolerne. STIL har også udarbejdet et notat om baggrund for udmøntning af dataansvaret samt to cirkulærer, der gør det ud for databehandleraftaler. Det betyder, at skolen ikke skal indgå databehandleraftaler med STIL om de pågældende systemer.

Baggrund om udmøntning af dataansvaret
Brev med orientering om dataansvar og konsekvenser for undervisningssektoren
Cirkulæreskrivelse om databehandler
Cirkulæreskrivelse om fælles dataansvar