Persondataforordningen

Transkript

1 Persondataforordningen Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse Styrelsen for It og Læring & Chefkonsulent Astrid Gintberg Levin Gymnasiefællesskabet

2 Disposition Generelle del ved Karsten Vest Nielsen Kort om forordningen Implementering - Processen i Justitsministeriet og UVM i forhold til institutionerne Fire nedslag i forordningen set i et institutionsperspektiv Compliance, Forberedelse, Databeskyttelsesrådgiver, Databehandleraftaler Praksisnære del ved Astrid Gintberg Levin Spørgsmål APVU Landsmøde

3 Databeskyttelsesforordningen Persondataforordningen Formål Styrke individernes (fysiske personers) ret til databeskyttelse Understøtte det frie flow af data [Reducere administrative byrder] Fysisk person omfatter også enkeltmandsvirksomheder, da der ikke 50 siders forordning og 30 siders præambel! kan skelnes mellem ejeren som individ og oplysninger om virksomheden. APVU Landsmøde

4 Databeskyttelsesforordningen Persondataforordningen Forordningen (DBF) En række principper for god behandlingsskik, som skal efterleves. Krav om et hjemmelsgrundlag til behandling af persondata. Fastlægger rettigheder for den registrerede, som vedkommende skal kunne udøve. Et sæt af forpligtelser, som den dataansvarlige og databehandlere skal efterleve. Datatilsynet har ret til at føre tilsyn, komme med påbud, advarsler og bøder. Elever, ansatte, forældre.. APVU Landsmøde

5 Implementering af DBF EU-forordning = lov i Danmark fra d. 25. maj 2018 Erstatter Persondataloven og sikkerhedsbekendtgørelsen På visse områder mindre Grønspættebog end nuværende lovgivning. Absolutte krav i sikkerhedsbekendtgørelsen erstattes af en risikobaseret tilgang. Dansk Databeskyttelseslov (fremsat 25. okt. 2017) Anden lovgivning tjek og rette ind eller rette til UVM har 43 love med tilhørende bekendtgørelser m.v siders fortolkning Behov for tilpasning af procedurer hos myndigheder mv. Stor behov for vejledning og informationer Vi asfalterer mens vi kører mod maj 2018 APVU Landsmøde

6 Udvalgte begreber Personoplysninger alle oplysninger, der kan henføres til bestemte personer, også selv om dette forudsætter kendskab til et personnummer, Unilogin, registreringsnummer eller lign. Portrætbilleder og fingeraftryk er også personoplysninger. Selv om oplysninger som et navn og adresse er erstattet af en kode, er det stadig en personoplysning, hvis koden kan føres tilbage til oplysninger om personen. Behandling alle former for behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk behandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. APVU Landsmøde

7 Udvalgte begreber Databehandleraftale En skriftlig aftale mellem den dataansvarlige og databehandler, hvor det fremgår at databehandleren (leverandøren) kun handler efter instruks fra den dataansvarlige (institutionen) APVU Landsmøde

8 Hvilke personoplysninger må vi behandle? Reglerne for behandling af personoplysninger, er i et vist omfang skønsmæssige, men skal overholde 6 principper: 1. Lovlighed, rimelighed og gennemsigtighed 2. Formålsbegrænsning, dvs. udtrykkeligt angivne og legitime formål (saglighed ift. opgaven) 3. Dataminimering tilstrækkelig, relevant og begrænset til formålet 4. Rigtighed så oplysningerne er korrekte og ajourførte - og ellers slet eller ret 5. Opbevaringsbegrænsning så de registrerede ikke kan identificeres længere tid end nødvendigt. 6. Integritet og fortrolighed så data beskyttes om uautoriseret adgang, ulovlig behandling, utilsigtet sletning etc. APVU Landsmøde

9 Nye og allerede kendte databeskyttelseselementer Rigtig meget fra Persondataloven går igen i DBF, men nyt er: 1. Ansvarlighed/Accountability man skal kunne dokumentere, at man overholder de 6 principper, og føre en fortegnelse over persondatabehandlinger. 2. Databeskyttelsesrådgiver (DPO). 3. Risikobaseret pligt til at udarbejde konsekvensanalyser Dataprotection Impact Assessments (DPIA) / Privacy Impact Assessments (PIA) 4. Risikobaseret krav om indbygget databeskyttelse ved udvikling af nye løsninger Privacy by Design og by Default 5. Notifikationspligt til tilsynet og i visse tilfælde de registrerede 6. Strengere sanktioner (bøder) APVU Landsmøde

10 Fire nedslag set fra et institutionsperspektiv 1. Fortegnelse over behandlingsaktiviteter 2. Forberedelse af forordningens krav En god start: lever vi op til den gældende persondatalov? Så er I rigtig godt på vej 3. Databehandleraftaler 4. Databeskyttelsesrådgiver (DPO) Men husk også den registreredes rettigheder APVU Landsmøde

11 Fortegnelse over behandlingsaktiviteter Erstatter anmeldelsespligten til Datatilsynet Er en intern pligt for dataansvarlige og databehandlere Ingen formskrav til fortegnelse, skal dog være skriftlig og elektronisk Skal på forlangende udleveres til Datatilsynet Skal kunne håndtere fx indsigtsbegæringer Der skal ikke udarbejdes større analyser af datastrømme. Skabeloner og vejledning- se Læs mere listen APVU Landsmøde

12 Fortegnelse over behandlingsaktiviteter Navn på og kontaktoplysninger for den dataansvarlige, databehandler og databeskyttelsesrådgiveren, hvis I er forpligtet til at udpege en sådan. Formålene med behandlingen En beskrivelse af kategorier af registrerede og kategorier af personoplysninger De kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer Evt. overførsel af personoplysninger til et tredjeland eller en international organisation samt dokumentation for passende garantier De forventede tidsfrister for sletning af de forskellige kategorier af oplysninger En generel beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger APVU Landsmøde

13 Forberedelse Datatilsynets 12 spørgsmål Hvilke personoplysninger behandler I? I skal fremadrettet føre en fortegnelse Hvilke informationer giver I de registrerede? Hvordan opfylder I de registreredes rettigheder? Hvordan indhenter I samtykke? Hvem er ansvarlig for databeskyttelse hos jer? I rollen som dataansvarlig: Er jeres behandlinger forbundet med særlige risici? Har I databehandleraftaler med eksterne leverandører? Er sikkerhed indbygget i de produkter I anvender? Træffer i de nødvendige forholdsregler internt på institutionen? APVU Landsmøde

14 Databehandleraftaler Et krav i den nuværende persondatalov. Datatilsynet har ført en række tilsyn i Databehandlere må kun handle efter instruks fra den dataansvarlige bortset fra tilfælde, der er fastsat i lovgivningen Gælder for databehandleren samt enhver, der udfører arbejde for denne Databehandleren må ikke anvende oplysningerne til egne andre formål end til brug for løsning af netop den opgave der er pålagt af den dataansvarlige. Databehandleren må ikke videregive oplysningerne til andre. Hjælp: Datatilsynet kommer med et paradigme. Leverandører har aftalekoncepter APVU Landsmøde

15 Databeskyttelsesrådgiver (DPO) Opgaver Underretning og rådgivning af den dataansvarlige eller databehandleren og de ansatte, der behandler personoplysninger, om deres pligter iht. DBF og dansk lovgivning om databeskyttelse. Overvågning af overholdelsen af reglerne i forordningen og dansk national ret om databeskyttelse og politikker om beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagne og uddannelse af personale. Rådgivning med hensyn til konsekvensanalyse om databeskyttelse og overvågning af opfyldelsen. Samarbejde med Datatilsynet, herunder som kontaktpunkt ved spørgsmål om behandling af personoplysninger. DPO opgaver, rettigheder, pligter, kvalifikationskrav m.v. er nærmere beskrevet i et notat fra UVM og i en særlig vejledning fra Justitsministeriet. APVU Landsmøde

16 Skal institutionerne have en DPO? Alle offentlige myndigheder skal have en DPO. - som dataansvarlig og/eller databehandler Visse private virksomheder skal have en DPO. Hvis behandling af persondata er en kerneaktivitet og har et stort omfang. De uddannelsesinstitutioner, der i dansk ret henregnes til den offentlige forvaltning, jf. forvaltningslovens 1, stk. 1-2, skal udpege en DPO. For selvejende institutioner oprettet på privatretligt grundlag vil der således være nogle uddannelsesinstitutioner, der skal udpege en DPO. En DPO kan være fælles for flere institutioner eller løses af eksterne på kontrakt. STIL udpeger en DPO, som dækker departement, STUK og STIL APVU Landsmøde

17 UVMs aktiviteter ift. institutionerne To referencegrupper med deltagelse af skoleforeningerne og UVM bliver organisatorisk ramme ift. at afklare behov og tilrettelægge vejledningsindsatsen. UVM er i gang med at vurdere behovet for ændringer i bekendtgørelser, instrukser og vejledninger. Revurdere hvem der er dataansvarlig hhv. databehandler i de systemer, som UVM stiller til rådighed / kræver at sektoren anvender, Deltage i informationsmøder arrangeret af sektoren med indlæg om databeskyttelsesforordningen og dataetik APVU Landsmøde

18 UVM og databeskyttelsesforordningen Roller og opgaver UVMs departement (Juridisk Kontor) har ansvaret for lovsporet. STUK har ansvaret for implementering af ændringer i de administrative regelsæt (bekendtgørelser og vejledninger m.fl.) STIL har som dataansvarlig for koncernens it-systemer ansvaret for kortlægning, analyse, praktiske tiltag til sikring af forordningens krav. Kontor for It-sikkerhed og Databeskyttelse oprettet august 2016 STUK og STIL varetager i fællesskab de udadrettede aktiviteter i forhold til institutionerne. APVU Landsmøde

19 Læs mere Datatilsynet og Justitsministeriet og Materiale udarbejdet til referencegrupperne Se skoleforeningernes hjemmesider APVU Landsmøde

20 Hvad har man som skole behov for af datasikkerhed? Overblik over personoplysninger og deres livscyklus på skolen Sikkerheden skal være til stede 360 (teknisk, fysisk, organisatorisk) Påstand: en skole har brug for et regelsæt, der beskriver: Formålet med skolens behandling af personoplysninger om elever og medarbejdere Hvilke it-systemer, der må anvendes til personoplysninger Hvor længe behandlingen af personoplysninger må ske Hvem der foretager sletning af personoplysninger Opdelt i fx arbejdsgange, processer og funktioner Kvittering for læsning Kobles til redskaber Oplæring Opfølgning (årshjul + ansvarlig) APVU Landsmøde

21 Hvem administrerer behandlingen af persondata på jeres skole? Bogkælder/bibliotek (administration af elevers adgange til personoplysninger i digitale systemer, udveksling af oplysninger via UNI-login, åbning og lukning af adgange) Kommunikation (fx i forhold til samtykke fra elever og medarbejdere til at lægge foto på hjemmesiden, video på YouTube, fotos i trykte publikationer mv.) Personalesekretær (personoplysninger om medarbejdere som led i rekruttering, ansættelse, fravær, fratrædelse) Elevsekretær (personoplysninger om elever som led i optag, undervisning, fravær, særlige behov, SU, dimission) Studievejleder (særligt i forhold til håndtering af følsomme personoplysninger om elever og trivsel, fx forhold i hjemmet, diagnoser, mv) Lærer (den løbende kontakt til eleven, deling af oplysninger med andre i lærerteamet) Uddannelsesleder (personoplysninger om elever som led i optag, undervisning, fravær, særlige behov, SU, dimission) Pedel (fysisk adgang til bygningen, (a-)nøgler, overvågningskameraer, makulering af papirer) It-medarbejder (administration af brugeradgange, funktioner i it-systemer, backup af data, logning, sikkerhedsopdateringer, outsourcing til it-leverandør, udlevering og returnering af digitale arbejdsredskaber, sletning af data på digitale enheder) Øverste ledelse (beslutning om at prioritere indsatsen, afsætte ressourcer, valg af løsninger ) APVU Landsmøde

22 Hvilke systemer bruges til skolens personoplysninger? SLS Navision Hoster af hjemmeside Digitale redskaber til rekruttering Server Web-adgang Sky Mail Printer/fysisk print Stationær eller bærbar pc Digitale redskaber til trivselsanalyser Gymnasiejob Dansk skolefoto Microsoft 365 Trykkeri Administrativt fællesskab Lectio/ Ludus Google Via Uni Login fx: MeBook Min Læring EduCatching Gyldendals Ordbøger APVU Landsmøde

23 APVU Landsmøde

24 Situation: elevforløb set over 3 år Handling System/ database Dokument slet Ministeriet/ Fordelingsudvalg Elev Fordeling af ansøgere Sikker mail* Eleven har ret til at få orientering om, at hans personoplysninger behandles Formål Særligt ifht. følsomme oplysninger Hvilken hjemmel Hvem der evt. sker videregivelse til Hvornår sletning sker * * Samtykke YouTube 1 Lagring af samtykke [*] Gymnasium Anden Sletning it-leverandør Optagelse? Nej Slet * Ja: Velkomstbrev evt. via E- Boks Lectio Mail E-Boks ESDH Oprettelse ESDH* Automatisk kassation Lectio* Manuelt * SQL AD Bib.system Google, Office365 UNI-login Databehandleraftale med leverandør af system, fx MeBook + åbner for adgang via Uni-Login Manuelt Studievejledning 2 Foto på hjemmesiden SPS slet Hvis samtykke tilbagekaldes Elev forlader skolen slet 24

25 Sletning - elevdata Identifikationsoplysninger, oplysninger om studieretning og indskrivningsperioder kan opbevares tidsubegrænset, men skal dog slettes ved meddelelse om den studerendes død. Dette har fx betydning ifht. at kunne indkalde til jubilæer mv. Øvrige oplysninger, der er nødvendige for at udstede et prøve- eller eksamensbevis, opbevares i 30 år, jf. 38, stk. 1, i den almene eksamensbekendtgørelse. Bemærk, at indberetning til UVM s centrale systemer ikke fritager for opbevaringspligten. Oplysninger, der er nødvendige for at udstede attestationer for gennemført undervisning, opbevares i 10 år, jf. UVM s tolkning Oplysninger om elever af betydning for årsrapporten slettes efter 5 år. Oplysninger om SPS-midler slettes efter 5 år Oplysninger om SU slettes (vist nok) efter 5 år Alle andre elevoplysninger kan (i princippet) slettes når eleven forlader skolen (dog i praksis ved udgangen af kalenderåret) Evt. logningsdata (herved forstås logning af elevers internettrafik på skolens netværk) slettes efter senest 6 måneder Når retten til at slette oplysninger i henhold til stx-lovgivningen aktualiseres, skal sletning kunne ske effektivt, jf. persondatalovgivningen. APVU Landsmøde

26 Situation: Ansættelsesforhold Handling System/ database Dokument (evt. digitalt) slet Fagforening Medarbejder [*] Gymnasium Anden it-leverandør Forhandling af vilkår Sikker mail* Ansættelse? Nej Medarbejderen har ret til at få orientering om, at hans personoplysninger behandles Formål Hvilken hjemmel Hvem der evt. sker videregivelse til Hvornår sletning sker Ja: Ansættelsesbrev via E-Boks Oprettelse ESDH* P-sag Manuelt * Lecti o* Datakilde Manuelt Orientering om indhold i og pligter ifbm. opgavevaretagelse, Vilkår for brug af udstyr, mv. Kvittering for læsning Brugeradgange til systemer - AD (Outlook) - ESDH - LMS Manuelt * Opgavevaretagelse udlevering af itredskaber Databehandleraftale med leverandør af system Samtykke (slide nr. 25 om betingelser for gyldigt samtykke) * Foto på hjemmesiden Hvis samtykke tilbagekaldes Automatisk Lagring af samtykke Opsigelse/fratræden * Aflevering af itredskaber, nøgler, mv Manuelt * Sletning Slet * Mail E-Boks ESDH Rekrutteringssystem APVU Landsmøde 2017 * slet slet 26

27 Sletning - Medarbejderdata Personoplysninger om ansøgere, der ikke kom i betragtning til jobbet, skal slettes senest efter 6 måneder. U: hvis samtykke til længere opbevaring. Personoplysninger om medarbejdere kan opbevares indtil denne er fratrådt. Dvs. at der kan være situationer, hvor medarbejderens anmodning om sletning af visse oplysninger inden fratræden skal efterkommes Skolens afslag på at slette en personoplysninger: forvaltningsretlig afgørelse (høring, begrundelse, klagevejledning) Når en medarbejder er fratrådt, kan personoplysninger som tommelfingerregel opbevares i yderligere en periode, hvis skolen konkret har behov for det: HO: personoplysninger slettes 5 år efter fratræden (personalesagen) U1: personalesager for ansatte, der er født den 1. i måneden og medarbejdere i chefstillinger slettes ikke, jf. bilag 1 i bekendtgørelse om bevaring og kassation af arkivalier hos universiteter, erhvervsakademier, professionshøjskoler, ungdomsuddannelser m.fl. U2: hvis verserende sag om arbejdsskade, retssag eller arbejdsretlige tvister mellem medarbejderen og arbejdsgiver. I tilfælde af U1 eller U2: oplysningerne overføres til et arkiv i ESDH efter 5 år, hvortil kun meget få medarbejdere har adgang herfra kan de så hentes frem, hvis det bliver nødvendigt. APVU Landsmøde

28 Om Tavshedspligt Som medarbejder på [*] Gymnasium skal man omgås personoplysninger med omtanke. Al information, der omhandler navngivne eller identificerbare fysiske personer (medarbejdere, kollegaer, elever, ansøgere, pårørende, bestyrelsesmedlemmer eller andre) er fortrolig og må ikke deles med nogen uden for [*] Gymnasium og heller ikke med kollegaer på [*] Gymnasium, der har andre arbejdsfunktioner end én selv. Dvs. at: - Man må gerne fortælle om sit arbejde - Men man må ikke dele fortrolige oplysninger om personer med uvedkommende - Hvis man kommer til dét, skal man forsøge at begrænse skaden APVU Landsmøde

29 Om brug af CPR-numre CPR-numre må bruges til entydig identifikation eller som journalnummer, jf. persondataloven Omsat til hverdagssprog betyder det, at man må behandle CPR-numre som led i kerneopgaven Når man behandler CPR-numre som led i sine arbejdsopgaver, skal man være opmærksom på, at CPR-numre er fortrolige personoplysninger og derfor skal de: Kun kunne ses og behandles af de medarbejdere, hvis arbejdsopgaver berettiger til det Opbevares i sikre it-systemer og ikke andre steder Sendes via Sikker Mail (eller E-Boks), hvis de indgår i en mailkorrespondance Makuleres, hvis de indgår i et fysisk dokument og dokument er udtjent APVU Landsmøde

30 Brugeradgange og rettigheder i administrative it-systemer Beskyttelse af fortrolighed og integritet kontrol med adgange Medarbejderne må kun behandle (dvs. bl.a. gemme) personoplysninger i de administrative itsystemer, som [*] Gymnasium har godkendt til formålet Den enkelte medarbejder gives adgang og rettigheder til it-systemerne ud fra en konkret vurdering af medarbejderens arbejdsopgaver. Personlige adgangskoder til systemer med personoplysninger må ikke deles Overflødiggjorte autorisationer lukkes. Har man som medarbejder systemadgangen eller -rettigheder, som (ikke længere) er nødvendige for at man kan udføre sine opgaver, skal man kontakte sin leder og få tilpasset sine rettigheder. Det bør kontrolleres løbende, at systemadgangene svarer til behovet APVU Landsmøde

31 Behandling af personoplysninger i godkendte it-systemer Eksempel: Følgende administrative it-systemer på [*] Gymnasium er godkendt til opbevaring af persondata (af følsom eller fortrolig karakter): ESDH Statens lønsystem og LDV Navision stat [ ] Der må ikke gemmes personoplysninger i andre systemer eller på andre medier (undtagen ganske kortvarigt) Når personoplysninger modtages eller afsendes via Outlook skal personoplysningerne overføres til et af de godkendte it-system hurtigst muligt dog senest 1 måned efter sagsbehandlingen er afsluttet. Man bør derfor gennemgå sin Outlook (indbakke inkl. undermapper, sendt og slettet post) jævnligt, fx 1 x månedligt TIP: Lav en instruks om hvordan man sletter personoplysninger i usikre systemer, fx Outlook, stifinder, mv., så denne viden er lettilgængelig for medarbejderne APVU Landsmøde

32 Sikker Mail Sikker Mail kan sendes på flere måder Sikker Mail skal bruges, når CPR-numre (og andre fortrolige eller følsomme personoplysninger ) sendes via uanset om CPR-oplysningerne fremgår af selve mailteksten, overskriften, vedhæftninger eller links. Man kan slippe for at bruge Sikker Mail, hvis man sletter eller overstreger alle CPR-numre mv. Det kan fx være en praktisk model, hvis modtageren ikke har en sikker mail-løsning. Husk at når den sikre mail er afsendt, skal den ikke blive liggende i sendt post i Outlook/E-Boks, men overføres til ESDH APVU Landsmøde

33 Pas på persondata Sletning af datamedier forud for privat køb af udtjente arbejdsredskaber Giv besked til IT-afdelingen straks i tilfælde af tyveri af digitale arbejdsredskaber Brug af VPN ved arbejde udenfor skolens kablede net (hjemmearbejdsplads) Papirdokumenter der forlader skolens lokaler tages med retur til makulering Udlån ikke dine digitale arbejdsredskaber eller koder til andre Ved mistanke om læk af data: hav beredskab til at afklare, om der er sket et læk og dernæst til at håndtere lækket APVU Landsmøde

34 God medarbejderadfærd - til forebyggelse af hackerangreb på skolens it-udstyr og it-systemer: Medarbejderne skal vide, at de skal holde deres digitale arbejdsredskaber (PC, bærbar computer, smartphone, tablet, mv.) ajour med de seneste versioner af software og antivirus, da det giver den bedste sikkerhed. Forebyg angreb med ransomeware ved at være skeptisk overfor s, som er mistænkelige i sprog, layout eller den sammenhæng, man modtager dem i. Det gælder også, selvom mailen umiddelbart kommer fra en kendt afsender. Vær især forsigtig med at åbne links eller vedhæftninger, hvis mailen er mistænkelig. Tag ikke nødvendigvis en mail med betalingsinstruks fra din chef for gode varer den kan være falsk! APVU Landsmøde

35 Ressourcer Påstand: der er behov for et dokumenthåndteringssystem Der skal anvendes it-systemer, som - Samler personoplysninger om ét sted. Personoplysninger tilhører ikke den enkelte medarbejder men gymnasiet. Derfor skal alle oplysninger ind i systemet - har en fast struktur dvs. hvor mapper ikke kan flyttes eller slettes (fx ved en fejl eller et uheldigt træk med musen som man måske ikke selv opdager). - muliggør at sager oprettes ensartet og dermed også kan findes frem via en søgning på metadata (emner, stikord, sagstyper, dato,) - Kan tildele og styre brugerroller og rettigheder - Er omfattet af login - muliggør digital forvaltning, fx aktindsigt via , udgående breve skal være sendt og gemt i uredigérbar version, - sikrer at udvalgte oplysninger, dokumenter og sager kan findes og slettes effektivt (når der ikke længere er et sagligt behandlingsgrundlag) - foretager systemlogning af alle behandlinger af personoplysninger (oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Lovgivningskrav. Med henblik på kontrol af, at kun autoriserede personer søger på og behandler persondata APVU Landsmøde

36 Ressourcer Sikker mail-funktion System eller praksis til indsamling af samtykker Automatiserede slettefunktioner APVU Landsmøde

37 Ressourcer Medarbejderne skal oplæres og støttes i at bruge systemerne indenfor de rammer, som ledelsen opstiller Ledelsen skal følge op på, om det sker mindst hvert halve år påse at adgangsrettighederne svarer til jobopgaverne Tage stikprøver af loggen Sørge for at holde retningslinjerne ajour Årshjul. APVU Landsmøde

38 Datasikkerhed i hverdagssituationer særlige risikoområder Håndtering af sygefraværsoplysninger (diagnoser, samtykke, opbevaringens længde, sletning) Brug af mailsystemer (outlook som arkiv ) Behov for sikker mail til fortrolige og følsomme personoplysninger Samtykkeerklæringer vedr. behandling af personoplysninger (fotos af elever på hjemmesiden, kødkatalog, følsomme oplysninger ibm. Studievejledning og SPS) Læreres noter om og bedømmelser af elever klassens side Forebyggelse af snyd ved eksamen (varsling af kontrol af pc ere) Fratrædelse ( s, arbejdsredskaber, systemadgange, sletning) Sletning af elevoplysninger APVU Landsmøde

39 Bud på leveregler for god databehandlingsskik 1. Brug adgangskode (eller fingeraftryk som adgangskode) på din computer, smartphone mv. og opdater med en ny, unik kode hver gang systemet beder om det (hvilket på computeren er hver 6. måned) eller oftere 2. Aktivér din pauseskærm, når du forlader dit skrivebord 3. Læg papirdokumenter med personoplysninger i aflåst skab, skuffe eller kontor, når du forlader dit skrivebord i længere tid og altid før du forlader arbejdspladsen 4. Papirdokumenter med personoplysninger skal altid bortskaffes ved makulering 5. Print der indeholder personoplysninger hentes i printeren straks. Overvej hvad du printer. 6. s med personoplysninger sendes via E-Boks eller Sikker Mail 7. Alle filer og dokumenter med personoplysninger oprettes, behandles og gemmes i ESDH. 8. Hvis personoplysningerne er modtaget eller sendt via en mail, slettes mailen i Outlook senest 1 måned efter sagsbehandlingen er afsluttet. Hvis personoplysningerne stadig er relevante, når den nævnte måned er forløbet, gemmes mailen fremadrettet i ESDH og kun dér 9. Undlad at gemme personoplysninger på USB-nøgle, på skrivebordet på din bærbare computer eller lignende usikre steder. Brug VPN, hvis du arbejder på din computer ude af huset 10. Udvis fortrolighed om de personoplysninger, du bliver bekendt med som led i dine arbejdsopgaver videregiv ikke personoplysninger uden at være sikker på, at videregivelse må ske 11. Åben ikke mails der ser mistænkelige ud eller som kommer fra afsendere, du ikke kender 12. Bidrag til løbende at slette oplysninger og sager, der ikke længere er relevante. En sag vil sjældent være relevant, hvis der er forløbet mere end 3 år fra dens afslutning. 13. Kontakt nærmeste leder eller IT-administratoren hvis du bliver opmærksom på noget, du mener kan udgøre en risiko for sikkerheden for personoplysninger APVU Landsmøde