BESKYTTELSE AF PERSONOPLYSNING

Transkript

1 BESKYTTELSE AF PERSONOPLYSNING For skoleledelser og administrative medarbejdere i Silkeborg Kommune Formålet med lovgivning og regler om persondata er at beskytte alle borgere mod, at deres personlige data misbruges På de følgende sider kan du blandt læse om Hvilke informationer der betragtes som persondata Hvordan forskellige typer af data skal håndteres Hvilke data der må indhentes, og i hvilket omfang de må gemmes Hvem der må have adgang til data Hovedreglerne for behandling og opbevaring af data Håndtering og opbevaring af billeder Eksterne samarbejdspartnere Hvilke IT-systemer der må anvendes til at gemme data nu og fremover Ofte stillede spørgsmål 1 Version 3 november 2018

2 INDHOLD 2 INDLEDNING 3 DATABESKYTTELSESFORORDNINGEN (GDPR) OVERORDNEDE PRINCIPPER FOR BEHANDLING AF DATA 4 PERSONOPLYSNINGER 5 BEHANDLING AF PERSONOPLYSNINGER OG DATA SAMTYKKE MØDER MED PPR OM INDSTILLEDE OG IKKE INDSTILLEDE BØRN 6 CENTRALE ANBEFALINGER OM OPBEVARING OG VIDEREGIVELSE AF PERSONDATA 7 SIKRE OG USIKRE IT-SYSTEMER 8 BRUG AF FOTOS, VIDEO OG FACEBOOK 10 SKOLEFOTO GOD IT- OG DATAETIK OG PROCEDURER FOR MEDARBEJDERE OG LEDELSE 11 DATAANSVARLIGE 12 OFTE STILLEDE SPØRGSMÅL OG SVAR 14 BLANKETTER OG ANSØGNINGSSKEMAER HVIS NOGET GÅR GALT (SIKKERHEDSBRUD) INDLEDNING Skoleafdelingen giver i denne vejledning en oversigt over, hvad de forskellige begreber i databeskyttelsesforordningen betyder, og hvilke ændringer de medfører for skolerne. Der er en række opgaver, der skal løses anderledes, og rutiner vi skal ændre på. Nogle af ændringerne sker centralt, andre ændringer i procedurer og rutiner skal ske på den enkelte skole. Vejledningen er primært udarbejdet til skolernes ledelser og administrative medarbejdere. Vejledningen er en udførlig beskrivelse, som gerne skulle give svar på de fleste spørgsmål om databeskyttelse, og hvordan man skal håndtere og omgås persondata. Formålet med lovgivning og regler om persondata er at beskytte alle borgere mod, at deres personoplysninger misbruges. Den enkelte borger ejer sine oplysninger, men medarbejdere og ledere har brug for en lang række data for at kunne udføre deres professionelle virke, således at de kan skabe optimal læring og trivsel for eleverne, og til at samarbejde med forældrene. Så derfor: Brug den sunde fornuft, når der skal indhentes, behandles og gemmes data om elever og forældre. 2

3 DATABESKYTTELSESFORORDNINGEN (GDPR) Den 25. maj 2018 trådte Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger mv. (databeskyttelsesforordningen) i kraft. Databeskyttelsesforordningen erstattede daværende persondatalov, og med databeskyttelsesforordningen er der kommet en række nye krav, som skal sikre borgernes rettigheder bedre for at beskytte alle borgere mod at deres data misbruges. Databeskyttelsesforordningen gælder for behandling af oplysninger om personer, dvs. fysiske personer, som foretages af offentlige myndigheder og af private virksomheder, foreninger mv. Den 25. maj 2018 trådte også lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven) i kraft i Danmark. Databeskyttelsesloven gennemfører og supplerer databeskyttelsesforordningen med særlige danske regler om databeskyttelse. UD Persondatalov Persondataforordning GDPR- EU Maj 2018 Data beskyttelseslov (DK) Maj 2018 GÆLDENDE OVERORDNEDE PRINCIPPER FOR BEHANDLING AF DATA Lovlighed Formålet med behandlingen af data skal være lovlig. Er der hjemmel til behandlingen, for eksempel i databeskyttelsesforordningen, en anden lov eller samtykke fra personen selv? Borgerne ejer deres egne oplysninger, og det offentlige må kun have dem liggende og arbejde med dem, hvis der er et lovligt og et rimeligt formål med det, og hvis borgerne er informerede om, at det sker. Formålsbestemt og rimelighed Databehandlingen skal være tilstrækkelig, relevant og korrekt. Databehandlingen skal begrænse sig til, hvad der er nødvendigt i henhold til formålet, og data skal ikke opbevares i længere tid end nødvendigt ( need to know og ikke nice to know ). Hvis forældre har givet tilladelse til databehandling ud fra ét formål, så gælder tilladelsen kun til dette formål. Gennemsigtighed og datakvalitet Den registrerede skal kunne gennemskue, hvad data skal bruges til. Derfor skal de registrerede oplyses om rettigheder, formål med behandlingen af data, det legitime grundlag for behandlingen samt tidspunkt for sletning. 3

4 Opbevaring af persondata Personoplysninger skal slettes eller anonymiseres, når man ikke længere har behov for at behandle dem. Det skal derfor konkret afgøres, i hvor lang tid forskellige typer af personoplysninger skal gemmes og må behandles. Skolen skal sikre, at der er en sletteprocedure, der sikrer dette. Integritet og fortrolighed Data må kun opbevares og behandles i systemer, som giver den nødvendige sikkerhed. Man skal sørge for de nødvendige sikkerhedsforanstaltninger. Det betyder, at man teknisk og ved hjælp at interne procedure på skolen skal sikre, at persondata opbevares korrekt. PERSONOPLYSNINGER Personoplysninger er enhver form for information om en identificeret eller identificerbar fysisk person. Herved forstås oplysninger om en person, som kan identificere denne. Det er også oplysninger, der ikke direkte identificerer dem, men som kan bruges til det eventuelt i kombination med andre oplysninger. Eksempelvis deres cpr-nr., mail, deres gpslokalitet mv. Almindelige personoplysninger En almindelig personoplysning er alle oplysninger, der ikke er klassificeret som særlige kategorier af oplysninger (følsomme personoplysninger). F.eks. navn og adresse, cpr. nr. eller oplysninger om økonomi, væsentlige sociale problemer, andre private forhold, familieforhold, bolig, Når der er tale om børn og unge er der særligt skærpede hensyn. Derfor skal der være en særlig opmærksomhed på, hvem der har adgang til disse oplysninger, og hvordan vi passer på dem. Desuden kan almindelige personoplysninger i visse situationer være følsomme. Det gælder efter omstændighederne oplysningerne, som er nævnt i rammen nedenfor (se afsnittet om Følsomme personoplysninger). Følsomme personoplysninger Nogle personoplysninger er særligt beskyttede. Det gælder personoplysninger om race eller etnisk oprindelse, helbredsoplysninger, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data, eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Bemærk at dette også omfatter helbredsoplysninger i forbindelse med børns trivsel og specialundervisningsbehov. De følsomme personoplysninger må kun behandles, når behandlingen er nødvendig for at overholde lovgivning og forpligtelser (er oftest tilfældet), eller der er indhentet eksplicit og udtrykkeligt samtykke hos personen. Se her afsnittet om PPR. Vær derfor særlig opmærksom, når der optræder følsomme personoplysninger som: Indtægts- og formueforhold Længerevarende arbejdsløshed Uddannelses- og ansættelsesmæssige forhold Familiestridigheder Tvangsfjernelser Separations- og skilsmissebegæringer Ulykkestilfælde og selvmordsforsøg Adoptionsforhold Førtidspension og pension i øvrigt Førtidspension og pension i øvrigt 4

5 BEHANDLING AF PERSONOPLYSNINGER OG DATA Det er først og fremmest elektronisk behandling af oplysninger men det omfatter også en hver form for håndtering af personoplysninger. Databeskyttelsesreglerne finder anvendelse, når man behandler personoplysninger. Det er derfor vigtigt at være opmærksom på, hvornår man udfører en behandling af personoplysninger. En behandling kan efter databeskyttelsesforordningen omfatte enhver håndtering af personoplysninger, herunder indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, sletning mv. Det betyder med andre ord, at der er tale om behandling af personoplysningerne, når vi laver referater fra møder, videregiver oplysninger til andre eller registrerer og indsamler oplysninger. Det er vigtigt at finde ud af, hvilke data det er nødvendigt for skolen at have, og hvor længe det er nødvendigt at have dem til rådighed. Det er også vigtigt, at man i dagligdagen tænker på, hvordan man anvender data, og at alle skolens medarbejdere og ledelser har fokus på, hvordan man i dagligdagen omgås it og datasikkerhed. Der henvises til det brev, der er sendt ud til via ForældreIntra, og som også ligger som bilag 3.05 til Silkeborg Kommunes styrelsesvedtægt.. Læs mere her: Her er der en liste over til hvilke formål, kommunen anvender personoplysninger, og hvilke systemer der modtager elevernes/forældrenes oplysninger. SAMTYKKE I mange tilfælde vil man kunne give samtykke til behandling af personoplysninger, uanset hvilke oplysninger det drejer sig om. En anmodning om samtykke skal være let tilgængelig, forståelig og være i et klart og enkelt sprog. Der behøver ikke være tale om et skriftligt samtykke, men den ansvarlige skal kunne bevise, at der er givet samtykke. Et samtykke kan til enhver tid trækkes tilbage. Herefter må den dataansvarlige ikke længere behandle oplysninger på grundlag af samtykket, men i nogle tilfælde kan der være et andet behandlingsgrundlag, f.eks. myndighedsudøvelse. Inden man giver samtykke, skal man have oplysning om, at samtykket kan trækkes tilbage. Det skal være lige så let at trække samtykket tilbage, som at give det. Skabelon vedr. samtykke til indhentelse af personoplysninger og efterfølgende behandling i Meebook og Klassetrivsel i forbindelse med trivselsspørgsmål findes i GO, Samtykkeerklæringer/Samtykke_trivselsspørgsmål_Meebook_-_Klassetrivsel.docx. Skabelonen skal udfyldes med den enkelte skoles oplysninger og gemmes i skolens egen GO-sag, inden den udsendes til underskrift til forældre. MØDER MED PPR OM INDSTILLEDE OG IKKE INDSTILLEDE BØRN Møder med PPR om indstillede og ikke indstillede børn Når PPR deltager i et møde på en skole, må de ikke deltage i møder vedr. navngivne børn uden at føre optegnelser over PPR s aktivitet. Hvis forældre deltager på møder, er der pr. definition tale om et navngivet barn. PPR s medarbejdere skal med andre ord fremover føre journal over alle K-møder, fokusmøder, netværksmøder, sprogvejledninger og lignende møder, hvor de udfører vejledning omkring enkelte, ikke-anonyme børn. Idet det er lovpligtigt at føre journal, skal PPR på forhånd have samtykke fra forældrene til at deltage i samtlige møder vedr. deres børn, og forældrene skal i den forbindelse være oplyst om, at PPR på baggrund heraf laver skriftlig optegnelse over aktiviteten. Indstillede børn PPR har allerede dette samtykke via forældrenes underskrifter på indstillingsskemaet, derfor er håndteringen af data uændret i forhold til tidligere regler. PPR har i samarbejde med kommunens jurister ændret formulering i indstillingsskemaet (som ligger på PPRs hjemmeside), idet de fremover har pligt til at oplyse forældrene om, hvordan data behandles, og hvilke rettigheder forældrene har. Ikke-indstillede børn Her gælder følgende fremover: Inden mødet (uanset hvad mødet hedder) skal ledelsen på skolen have indhentet samtykke fra forældrene, til: at PPR deltager i mødet, og at PPR som udløber af mødet opretter en Aktivitet uden indstilling i kommunens journaliseringssystem. 5

6 Forældrenes samtykke må gerne være mundtligt, men det skal fremgå af enten dagsorden (f.eks. til fokusmøder), K-møde-skema eller mødereferatet, at samtykket er givet. K-mødeskema samt dagsordensskabelonen for fokusmøder er ændret, idet vi fremover har pligt til at oplyse forældrene om, hvordan vi behandler data, samt hvilke rettigheder de har. Hvis skolen anvender eget K-mødeskema, kan jurateamet være behjælpelig med at udarbejde samtykkeerklæringer, ligesom skolen er velkommen til at kopiere formuleringerne fra PPR s centrale K-mødeskema. Efter mødet (uanset hvad mødet hedder) skal PPR s medarbejdere oprette en Aktivitet uden indstilling i PPR s fagsystem Sensum og heri journalisere dagsorden, mødereferat og evt. K-mødeskema. Indhold af mødereferatet: Referatet fra mødet skal indeholde et særskilt punkt med overskriften: PPR s vejledning. Herunder skal referenten skrive, hvilke anbefalinger PPR s medarbejdere har givet på mødet. Dagsordner, referater og samtykke udfærdiges af mødeindkalder og laves altså af ledelsen på skolen og sendes via Outlook til PPR s medarbejdere. Når referatet sendes, må der kun sendes ét referat pr. mail, og titelfeltet skal udfyldes med en sigende tekst, der henviser direkte til indholdet. Husk, at der kun kan sendes sikkert fra til en CENTRALE ANBEFALINGER OM OPBEVARING OG VIDEREGIVELSE AF PERSONDATA Gem aldrig persondata på egen pc, på kommunale serverdrev eller i mail, men kun i sikre systemer. Gem dem aldrig på eksterne serverdrev, usb-nøgler m.v. Brug kun sikre systemer som e-boks til at kommunikere med borgere. Intern kommunikation mellem medarbejdere og mellem forskellige forvaltningsenheder kan også ske via det kommunale mailsystem (silkeborg.dk). Andre arbejdsrelaterede systemer kan anvendes, men IKKE til personoplysninger. Arbejdsrelaterede systemer er silkeborg.dk, silkeskole.dk. Slet gamle mail. Gamle mails skal arkiveres i GO, hvis de skal bevares. Send aldrig følsomme personoplysninger (særlige kategorier, øvrige personoplysninger) via andet end sikker mail (e-boks, kommunale sikre og pr. 1. august 2019 Aula). Det gælder fx afgørelser om specialundervisning, underretninger, testresultater, helbredsoplysninger og PPV. Slet gamle oplysninger om tidligere børn/elever som minimum en gang om året. Eventuelle nødvendige oplysninger (arkivregler) gemmes i sikkert system, som udgangspunkt i GO. Offentliggør kun personoplysninger (tekst og billede) efter konkret tilladelse fra forældre. Skriv ikke personoplysninger i overskriften for kalenderaftaler og så vidt muligt heller ikke i selve kalenderaftalen. Kalenderen er åben/synlig for alle. Brug i mødeaftaler om identificerbare personer altid låsen (marker aftalen som privat). Personoplysninger, som f.eks. navnelister på klasser må ikke videregives uden samtykke til eksterne samarbejdspartnere (præster, lokale idrætsforeninger, virksomheder mv.). 6

7 SIKRE OG USIKRE IT-SYSTEMER Hovedreglen er, at de statslige og kommunale it-systemer er sikre mens private eller webbaserede systemer sjældent er det. Flere af de systemer vi anvender, er webbaserede. Der skal foreligge en databehandleraftale (se afsnit om databehandleraftale) på systemerne, og der skal være procedurer, der sikrer, at data fx ikke opbevares længere, end de må, og at kun de relevante personer har adgang til data. Ansvaret for dette påhviler den enkelte skoleledelse for så vidt angår decentralt indgåede aftaler. Se i øvrigt spørgsmål/svar senere. Silkeborg Kommunes ESDH system GetOrganized (GO) opfylder generelt sikkerhedskravene, hvis de forskellige sikkerheds- og procedureregler bliver fulgt. Børne- og elevadministrative systemer som Tabulex opfylder de tekniske sikkerhedskrav, men der skal være procedureregler for, hvem der må se og bruge hvilke oplysninger. Det er den lokale skoleledelse, der udarbejder regler og har ansvaret for, at reglerne overholdes. Pædagogiske platforme som Meebook, Klassetrivsel og Aula (fra 1. august 2019), opfylder de tekniske sikkerhedskrav, men der skal være procedureregler for, hvem der må se og bruge hvilke oplysninger. Den lokale skoleledelse udarbejder lokale procedureregler og har ansvaret for, at reglerne overholdes. Kommunale, serverbaserede -systemer (f.eks.xx@silkeborg.dk) opfylder som hovedregel sikkerhedskravene, mens web-baserede -systemer som Hotmail, Gmail, privat Outlook via Office365 mv. ikke gør det. E-boks er den sikreste måde at kommunikere digitalt med forældrene på. I Silkeborg Kommune er interne mails til og fra en silkeborg.dk-mailadresse en sikker mail. Skolernes silkeskole.dk system er ligeledes sikker ved fra silkeskole.dk til silkeskole.dk. Office365-mail er ikke sikker til forsendelse af fortrolige og følsomme personoplysninger, bl.a. fordi det er muligt at videresende. Sociale medier som Facebook, Twitter, Snapchat, Youtube m.v. opfylder generelt ikke sikkerhedskravene og må derfor ikke anvendes til personoplysninger. Dette gælder både tekst og billeder, med mindre der er indhentet konkret skriftlig tilladelse. Brug ikke private mobiltelefoner eller lignende til at tage billeder af elever. OneDrive (kommunens serverdrev/p-drev) er sikre i forhold til backup mv., men opfylder ikke sikkerhedskrav i øvrigt. Følsomme personoplysninger må derfor ikke opbevares her. Webbaserede fildelingssystemer på det administrative net (Office365, OneDrive, Google Drev, Dropbox m.v.) opfylder generelt ikke sikkerhedskravene og må derfor ikke anvendes til følsomme personoplysninger. Kan anvendes til oplysninger som f.eks. undervisningsplaner og materialer. Arbejde omkring elever og undervisning kan foretages i Google Suite for Education under iagttagelse af regler for, hvordan persondata skal håndteres. Se vejledning til lærere vedr. sociale medier og Google Drev, Vejledning vedr. sociale medier og Google Drev. Opret en mappe på fællesdrev. En af de involverede lærere opretter mappen på fællesdrev og sikrer, at kun involverede lærere får delingen. De øvrige lærere, udover manager, må kun være bidragsydere på mappen. Det skal understreges, at der ikke må deles med andre end de lærere, der har brug for mappen. Når en lærer kun er bidragsyder, kan de ikke dele. I perioden frem til Aula er i drift, anvendes SkoleIntra som hidtil. Dog skal det indskærpes overfor alle, at man ikke må se på andre oplysninger eller andre sager end dem, man har et sagligt behov for at kunne tilgå. Mail med personfølsomme oplysninger skal som hovedregel sendes via administrationens sikre mail (silkeborg.dk) og til en sikker mail hos modtageren (e-boks). Kommunikation med PPR fra skolens medarbejdere kan ske via Skolens administrative mail eller SkoleIntra. 7

8 Hvilke sikkerhedskrav opfylder de forskellige systemer? Opfylder de generelle sikkerhedskrav Må anvendes til opbevaring af almindelige personoplysninger 1 Må anvendes til opbevaring af følsomme personoplysninger 2 Må anvendes til arkivering af følsomme personoplysninger 3 ESDH (GO) OK OK OK OK Tabulex OK OK OK OK Meebook OK OK Ikke OK Ikke OK SkoleIntra OK OK Ikke OK Ikke OK Aula (pr. august 2019) OK OK OK Ikke OK Silkeborg OK OK OK Ikke OK Skolekom, silkeskole.dk Google Suite for Education silkeskole.dk OneDrive, Google, Dropbox mv. Facebook, Snapchat, Youtube mv. OK OK Ikke OK Ikke OK OK OK OK Ikke OK Ikke OK Ikke OK Ikke OK Ikke OK Ikke OK Ikke OK Ikke OK Ikke OK Gmail, Yahoo-mail, Hotmail mv. Må ikke bruges i arbejdsmæssige sammenhæng Må ikke bruges i arbejdsmæssige sammenhæng Må ikke bruges i arbejdsmæssige sammenhæng Må ikke bruges i arbejdsmæssige sammenhæng 1. Almindelige personoplysninger f.eks. navn, adresse og cpr. nr. Læs mere i afsnittet Personoplysninger 2. Opbevaring af følsomme personoplysninger data læs mere i afsnittet Personoplysninger. Man må sende mail via sikre mail men ikke opbevare dem længere en nødvendigt højst 30 dage eller 3. måneder for igangværende sager 3. Kommunes ESDH (GO) og Tabulex er sikre systemer, hvor der kan arkiveres fortrolige og følsomme personoplysninger 8

9 BRUG AF FOTOS, VIDEO OG FACEBOOK Brug af billeder og video på Facebook Facebook indsamler data ved hjælp af cookies, når brugere besøger vores Facebook-side. Det betyder blandt andet, at vi kan få statistik over vores besøgende, ligesom Facebook bruger oplysningerne til at målrette indhold til brugere. Det er ikke noget, vi kan vælge fra, og derfor er det vigtigt, at vi gør brugerne opmærksomme på det. Derfor har vi skrevet det eksplicit i sidens oplysninger, hvor vi også linker direkte til Facebooks cookiepolitik. Vi opfordrer de skoler, som har sin egen Facebook-side til ligeledes at gøre opmærksom på disse vilkår for brugerne, da de gælder alle Facebook-sider. Silkeborg Kommune har ingen indflydelse på, hvordan Facebook bruger disse data, men virksomheder har ifølge en EUdom fra 5. juni 2018 et fælles ansvar med Facebook for at overholde reglerne om beskyttelse af persondata. Justitsministeriet er på vegne af den offentlige sektor i Danmark i dialog med Facebook om konsekvenserne af dommen om delt dataansvar. Dialogen med Facebook sker ikke kun i Danmark, men på fælleseuropæisk plan. Silkeborg Kommune afventer resultatet af denne dialog og efterfølgende anbefalinger fra kommunernes organisation KL. Brug af fotos og video Silkeborg Kommune følger Datatilsynets anbefalinger om beskyttelse af persondata i forbindelse med anvendelse af fotos og video, herunder reglerne i EU s databeskyttelsesforordning. Ud over disse regler er vi særligt opmærksomme på ikke at vise billeder af børn, der er sårbare, kede af det eller på anden vis kan virke krænkende. Silkeborg Kommune benytter primært situationsfotos og videoer, hvor formålet er at vise en aktivitet eller en situation. Datatilsynet skelner mellem situationsbilleder og portrætbilleder på følgende måde: Situationsbilleder er billeder, hvor en aktivitet eller situation er det egentlig formål med billedet. Det kan fx være arbejdende børn i klasselokalet, legende børn i en skolegård eller besøgende i Zoologisk have. Det kræver som udgangspunkt ikke samtykke fra personer på billederne/videoerne. Men vær opmærksom på, at forældre kan forlange situationsbilleder fjernet fra skolens hjemmeside/facebook. Portrætbilleder er billeder, hvor formålet er at afbilde en eller flere bestemte personer. Det kan fx være et skolefoto eller et klassebillede. Ved portrætfotos af børn beder vi altid om skriftligt eller mundtligt samtykke til brug i kommunale sammenhænge, f.eks. på Facebook. Uagtet samtykke kan alle til enhver tid anmode Silkeborg Kommune om at få fjernet og slettet et portrætfoto, hvorefter vi vil fjerne indholdet fra siden. Det er altså fuldt ud tilladt at bruge billeder og video af og med børn, når blot vi er opmærksomme på 1) at indholdet ikke er krænkende for personerne, der indgår, og 2) at vi har tilladelse til at bruge portrætbilleder. 9

10 SKOLEFOTO Det anbefales at skolen benytter sig af en funktion i TEA Forvaltning, som hedder FLEKSIBEL EXPORT. Ved brug af FLEKSIBEL EXPORT dannes en fil med et minimum af personoplysninger, som sendes til fotografen. Det kan være elev-id, elevnavn og klassebetegnelse oplysninger, som den enkelte skole efter samtykke fra forældre kan videregive fotografen, så fotografen kan udføre sin bestillingsopgave (fotografering af skolens elever, som af skolen lægges i TEA som en del af undervisningsdelen). Skolefotografen er selvstændig dataansvarlig for de oplysninger, han måtte få om eleverne, og skal derfor selv sørge for at overholde GDPR i forbindelse med behandling af billederne (portrætsfotos). F.eks. om sikker opbevaring, indhentning af samtykke før han fotograferer eleverne mv. Hvis skolen skal anvende billederne i skolesammenhæng, skal de have samtykke hos forældrene til at anvende billederne. GOD IT- OG DATAETIK OG PROCEDURER FOR MEDARBEJDERE OG LEDELSE For at medarbejdere og ledelse på skolerne kan overholde reglerne i databeskyttelsesforordningen, er det vigtigt, at man har en god it- og dataetik og en lokal procedure, der følges af alle medarbejdere. Derfor er det vigtigt at: Følsomme personoplysninger skal opbevares sikkert, dvs. i kommunens ESDH- system (GO) og ikke på egen pc eller på kommunale serverdrev, på nettet, i usikre systemer, på usb-nøgle eller i ens private mailboks. Disse data skal registreres på barnets/elevens sag. Alle billeder er personoplysninger og skal gemmes i Meebook eller SkoleIntra. Der skelnes mellem portrætfotos og situationsfotos: Portrætfotos er billeder, som viser en til flere personer helt tæt på. Når et portrætbillede gemmes, skal billedet tagges (tilknyttes et navn), således at forældre kan få at vide, hvilke oplysninger der ligger om deres barn. Situationsfotos er fotos af grupper af børn. Situationsfoto indeholder også personoplysninger og forældrene har ret til at kræve billeder også situationsbilleder fjernet Vær opmærksom på, at der skal indhentes tilladelse fra forældre til handicappede børn, hvis der tages situationsfoto af dem. Vær opmærksom på, at der på situationsbilleder kan optræde børn med navne/adresseforbud. Forældre skal være informeret om, hvor og på hvilke sider billederne placeres. De skal have mulighed for at afkrydse nej i samtykkeerklæring. Afkrydser de ikke, skal det betragtes som et nej fra forældrene. Dokumenter med følsomme personoplysninger skal gemmes sikkert og må ikke gemmes på private computere, USB-stik eller ligge i medarbejdernes egen mapper på arbejdscomputere. Fysiske dokumenter med personoplysninger skal gemmes i aflåste skabe og destrueres, når de ikke mere er relevante. Papirer med personfølsomme oplysninger skal lægges i en fortrolig container efter brug. Vær opmærksom på, at man kun må se og bruge data, som man har et lovligt formål med at se og bruge. Dvs. man må ikke skaffe sig adgang til data om børn/elever, som man ikke har brug for at se, også selvom man rent teknisk har adgang til det. Kommuniker med børn/elever, forældre og eksterne samarbejdspartnere om personfølsomme data via sikkert -system: e-boks og Aula. Ikke til deres -adresser på Hotmail, Gmail m.v. Svar eventuelt forældrene på deres mailhenvendelse, at der vil blive sendt et svar til dem via e-boks. Husk at slette forældrenes besked først, så man ikke sender de følsomme/fortrolige oplysninger retur. Slet gamle mail. En mail med personoplysninger må maksimalt ligge i mailsystemet 30 dage. 10

11 DATAANSVARLIG OG DATABEHANDLER Generelt gælder det, at hvis man opbevarer eller behandler persondata for at løse en opgave for andre, så er man normalt databehandler. Behandler man data til egne formål, er man dataansvarlig. Dataansvarlige er således fuldt ansvarlig for overholdelse af reglerne og den, der disponerer over personoplysningerne. Det vil sige den, der afgør til hvilket formål og med hvilke hjælpemidler, der må foretages behandling. Databehandler Databehandleren er en ekstern person/virksomhed, som behandler (opbevarer, bruger eller får indsigt i) personoplysninger på den dataansvarliges vegne. Databehandleraftaler En databehandleraftale er en aftale mellem kommunen og leverandøren. I databehandleraftalen beskrives, hvordan leverandøren (f.eks. Hjernen &Hjertet) må behandle de data, kommunen producerer via leverandørens produkt. Hvis de sikkerhedsforanstaltninger, som leverandøren har iværksat i forhold til data, misbruges, betyder det, at aftalen misligholdes. Databehandleraftalen indeholder også beskrivelse af de krav og forudsætninger, kommunen stiller for at bruge databehandleren. Hvis Skoleafdelingen f.eks. bruger en ekstern leverandør til at holde styr på sine informationer, er det et krav, at de to indgår en skriftlig aftale om, hvordan leverandøren må behandle Skoleafdelingens oplysninger. Det er den dataansvarlige, der indgår databehandleraftaler. Skolechefen indgår databehandleraftaler på vegne af Skoleafdelingen, Silkeborg Kommune. Skoleafdelingen tager sig at alt, hvad der handler om centrale databehandleraftaler på f.eks. leverandører af digitale læremidler. Se hvilke databehandleraftaler der er indgået her: Dataaftale En dataaftale er den nødvendige aftale mellem kommunen/skolerne om, at leverandøren må bruge Uni-Login som adgang til leverandørens produkt. Dataaftaler indgås i brugeradministration.emu.dk af udvalgte personer. Dataaftaler indgås som udgangspunkt af skolen selv, men følges op af Skoleafdelingen. Uden dataaftale kan login til leverandørens produkt ikke etableres. Skolerne udpeger selv de personer, der skal have rettigheder i Brugeradministration.emu.dk. Brugeradministrationen er særligt beskyttet via 2-faktor login. 11

12 OFTE STILLEDE SPØRGSMÅL OG SVAR Hvordan skal man forholde sig i overgangsperioden, indtil Aula er i drift? Indtil Aula er i drift, bruges SkoleIntra fortsat. Det er dog vigtigt, at alle instrueres i, at de ikke må læse de personoplysninger, der måtte findes i SkoleIntra, med mindre de har en lovlig og legitim grund til det. Dvs. de må alene se sager, udtalelser og notater om egne børn, og kun såfremt de har brug for det til at løse deres opgave. I hvilke typer af systemer og programmer skal en lærer eller pædagog gemme følsomme personoplysninger, når de ikke har adgang til GO? Skolens administration skal gøre det muligt at gemme følsomme personoplysninger i GO. Det svarer til, at den type oplysninger tidligere lå i elevens hængemappe i administrationen. Adgang til GO kan ske via leder, sekretær eller en særlig pc, hvor udvalgte medarbejdere har adgang til GO Hvilke data om børn/elever må man have liggende på egen pc? Man må ikke have følsomme persondata liggende på egen pc. Det er for usikkert. Den type data skal ligge i sikre systemer. Persondata må absolut ikke ligge på eksterne harddrev, usb-nøgler eller i Google Suite for Education. Hvilke oplysninger om børn/elever må man registrere i den digitale læringsplatform? Som hovedregel bør alle personfølsomme data registreres i GO og ikke i den digitale læringsplatform, Meebook mv. Såfremt der er et lovligt formål med det, må alle typer af oplysninger registreres i de digitale læringsplatforme. Men vær opmærksom på, at det kræver, at alle der har adgang til systemet, er bevidste om hvilke data, de har lov til at se, ligesom der skal være opmærksomhed på at slette data igen, når det ikke længere er relevant at have dem liggende. Hvor længe må følsomme personoplysninger om et barn/en elev ligge i de forskellige systemer, og hvem har ansvaret for at slette dem? Persondata må være registreret i de forskellige systemer, så længe det er fagligt relevant og i overensstemmelse med formålet med registreringen. Når et barn fx ikke længere går på en daginstitution eller i en skole, skal data altså generelt set slettes 5 år efter, at det er afgangsført (gået ud af skolen / stoppet i daginstitutionen) og overført til arkiv, hvis der er tale om arkiveringspligtige dokumenter. Er der tale om almindelige personoplysninger, som alene behandles (opbevares) af driftsmæssige formål, f.eks. komme- og gåtider eller kontaktbogsoplysninger, som ikke længere er nødvendige til dokumentationsbrug, slettes de efter 12 måneder. Bemærk at eksamensbeviser og data nødvendige for at udstede sådanne beviser skal gemmes. Elevsager, herunder elevplaner og PPV m.v., skal ikke gemmes, med mindre det vurderes relevant. Der skal altså foretages en konkret vurdering. Kræver det konkret samtykke (tilladelse) fra forældrene, hvis man registrerer oplysninger om et barns sociale, personlige eller læringsmæssige udvikling (herunder specialundervisning) på egen pc eller i institutionens digitale læringsplatform? Skal forældrene informeres om registrering? Det kræver ikke tilladelse fra forældrene at registrere oplysninger, hvis det sker som del af den opgave, som man skal løse. Forældrene er allerede informeret ved udsendelsen af det generelle oplysningsbrev. Sådanne oplysninger må alene gemmes i sikre systemer og således ikke på ens egen pc. Data skal slettes igen, når de ikke længere er relevante at opbevare, men vær opmærksom på pligter i forhold til arkivering og journalisering. Må man have en klasse-/gruppeliste med navne, adresser, telefonnumre og oplysninger på institutionens internetside, intranet, i læringsplatformen eller i Aula eller kræver det samtykke fra forældrene? En klasseliste indeholder persondata. Det kræver derfor samtykke fra forældrene at offentliggøre sådanne. Det anbefales, at sådanne oplysninger ikke placeres på en offentlig tilgængelig hjemmeside, men kun i lukkede systemer (fx SkoleIntra eller Aula), og at der indhentes samtykke. Kan man arbejde med en generel samtykkeerklæring fra forældrene vedr. opbevaring og behandling af persondata, som gælder i flere år eller i hele barnets skoletid? Ja, det kan man godt. I dag gælder et samtykke således, indtil det kaldes tilbage (der findes dog en undtagelse i sundhedsregi, som ikke er relevant på skoleområdet). Man behøver ikke indhente samtykke hver gang, man indhenter og behandler personoplysninger. Vær opmærksom på, at en samtykkeerklæring om persondata kun gælder for de forhold, som der konkret er givet samtykke til. Man skal derfor lave en procedure, hvor man sikrer, at man husker at indhente nye samtykker, hvis man får brug for det til behandling af persondata. Må en skole føre en løbende oversigt over, hvilke støttetiltag der er igangsat for de forskellige elever (f.eks. specialundervisning, støtte til fysiske handicap, igangsatte underretninger)? Ja, så længe det sker i et sikkert system (GO), så længe data er ajourførte, og så længe forældrene er informeret om de data, der registreres. 12

13 Er der oplysninger, man ikke må sende pr. mail? Alle typer af oplysninger må sendes mellem medarbejdere i Silkeborg Kommune. Når man kommunikerer med forældre om personfølsomme oplysninger, er det kun sikkert via e-boks. Almindelig kommunikation kan foregå via alle mail-typer. Det anbefales, at kommunikation med forældre alene sker via e-boks. Dvs. at der ikke sendes svar til fx forældrenes Gmail, Hotmail og lignende. Men som god service bør der svares, at mailen er modtaget, og at svar sendes via sikker mail (e-boks). Hvis svarmailen sendes retur, så vær opmærksom på, at den oprindelige mail kan indeholde følsomme eller fortrolige oplysninger. Indtil Aula er i drift, bruges SkoleIntra samt mail fra administrationens sikre mailadresser. Hvis man får en mail fra en forældres hotmail-adresse vedr. barnets specialundervisningsbehov, må man så svare, eller skal man svare via SkoleIntra eller til e-boks? Se også ovenstående. Svar skal sendes via sikker mail, dvs. e-boks. Hvor længe må man gemme en med følsomme persondata i egen mailboks (indbakke og udbakke)? Du må opbevare mails med personoplysninger i egen mailboks (indbakke eller udbakke) i maksimalt 30 dage. Derefter skal en mail med personoplysninger enten slettes eller lægges i et sikkert fagsystem (ESDH-system eller Aula). Mails må heller ikke ligge i et andet kommunalt mailsystem, Hotmail, Gmail, Skolekom eller lignende. Er data i en elevplan fortrolig eller følsom persondata? Skal de slettes igen, hvornår? Hvem har ansvaret for det? Data i en elevplan er i udgangspunktet ikke fortrolig eller følsom og er derfor ikke særligt beskyttet. De må gerne ligge i de relevante digitale systemer, så længe der er et lovligt formål hermed. Når en elev ikke længere er tilknyttet en skole, skal elevplanen slettes, hvilket sker automatisk. Bemærk, at der i notefelter til en elevplan kan være indskrevet oplysninger, som er enten fortrolige eller følsomme og derfor særligt beskyttede. I så tilfælde må de kun ligge i den digitale platform, hvis der er procedurer for, hvem der må se dem, og hvordan data behandles. Som hovedregel bør sådanne oplysninger ikke anføres i notefelterne, men skal placeres i et sikkert system. Er en lærer eller en pædagogs notater om et barns faglige eller sociale udvikling personfølsomme oplysninger, som det kræver samtykke at opbevare? Skal forældrene have besked om, at de findes, og hvor længe må man gemme dem og hvor? En lærer eller pædagogs personlige notater om et barns udvikling er et professionelt redskab, som man gerne må gemme og anvende. Sådanne data bør som hovedregel gemmes på barnets sag i GO. Forældrene er via det generelle informationsbrev informeret om, at notater fra en medarbejder kan indgå i den konkrete sagsbehandling. For eksempel når det overvejes at igangsætte særlige tiltag, der skal laves en underretning eller lignende. Personlige notater bør kun gemmes kortvarigt og kun et sikkert sted. Hvis de er relevante at gemme længere tid, så skal de på barnets sag. Må en lærer eller pædagog have en pædagogisk-psykologisk vurdering (PPV) på et barn liggende på egen pc? Hvis ikke hvor må den så ligge, hvor læreren og pædagogen kan se den? Nej, en PPV indeholder personfølsomme oplysninger og må alene ligge i sikre systemer, det vil sige i GO. Oplysningerne kan dog i nødstilfælde opbevares i mailform i 30 dage. PPV en kan ligge i papirformat, så længe den opbevares forsvarligt i aflåst skab. Hvad er reglerne for opbevaring og sletning af data eller billeder af børn/elever på mobiltelefon og ipad? Opbevaring og anvendelse af billeder kræver skriftligt samtykke fra forældrene. Billeder skal altid gemmes i et sikkert system, som hovedregel i GO eller SkoleIntra. Brug ikke egne mobiltelefoner til at tage billeder af børn. Skal man have samtykke fra forældrene, hver gang man vil lægge et billede af barnet på hjemmeside, SkoleIntra, Facebook eller lignende? Ja. Hvis en institution/skole ønsker at offentliggøre oplysninger om børn/elever, fx navne, portrætbilleder, klassebilleder eller lignende, kan det kun ske, hvis der er givet konkret samtykke til det. Det er som udgangspunkt den, der har forældremyndigheden, der skal give samtykke til det på vegne af barnet. Hvis en elev er 15 år eller derover, kan eleven dog almindeligvis selv give samtykke til, at skolen offentliggør oplysninger om vedkommende. Hvordan må personoplysninger om medarbejdere behandles? Må en oversigt over, hvem der er fraværende pga. sygdom eller barns sygdom, f.eks. hænge i personalerummet, så alle kan se det? Personoplysninger om sygdom må ikke være offentligt tilgængelige. Men det må gerne fremgå, hvem der er tilstede, og hvem der ikke er, så længe årsagen ikke fremgår. Hvem har ansvaret for databehandleraftaler vedr. de programmer og systemer, som man bruger? Kommunen har ansvaret for, at der laves databehandleraftaler for de programmer og systemer, som alle institutioner/ skoler anvender, f.eks. Aula, Tabulex samt aktivitets- og læringsprogrammer, hvor kommunen køber licenser. 13

14 BLANKETTER OG ANSØGNINGSSKEMAER Skoleafdelingen sørger for, at alle blanketter og ansøgningsskemaer fra Administrativ Sektion, Pædagogisk Udviklingssektion og PPR overholder reglerne i databeskyttelsesforordningen. Hvis skolerne har egne blanketter eller ansøgningsskemaer, skal skolen selv sørge for, at de overholder reglerne for databeskyttelse. Se i dette dokument, hvilke oplysninger der skal tilføjes: Skabelon vedr. samtykke til indhentelse af personoplysninger i Meebook og Klassetrivsel i forbindelse med trivselsspørgsmål findes i GO, Meebook_-_Klassetrivsel.docx. Skabelonen skal udfyldes med den enkelte skoles oplysninger og gemmes i skolens egen GO-sag, inden den udsendes til underskrift til forældre. Ved tilmeldingssedler til diverse arrangementer på skolen tilføjes følgende: Efter arrangementet er afholdt, makuleres alle tilmeldinger. HVIS NOGET GÅR GALT (SIKKERHEDSBRUD) Brud på persondatasikkerheden (sikkerhedsbrud) forligger: hvis man sender en mail med fortrolige oplysninger til en almindelig mailadresse, eller hvis man sender en mail til den forkerte modtager, når personoplysninger om kommunens medarbejdere eller borgere kommer til uvedkommendes kendskab (enten ved offentliggørelse på internettet eller i trykte medier, eller ved uberettiget videregivelse), når it-systemer blokeres, hvor kommunen kan miste data og ikke kan genskabe den viden, de repræsenterer. I tilfælde af brud på persondatasikkerheden skal kommunens databeskyttelsesrådgiver (DPO) straks kontaktes, da databeskyttelsesrådgiveren, som udgangspunkt senest 72 timer efter at bruddet er konstateret, skal anmelde bruddet til Datatilsynet. Databeskyttelsesrådgiver (DPO) og jurist, Mette Mejlsted Lundsgaard, kontaktes på tlf , DPO@silkeborg.dk. Det er vigtigt at tage sikkerhedsbrud alvorligt, da kommunen kan få bøde, hvis et alvorligt brud på persondatasikkerheden ikke anmeldes rettidigt. Vurderingen af, om et forhold er alvorligt, foretages af databeskyttelsesrådgiveren. 14