Persondataforordningen

Relaterede dokumenter
EU s persondataforordning. Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

ESDH. Hvorfor og hvordan? Gymnasiefællesskabet den 6. februar 2017

Seminar Datasikkerhed for praktikere. Onsdag den 27. september 2017 kl. 9-16

EU Persondataforordning GDPR

hvortil din løn skal anvises, ferie, omsorgsdage (herunder CPRnumre på børn under 8 år)

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever,

UVMs bidrag til GDPR implementering i uddannelsessektoren

Persondatapolitik for Tørring Gymnasium 2018

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Plan for databeskyttelse på Nykøbing Katedralskole Maj 2018, revideret marts 2019

Her skal angives, hvilke personoplysninger der indsamles i relation til elever, deres værger og evt. andre pårørende.

Persondatapolitikken er godkendt på Nykøbing Katedralskoles bestyrelsesmøde den [bliver taget op på bestyrelsesmøde i september 2018].

Persondatapolitik. Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Kolding Gymnasium.

Denne orientering gives med henvisning til art. 13 og 14 i databeskyttelsesforordningen 2

Persondatapolitik for Aabenraa Statsskole

Persondatapolitikken er godkendt på Horsens HF & VUCs bestyrelsesmøde den 14. juni 2018.

VEJLEDNING TIL BEBOERREPRÆSENTANTER - BESKYTTELSE AF PERSONDATA

Persondatapolitik. for Social- og Sundhedsskolen Esbjerg

Persondatapolitik Vordingborg Gymnasium & HF

Formålet med persondatapolitikken er at fastlægge rammerne for behandling af personoplysninger på Ribe Katedralskole.

Persondatapolitikken er godkendt på VUC Roskildes bestyrelsesmøde den 7 juni 2018.

Tjekliste i relation til behandling og sletning af medarbejderes persondata

Persondata politik for GHP Gildhøj Privathospital

Politik for behandling af persondata ved Viby Gymnasium

Regler om persondata Koordinatormøde den 28. nov. 2017

Persondatapolitik på Gentofte Studenterkursus

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Herudover behandles års- og eksamenskarakterer med det formål at dokumentere, at du opfylder betingelserne for at blive student.

Persondataforordningen. Hvad kan vi bruge KITOS til?

Persondatapolitikken er godkendt på Horsens Statsskoles bestyrelsesmøde den XX.

EN DAG OM PERSONDATAFORORDNINGEN. STU Foreningen. 7. december 2017

NY PERSONDATALOV. - til dig i afdelingsbestyrelsen

HÅNDBOG FOR BEBOERDEMOKRATER BESKYTTELSE AF PERSONDATA

BAGGRUND FOR PERSONDATAPOLITIKKEN... 2 FORMÅL... 2 DEFINITIONER... 2 ANSVARSFORDELING... 3 ANSVARLIGHED...4

Retningslinje om fortegnelser over behandlingsaktiviteter

Sådan arbejder. SprogGruppen med. Persondataforordningen. Indholdsfortegnelse

Overblik over persondataforordningen

Fortegnelse over behandling af elevers personoplysninger

N. Zahles Skole Persondatapolitik

Persondatapolitik for behandling af personoplysninger i Børnecancerfonden Vedtaget af Børnecancerfonden den

Persondataforordningen fra Dansk Energis perspektiv. Xellent inspirationsdag, 1. juni 2017

Den registrerede er den fysiske person, som personoplysningerne vedrører, fx medarbejdere, elever, leverandører, samarbejdspartnere og andre.

Databeskyttelsesdagen

3. Generelt a) Databehandlerens behandling af data sker alene efter dokumenteret instruks fra den dataansvarlige og alene til det aftalte formål.

Retningslinje om fortegnelser over behandlingsaktiviteter

Orientering om behandling af personoplysninger 1

Persondatapolitik for Odense Katedralskole

Introduktion til persondataforordning

Bilag 7a Orientering inkl. samtykkeerklæring elever og forældre

Orientering om databeskyttelsesforordningen. Sundhedsstrategisk Forum Onsdag den 21. marts 2018

Må lrettet årbejde med persondåtåforordningen for

Retningslinje om fortegnelser over behandlingsaktiviteter

Orientering om behandling af personoplysninger 1

Orientering om behandling af personoplysninger 1

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Persondatapolitikken er godkendt på Vesthimmerlands Gymnasium og HF s bestyrelsesmøde den 25. juni 2018

OVERORDNET INTERN PERSONDATAPOLITIK FOR BEHANDLING AF PERSONLIGE OPLYSNINGER I LIONS MD 106.

PERSONDATAPOLITIK. Jeg optræder som dataansvarlig, når jeg behandler personoplysninger.

Dokumentation af sikkerhed i forbindelse med databehandling

Kong Frederik den Syvendes Stiftelse paa Jægerspris

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Cirkulæreskrivelse om fælles dataansvar for visse administrative systemer, som stilles til rådighed af Styrelsen for It og Læring

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

De oplysninger vi skal give dig er følgende:

Målrettet arbejde med persondataforordningen for

Aftale omkring behandling af persondata.

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Furesø Kommune Stiager Værløse CVR. nr.: (herefter Kommunen )

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

Tønder Kommune BILAG 10

Må lrettet årbejde med persondåtåforordningen for DANSK PLANTAGEFORSIKRING DANSK PLANTAGEFORSIKRING

Politik for behandling af oplysninger

Persondatapolitik. Behandling af oplysninger Leasing Fyn behandler ikke personfølsomme oplysninger.

Datapolitik/databehandlingsrapport

Målrettet arbejde med persondataforordningen for

DATABEHANDLERAFTALER MELLEM ESBJERG KOMMUNE OG LEVERANDØRER. Tekst, der er sat i [ ] og markeret med grøn angiver, at Leverandøren skal forholde

Vejledning om elevsager i ESDH 1

DATABEHANDLERAFTALE MELLEM ODENSE KOMMUNE. Flakhaven 2, 5000 Odense C [INDSÆT NAVN. CVR xxxxxxxx. Adresse ]

Persondataforordningen

Avnbøl-Ullerup Våndværk A.m.b.å. CVR-nr

BILAG 5 DATABEHANDLERAFTALE

PERSONDATA - HVAD ER DET FOR NOGET OG HVORDAN BRUGES DET?

Vilkår og privatlivspolitik

Ma lrettet arbejde med persondataforordningen for

Sådan behandler vi dine persondata

DATABEHANDLERAFTALE. Mellem. Silkeborg Kommune Søvej Silkeborg CVR. nr.: (herefter Kommunen )

DATABEHANDLERAFTALE. Mellem. Svendborg Kommune Ramsherred Svendborg CVR. nr.: (herefter Kommunen ) XXXXXX xxxxxx xxxx

Målrettet arbejde med persondataforordningen for

Persondatapolitik for Aalborg Handelsskole

Sletteregler. v/rami Chr. Sørensen

Orientering om behandling af personoplysninger til elever (og forældre til elever under 18 år) 1

DATABEHANDLERAFTALE. Aftale omkring behandling af persondata Januar 2018 Version 1.1

Ma lrettet arbejde med persondataforordningen for Helberskov Vandværk

Vejledning om oplysningspligt og samtykkeerklæring vedrørende behandling af ansattes personoplysninger

Overordnede forhold ifm. behandling af persondata Forskningsenheden for Almen Praksis, Aarhus (FE) passer godt på dine data.

Kontraktbilag 3. Databehandleraftale

BILAG 14: DATABEHANDLERAFTALE

Transkript:

Persondataforordningen Chefkonsulent Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse Styrelsen for It og Læring karsten.vest.nielsen@stil.dk & Chefkonsulent Astrid Gintberg Levin Gymnasiefællesskabet Astrid.Gintberg.Levin@GFadm.dk

Disposition Generelle del ved Karsten Vest Nielsen Kort om forordningen Implementering - Processen i Justitsministeriet og UVM i forhold til institutionerne Fire nedslag i forordningen set i et institutionsperspektiv Compliance, Forberedelse, Databeskyttelsesrådgiver, Databehandleraftaler Praksisnære del ved Astrid Gintberg Levin Spørgsmål APVU Landsmøde 2017 2

Databeskyttelsesforordningen Persondataforordningen Formål Styrke individernes (fysiske personers) ret til databeskyttelse Understøtte det frie flow af data [Reducere administrative byrder] Fysisk person omfatter også enkeltmandsvirksomheder, da der ikke 50 siders forordning og 30 siders præambel! kan skelnes mellem ejeren som individ og oplysninger om virksomheden. APVU Landsmøde 2017 3

Databeskyttelsesforordningen Persondataforordningen Forordningen (DBF) En række principper for god behandlingsskik, som skal efterleves. Krav om et hjemmelsgrundlag til behandling af persondata. Fastlægger rettigheder for den registrerede, som vedkommende skal kunne udøve. Et sæt af forpligtelser, som den dataansvarlige og databehandlere skal efterleve. Datatilsynet har ret til at føre tilsyn, komme med påbud, advarsler og bøder. Elever, ansatte, forældre.. APVU Landsmøde 2017 4

Implementering af DBF EU-forordning = lov i Danmark fra d. 25. maj 2018 Erstatter Persondataloven og sikkerhedsbekendtgørelsen På visse områder mindre Grønspættebog end nuværende lovgivning. Absolutte krav i sikkerhedsbekendtgørelsen erstattes af en risikobaseret tilgang. Dansk Databeskyttelseslov (fremsat 25. okt. 2017) Anden lovgivning tjek og rette ind eller rette til UVM har 43 love med tilhørende bekendtgørelser m.v. 1100 siders fortolkning Behov for tilpasning af procedurer hos myndigheder mv. Stor behov for vejledning og informationer Vi asfalterer mens vi kører mod maj 2018 APVU Landsmøde 2017 5

Udvalgte begreber Personoplysninger alle oplysninger, der kan henføres til bestemte personer, også selv om dette forudsætter kendskab til et personnummer, Unilogin, registreringsnummer eller lign. Portrætbilleder og fingeraftryk er også personoplysninger. Selv om oplysninger som et navn og adresse er erstattet af en kode, er det stadig en personoplysning, hvis koden kan føres tilbage til oplysninger om personen. Behandling alle former for behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk behandling, og på anden ikke-automatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register. APVU Landsmøde 2017 6

Udvalgte begreber Databehandleraftale En skriftlig aftale mellem den dataansvarlige og databehandler, hvor det fremgår at databehandleren (leverandøren) kun handler efter instruks fra den dataansvarlige (institutionen) APVU Landsmøde 2017 7

Hvilke personoplysninger må vi behandle? Reglerne for behandling af personoplysninger, er i et vist omfang skønsmæssige, men skal overholde 6 principper: 1. Lovlighed, rimelighed og gennemsigtighed 2. Formålsbegrænsning, dvs. udtrykkeligt angivne og legitime formål (saglighed ift. opgaven) 3. Dataminimering tilstrækkelig, relevant og begrænset til formålet 4. Rigtighed så oplysningerne er korrekte og ajourførte - og ellers slet eller ret 5. Opbevaringsbegrænsning så de registrerede ikke kan identificeres længere tid end nødvendigt. 6. Integritet og fortrolighed så data beskyttes om uautoriseret adgang, ulovlig behandling, utilsigtet sletning etc. APVU Landsmøde 2017 8

Nye og allerede kendte databeskyttelseselementer Rigtig meget fra Persondataloven går igen i DBF, men nyt er: 1. Ansvarlighed/Accountability man skal kunne dokumentere, at man overholder de 6 principper, og føre en fortegnelse over persondatabehandlinger. 2. Databeskyttelsesrådgiver (DPO). 3. Risikobaseret pligt til at udarbejde konsekvensanalyser Dataprotection Impact Assessments (DPIA) / Privacy Impact Assessments (PIA) 4. Risikobaseret krav om indbygget databeskyttelse ved udvikling af nye løsninger Privacy by Design og by Default 5. Notifikationspligt til tilsynet og i visse tilfælde de registrerede 6. Strengere sanktioner (bøder) APVU Landsmøde 2017 9

Fire nedslag set fra et institutionsperspektiv 1. Fortegnelse over behandlingsaktiviteter 2. Forberedelse af forordningens krav En god start: lever vi op til den gældende persondatalov? Så er I rigtig godt på vej 3. Databehandleraftaler 4. Databeskyttelsesrådgiver (DPO) Men husk også den registreredes rettigheder APVU Landsmøde 2017 10

Fortegnelse over behandlingsaktiviteter Erstatter anmeldelsespligten til Datatilsynet Er en intern pligt for dataansvarlige og databehandlere Ingen formskrav til fortegnelse, skal dog være skriftlig og elektronisk Skal på forlangende udleveres til Datatilsynet Skal kunne håndtere fx indsigtsbegæringer Der skal ikke udarbejdes større analyser af datastrømme. Skabeloner og vejledning- se Læs mere listen APVU Landsmøde 2017 11

Fortegnelse over behandlingsaktiviteter Navn på og kontaktoplysninger for den dataansvarlige, databehandler og databeskyttelsesrådgiveren, hvis I er forpligtet til at udpege en sådan. Formålene med behandlingen En beskrivelse af kategorier af registrerede og kategorier af personoplysninger De kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer Evt. overførsel af personoplysninger til et tredjeland eller en international organisation samt dokumentation for passende garantier De forventede tidsfrister for sletning af de forskellige kategorier af oplysninger En generel beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger APVU Landsmøde 2017 12

Forberedelse Datatilsynets 12 spørgsmål Hvilke personoplysninger behandler I? I skal fremadrettet føre en fortegnelse Hvilke informationer giver I de registrerede? Hvordan opfylder I de registreredes rettigheder? Hvordan indhenter I samtykke? Hvem er ansvarlig for databeskyttelse hos jer? I rollen som dataansvarlig: Er jeres behandlinger forbundet med særlige risici? Har I databehandleraftaler med eksterne leverandører? Er sikkerhed indbygget i de produkter I anvender? Træffer i de nødvendige forholdsregler internt på institutionen? APVU Landsmøde 2017 13

Databehandleraftaler Et krav i den nuværende persondatalov. Datatilsynet har ført en række tilsyn i 2016. Databehandlere må kun handle efter instruks fra den dataansvarlige bortset fra tilfælde, der er fastsat i lovgivningen Gælder for databehandleren samt enhver, der udfører arbejde for denne Databehandleren må ikke anvende oplysningerne til egne andre formål end til brug for løsning af netop den opgave der er pålagt af den dataansvarlige. Databehandleren må ikke videregive oplysningerne til andre. Hjælp: Datatilsynet kommer med et paradigme. Leverandører har aftalekoncepter APVU Landsmøde 2017 14

Databeskyttelsesrådgiver (DPO) Opgaver Underretning og rådgivning af den dataansvarlige eller databehandleren og de ansatte, der behandler personoplysninger, om deres pligter iht. DBF og dansk lovgivning om databeskyttelse. Overvågning af overholdelsen af reglerne i forordningen og dansk national ret om databeskyttelse og politikker om beskyttelse af personoplysninger, herunder fordeling af ansvar, oplysningskampagne og uddannelse af personale. Rådgivning med hensyn til konsekvensanalyse om databeskyttelse og overvågning af opfyldelsen. Samarbejde med Datatilsynet, herunder som kontaktpunkt ved spørgsmål om behandling af personoplysninger. DPO opgaver, rettigheder, pligter, kvalifikationskrav m.v. er nærmere beskrevet i et notat fra UVM og i en særlig vejledning fra Justitsministeriet. APVU Landsmøde 2017 15

Skal institutionerne have en DPO? Alle offentlige myndigheder skal have en DPO. - som dataansvarlig og/eller databehandler Visse private virksomheder skal have en DPO. Hvis behandling af persondata er en kerneaktivitet og har et stort omfang. De uddannelsesinstitutioner, der i dansk ret henregnes til den offentlige forvaltning, jf. forvaltningslovens 1, stk. 1-2, skal udpege en DPO. For selvejende institutioner oprettet på privatretligt grundlag vil der således være nogle uddannelsesinstitutioner, der skal udpege en DPO. En DPO kan være fælles for flere institutioner eller løses af eksterne på kontrakt. STIL udpeger en DPO, som dækker departement, STUK og STIL APVU Landsmøde 2017 16

UVMs aktiviteter ift. institutionerne To referencegrupper med deltagelse af skoleforeningerne og UVM bliver organisatorisk ramme ift. at afklare behov og tilrettelægge vejledningsindsatsen. UVM er i gang med at vurdere behovet for ændringer i bekendtgørelser, instrukser og vejledninger. Revurdere hvem der er dataansvarlig hhv. databehandler i de systemer, som UVM stiller til rådighed / kræver at sektoren anvender, Deltage i informationsmøder arrangeret af sektoren med indlæg om databeskyttelsesforordningen og dataetik APVU Landsmøde 2017 17

UVM og databeskyttelsesforordningen Roller og opgaver UVMs departement (Juridisk Kontor) har ansvaret for lovsporet. STUK har ansvaret for implementering af ændringer i de administrative regelsæt (bekendtgørelser og vejledninger m.fl.) STIL har som dataansvarlig for koncernens it-systemer ansvaret for kortlægning, analyse, praktiske tiltag til sikring af forordningens krav. Kontor for It-sikkerhed og Databeskyttelse oprettet august 2016 STUK og STIL varetager i fællesskab de udadrettede aktiviteter i forhold til institutionerne. APVU Landsmøde 2017 18

Læs mere Datatilsynet og Justitsministeriet www.dbreform.dk og www.datatilsynet.dk Materiale udarbejdet til referencegrupperne Se skoleforeningernes hjemmesider APVU Landsmøde 2017 19

Hvad har man som skole behov for af datasikkerhed? Overblik over personoplysninger og deres livscyklus på skolen Sikkerheden skal være til stede 360 (teknisk, fysisk, organisatorisk) Påstand: en skole har brug for et regelsæt, der beskriver: Formålet med skolens behandling af personoplysninger om elever og medarbejdere Hvilke it-systemer, der må anvendes til personoplysninger Hvor længe behandlingen af personoplysninger må ske Hvem der foretager sletning af personoplysninger Opdelt i fx arbejdsgange, processer og funktioner Kvittering for læsning Kobles til redskaber Oplæring Opfølgning (årshjul + ansvarlig) APVU Landsmøde 2017 20

Hvem administrerer behandlingen af persondata på jeres skole? Bogkælder/bibliotek (administration af elevers adgange til personoplysninger i digitale systemer, udveksling af oplysninger via UNI-login, åbning og lukning af adgange) Kommunikation (fx i forhold til samtykke fra elever og medarbejdere til at lægge foto på hjemmesiden, video på YouTube, fotos i trykte publikationer mv.) Personalesekretær (personoplysninger om medarbejdere som led i rekruttering, ansættelse, fravær, fratrædelse) Elevsekretær (personoplysninger om elever som led i optag, undervisning, fravær, særlige behov, SU, dimission) Studievejleder (særligt i forhold til håndtering af følsomme personoplysninger om elever og trivsel, fx forhold i hjemmet, diagnoser, mv) Lærer (den løbende kontakt til eleven, deling af oplysninger med andre i lærerteamet) Uddannelsesleder (personoplysninger om elever som led i optag, undervisning, fravær, særlige behov, SU, dimission) Pedel (fysisk adgang til bygningen, (a-)nøgler, overvågningskameraer, makulering af papirer) It-medarbejder (administration af brugeradgange, funktioner i it-systemer, backup af data, logning, sikkerhedsopdateringer, outsourcing til it-leverandør, udlevering og returnering af digitale arbejdsredskaber, sletning af data på digitale enheder) Øverste ledelse (beslutning om at prioritere indsatsen, afsætte ressourcer, valg af løsninger ) APVU Landsmøde 2017 21

Hvilke systemer bruges til skolens personoplysninger? SLS Navision Hoster af hjemmeside Digitale redskaber til rekruttering Server Web-adgang Sky Mail Printer/fysisk print Stationær eller bærbar pc Digitale redskaber til trivselsanalyser Gymnasiejob Dansk skolefoto Microsoft 365 Trykkeri Administrativt fællesskab Lectio/ Ludus Google Via Uni Login fx: MeBook Min Læring EduCatching Gyldendals Ordbøger APVU Landsmøde 2017 22

APVU Landsmøde 2017 23

Situation: elevforløb set over 3 år Handling System/ database Dokument slet Ministeriet/ Fordelingsudvalg Elev Fordeling af ansøgere Sikker mail* Eleven har ret til at få orientering om, at hans personoplysninger behandles Formål Særligt ifht. følsomme oplysninger Hvilken hjemmel Hvem der evt. sker videregivelse til Hvornår sletning sker * * Samtykke YouTube 1 Lagring af samtykke [*] Gymnasium Anden Sletning it-leverandør Optagelse? Nej Slet * Ja: Velkomstbrev evt. via E- Boks Lectio Mail E-Boks ESDH Oprettelse ESDH* Automatisk kassation Lectio* Manuelt * SQL AD Bib.system Google, Office365 UNI-login Databehandleraftale med leverandør af system, fx MeBook + åbner for adgang via Uni-Login Manuelt Studievejledning 2 Foto på hjemmesiden SPS slet Hvis samtykke tilbagekaldes Elev forlader skolen slet 24

Sletning - elevdata Identifikationsoplysninger, oplysninger om studieretning og indskrivningsperioder kan opbevares tidsubegrænset, men skal dog slettes ved meddelelse om den studerendes død. Dette har fx betydning ifht. at kunne indkalde til jubilæer mv. Øvrige oplysninger, der er nødvendige for at udstede et prøve- eller eksamensbevis, opbevares i 30 år, jf. 38, stk. 1, i den almene eksamensbekendtgørelse. Bemærk, at indberetning til UVM s centrale systemer ikke fritager for opbevaringspligten. Oplysninger, der er nødvendige for at udstede attestationer for gennemført undervisning, opbevares i 10 år, jf. UVM s tolkning Oplysninger om elever af betydning for årsrapporten slettes efter 5 år. Oplysninger om SPS-midler slettes efter 5 år Oplysninger om SU slettes (vist nok) efter 5 år Alle andre elevoplysninger kan (i princippet) slettes når eleven forlader skolen (dog i praksis ved udgangen af kalenderåret) Evt. logningsdata (herved forstås logning af elevers internettrafik på skolens netværk) slettes efter senest 6 måneder Når retten til at slette oplysninger i henhold til stx-lovgivningen aktualiseres, skal sletning kunne ske effektivt, jf. persondatalovgivningen. APVU Landsmøde 2017 25

Situation: Ansættelsesforhold Handling System/ database Dokument (evt. digitalt) slet Fagforening Medarbejder [*] Gymnasium Anden it-leverandør Forhandling af vilkår Sikker mail* Ansættelse? Nej Medarbejderen har ret til at få orientering om, at hans personoplysninger behandles Formål Hvilken hjemmel Hvem der evt. sker videregivelse til Hvornår sletning sker Ja: Ansættelsesbrev via E-Boks Oprettelse ESDH* P-sag Manuelt * Lecti o* Datakilde Manuelt Orientering om indhold i og pligter ifbm. opgavevaretagelse, Vilkår for brug af udstyr, mv. Kvittering for læsning Brugeradgange til systemer - AD (Outlook) - ESDH - LMS Manuelt * Opgavevaretagelse udlevering af itredskaber Databehandleraftale med leverandør af system Samtykke (slide nr. 25 om betingelser for gyldigt samtykke) * Foto på hjemmesiden Hvis samtykke tilbagekaldes Automatisk Lagring af samtykke Opsigelse/fratræden * Aflevering af itredskaber, nøgler, mv Manuelt * Sletning Slet * Mail E-Boks ESDH Rekrutteringssystem APVU Landsmøde 2017 * slet slet 26

Sletning - Medarbejderdata Personoplysninger om ansøgere, der ikke kom i betragtning til jobbet, skal slettes senest efter 6 måneder. U: hvis samtykke til længere opbevaring. Personoplysninger om medarbejdere kan opbevares indtil denne er fratrådt. Dvs. at der kan være situationer, hvor medarbejderens anmodning om sletning af visse oplysninger inden fratræden skal efterkommes Skolens afslag på at slette en personoplysninger: forvaltningsretlig afgørelse (høring, begrundelse, klagevejledning) Når en medarbejder er fratrådt, kan personoplysninger som tommelfingerregel opbevares i yderligere en periode, hvis skolen konkret har behov for det: HO: personoplysninger slettes 5 år efter fratræden (personalesagen) U1: personalesager for ansatte, der er født den 1. i måneden og medarbejdere i chefstillinger slettes ikke, jf. bilag 1 i bekendtgørelse om bevaring og kassation af arkivalier hos universiteter, erhvervsakademier, professionshøjskoler, ungdomsuddannelser m.fl. U2: hvis verserende sag om arbejdsskade, retssag eller arbejdsretlige tvister mellem medarbejderen og arbejdsgiver. I tilfælde af U1 eller U2: oplysningerne overføres til et arkiv i ESDH efter 5 år, hvortil kun meget få medarbejdere har adgang herfra kan de så hentes frem, hvis det bliver nødvendigt. APVU Landsmøde 2017 27

Om Tavshedspligt Som medarbejder på [*] Gymnasium skal man omgås personoplysninger med omtanke. Al information, der omhandler navngivne eller identificerbare fysiske personer (medarbejdere, kollegaer, elever, ansøgere, pårørende, bestyrelsesmedlemmer eller andre) er fortrolig og må ikke deles med nogen uden for [*] Gymnasium og heller ikke med kollegaer på [*] Gymnasium, der har andre arbejdsfunktioner end én selv. Dvs. at: - Man må gerne fortælle om sit arbejde - Men man må ikke dele fortrolige oplysninger om personer med uvedkommende - Hvis man kommer til dét, skal man forsøge at begrænse skaden APVU Landsmøde 2017 28

Om brug af CPR-numre CPR-numre må bruges til entydig identifikation eller som journalnummer, jf. persondataloven Omsat til hverdagssprog betyder det, at man må behandle CPR-numre som led i kerneopgaven Når man behandler CPR-numre som led i sine arbejdsopgaver, skal man være opmærksom på, at CPR-numre er fortrolige personoplysninger og derfor skal de: Kun kunne ses og behandles af de medarbejdere, hvis arbejdsopgaver berettiger til det Opbevares i sikre it-systemer og ikke andre steder Sendes via Sikker Mail (eller E-Boks), hvis de indgår i en mailkorrespondance Makuleres, hvis de indgår i et fysisk dokument og dokument er udtjent APVU Landsmøde 2017 29

Brugeradgange og rettigheder i administrative it-systemer Beskyttelse af fortrolighed og integritet kontrol med adgange Medarbejderne må kun behandle (dvs. bl.a. gemme) personoplysninger i de administrative itsystemer, som [*] Gymnasium har godkendt til formålet Den enkelte medarbejder gives adgang og rettigheder til it-systemerne ud fra en konkret vurdering af medarbejderens arbejdsopgaver. Personlige adgangskoder til systemer med personoplysninger må ikke deles Overflødiggjorte autorisationer lukkes. Har man som medarbejder systemadgangen eller -rettigheder, som (ikke længere) er nødvendige for at man kan udføre sine opgaver, skal man kontakte sin leder og få tilpasset sine rettigheder. Det bør kontrolleres løbende, at systemadgangene svarer til behovet APVU Landsmøde 2017 30

Behandling af personoplysninger i godkendte it-systemer Eksempel: Følgende administrative it-systemer på [*] Gymnasium er godkendt til opbevaring af persondata (af følsom eller fortrolig karakter): ESDH Statens lønsystem og LDV Navision stat [ ] Der må ikke gemmes personoplysninger i andre systemer eller på andre medier (undtagen ganske kortvarigt) Når personoplysninger modtages eller afsendes via Outlook skal personoplysningerne overføres til et af de godkendte it-system hurtigst muligt dog senest 1 måned efter sagsbehandlingen er afsluttet. Man bør derfor gennemgå sin Outlook (indbakke inkl. undermapper, sendt og slettet post) jævnligt, fx 1 x månedligt TIP: Lav en instruks om hvordan man sletter personoplysninger i usikre systemer, fx Outlook, stifinder, mv., så denne viden er lettilgængelig for medarbejderne APVU Landsmøde 2017 31

Sikker Mail Sikker Mail kan sendes på flere måder Sikker Mail skal bruges, når CPR-numre (og andre fortrolige eller følsomme personoplysninger ) sendes via e-mail uanset om CPR-oplysningerne fremgår af selve mailteksten, overskriften, vedhæftninger eller links. Man kan slippe for at bruge Sikker Mail, hvis man sletter eller overstreger alle CPR-numre mv. Det kan fx være en praktisk model, hvis modtageren ikke har en sikker mail-løsning. Husk at når den sikre mail er afsendt, skal den ikke blive liggende i sendt post i Outlook/E-Boks, men overføres til ESDH APVU Landsmøde 2017 32

Pas på persondata Sletning af datamedier forud for privat køb af udtjente arbejdsredskaber Giv besked til IT-afdelingen straks i tilfælde af tyveri af digitale arbejdsredskaber Brug af VPN ved arbejde udenfor skolens kablede net (hjemmearbejdsplads) Papirdokumenter der forlader skolens lokaler tages med retur til makulering Udlån ikke dine digitale arbejdsredskaber eller koder til andre Ved mistanke om læk af data: hav beredskab til at afklare, om der er sket et læk og dernæst til at håndtere lækket APVU Landsmøde 2017 33

God medarbejderadfærd - til forebyggelse af hackerangreb på skolens it-udstyr og it-systemer: Medarbejderne skal vide, at de skal holde deres digitale arbejdsredskaber (PC, bærbar computer, smartphone, tablet, mv.) ajour med de seneste versioner af software og antivirus, da det giver den bedste sikkerhed. Forebyg angreb med ransomeware ved at være skeptisk overfor e-mails, som er mistænkelige i sprog, layout eller den sammenhæng, man modtager dem i. Det gælder også, selvom mailen umiddelbart kommer fra en kendt afsender. Vær især forsigtig med at åbne links eller vedhæftninger, hvis mailen er mistænkelig. Tag ikke nødvendigvis en mail med betalingsinstruks fra din chef for gode varer den kan være falsk! APVU Landsmøde 2017 34

Ressourcer Påstand: der er behov for et dokumenthåndteringssystem Der skal anvendes it-systemer, som - Samler personoplysninger om ét sted. Personoplysninger tilhører ikke den enkelte medarbejder men gymnasiet. Derfor skal alle oplysninger ind i systemet - har en fast struktur dvs. hvor mapper ikke kan flyttes eller slettes (fx ved en fejl eller et uheldigt træk med musen som man måske ikke selv opdager). - muliggør at sager oprettes ensartet og dermed også kan findes frem via en søgning på metadata (emner, stikord, sagstyper, dato,) - Kan tildele og styre brugerroller og rettigheder - Er omfattet af login - muliggør digital forvaltning, fx aktindsigt via e-mail, udgående breve skal være sendt og gemt i uredigérbar version, - sikrer at udvalgte oplysninger, dokumenter og sager kan findes og slettes effektivt (når der ikke længere er et sagligt behandlingsgrundlag) - foretager systemlogning af alle behandlinger af personoplysninger (oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Lovgivningskrav. Med henblik på kontrol af, at kun autoriserede personer søger på og behandler persondata APVU Landsmøde 2017 35

Ressourcer Sikker mail-funktion System eller praksis til indsamling af samtykker Automatiserede slettefunktioner APVU Landsmøde 2017 36

Ressourcer Medarbejderne skal oplæres og støttes i at bruge systemerne indenfor de rammer, som ledelsen opstiller Ledelsen skal følge op på, om det sker mindst hvert halve år påse at adgangsrettighederne svarer til jobopgaverne Tage stikprøver af loggen Sørge for at holde retningslinjerne ajour Årshjul. APVU Landsmøde 2017 37

Datasikkerhed i hverdagssituationer særlige risikoområder Håndtering af sygefraværsoplysninger (diagnoser, samtykke, opbevaringens længde, sletning) Brug af mailsystemer (outlook som arkiv ) Behov for sikker mail til fortrolige og følsomme personoplysninger Samtykkeerklæringer vedr. behandling af personoplysninger (fotos af elever på hjemmesiden, kødkatalog, følsomme oplysninger ibm. Studievejledning og SPS) Læreres noter om og bedømmelser af elever klassens side Forebyggelse af snyd ved eksamen (varsling af kontrol af pc ere) Fratrædelse (e-mails, arbejdsredskaber, systemadgange, sletning) Sletning af elevoplysninger APVU Landsmøde 2017 38

Bud på leveregler for god databehandlingsskik 1. Brug adgangskode (eller fingeraftryk som adgangskode) på din computer, smartphone mv. og opdater med en ny, unik kode hver gang systemet beder om det (hvilket på computeren er hver 6. måned) eller oftere 2. Aktivér din pauseskærm, når du forlader dit skrivebord 3. Læg papirdokumenter med personoplysninger i aflåst skab, skuffe eller kontor, når du forlader dit skrivebord i længere tid og altid før du forlader arbejdspladsen 4. Papirdokumenter med personoplysninger skal altid bortskaffes ved makulering 5. Print der indeholder personoplysninger hentes i printeren straks. Overvej hvad du printer. 6. E-mails med personoplysninger sendes via E-Boks eller Sikker Mail 7. Alle filer og dokumenter med personoplysninger oprettes, behandles og gemmes i ESDH. 8. Hvis personoplysningerne er modtaget eller sendt via en mail, slettes mailen i Outlook senest 1 måned efter sagsbehandlingen er afsluttet. Hvis personoplysningerne stadig er relevante, når den nævnte måned er forløbet, gemmes mailen fremadrettet i ESDH og kun dér 9. Undlad at gemme personoplysninger på USB-nøgle, på skrivebordet på din bærbare computer eller lignende usikre steder. Brug VPN, hvis du arbejder på din computer ude af huset 10. Udvis fortrolighed om de personoplysninger, du bliver bekendt med som led i dine arbejdsopgaver videregiv ikke personoplysninger uden at være sikker på, at videregivelse må ske 11. Åben ikke mails der ser mistænkelige ud eller som kommer fra afsendere, du ikke kender 12. Bidrag til løbende at slette oplysninger og sager, der ikke længere er relevante. En sag vil sjældent være relevant, hvis der er forløbet mere end 3 år fra dens afslutning. 13. Kontakt nærmeste leder eller IT-administratoren hvis du bliver opmærksom på noget, du mener kan udgøre en risiko for sikkerheden for personoplysninger APVU Landsmøde 2017 39

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback