Intranet

Nyhedsbreve - 2024
GF Nyhedsbrev 9/2024
GF Nyhedsbrev 8/2024
GF Nyhedsbrev 7/2024
GF Nyhedsbrev 6/2024
GF Nyhedsbrev 5/2024
GF Nyhedsbrev 4/2024
GF Nyhedsbrev 3/2024
GF Nyhedsbrev 2/2024
GF Nyhedsbrev 1/2024

GDPR ved digital undervisning

STIL (Styrelsen for IT og læring) har fortalt skolerne, at skolen skal sikre sig, at de programmer der anvendes til fjernundervisning overholder databeskyttelsesforordningen (GDPR). Nedenfor fremgår de vigtigste punkter, som skolen skal tage stilling til i forhold til GDPR:

I forbindelse med valg af administrative systemer, læringsplatforme, programmer og app’s, skal skolens GDPR ansvarlige undersøge, om leverandøren bag programmet har adgang til elevers personoplysninger. I så fald, skal skolen indgå en databehandleraftale med leverandøren.
De fleste leverandører har typisk en standardaftale, som er en integreret del af deres licensaftale. Databehandleraftalen regulerer blandt andet, hvordan leverandøren må behandle elevernes data, og hvor længe data må opbevares med videre.
Skolen skal sikre sig, at der laves en risikovurdering, inden der skrives under på databehandleraftalen/licensaftalen.
Risikovurderingen kan fx resultere i, at eventuelle standardindstillinger opsættes på en måde, der sikrer en hensigtsmæssig deling af persondata.

Ministeriets digitale læringsportal, EMU har i foråret 2021 opdateret deres vejledninger til, hvordan gratis app’s og tjenester kan bruges i undervisningen uden at gå på kompromis med beskyttelsen af elevers personoplysninger.

Vejledningernes fokus er sociale medieplatforme, som fx Twitter, Facebook* og YouTube, men principperne kan overføres 1:1 til produkter som fx Kahoot, Eduflow, DR.dk, Screencast-O-Matic, Videnskab.dk. Prezi, A Web Whiteboard, Adobe Cloud Document, Actionbound, Zetland og lign.

Ved anvendelse af nævnte produkter er hovedydelsen ikke, at der sker ”behandling af personoplysninger på vegne af skolen” - hvorfor der ikke skal indgås en ”databehandleraftale” - men at ydelsen i stedet er at stille fx nyhedsplatforme, quiz-værktøjer, redigeringsværktøjer mv. til rådighed med fokus på, at eleverne selv sørger for at give sig selv adgang til produkterne.

Når eleverne bruger produkterne, indsamler leverandøren på egne vegne og til sit eget formål brugeroplysninger såsom IP-adresser, digitale fingeraftryk, placerer cookies, mv.. Det er her, skolerne har en opgave i at holde hånden over elevernes GDPR-rettigheder.

Overordnet set handler vejledningerne om,

at skolerne har et dataetisk ansvar for udelukkende at bruge app’s, digitale redskaber og hjemmesider mv., der rummer en lav risiko for at personoplysninger misbruges.

Risikoafklaringen hjælper Gymnasiefællesskabets datasikkerhedsmedarbejdere skolerne med at få afdækket, når skolerne spørger GF om ”kan vi bruge denne app, hjemmeside mv.?”. Gymnasiefællesskabets vurdering af app’s, digitale redskaber, hjemmesider mv. omfatter nemlig en gennemgang af, om det digitale produkt lever op til nogle grundkrav om databeskyttelse, gennemsigtighed og hensyn til de registrerede personers rettigheder, herunder indsigt, indsigelse, berigtigelse, begrænsning, sletning, klageadgang.

Skolerne har til opgave aktivt at støtte eleverne i selv at være OBS på beskyttelsen af egne data. Dette sker ved at eleverne (i videst muligt omfang) sørger for at dataminimere ved fx at bruge dummy-oplysninger hvis det er nødvendigt at oprette en brugerprofil, ved ikke at logge ind med Facebook/egen mailadresse mv. og ikke at skrive fortrolige eller følsomme personoplysninger om sig selv og andre.

Gymnasiefællesskabet har gjort det nemt for skolerne i at foretage den nævnte støtte til eleverne ved fx at implementere og Gymnasiefællesskabets skabelon til ”Husregler for digital undervisning” og/eller ”Guidelines ved anvendelse af digitale/virtuel undervisning” som i tillæg til ”Husregler for digital undervisning” også rummer et bud på en ledelsestekst til det overordnede ansvar samt anbefalingen om at have en ”positivliste”.

Hvis gymnasiet ikke ønsker at anvende Gymnasiefællesskabets Masterark og med tilpasninger gøre det til gymnasiets egen ”positivliste” er her et alternativt eksempel på en positivliste.

https://intra.gymnasiefaellesskabet.dk/service/datasikkerhed/Eksempel%20på%20positivliste%207.0.xlsx

Ved siden af de gratis app’s og tjenester, der bruges i undervisningen, og hvor der ikke håndteres personoplysninger på vegne af skolen, har skolerne også et spor (kategori) med digitale værktøjer, som skolerne administrere, og ”hvor der behandles personoplysninger på vegne af skolen” fx i forbindelse med hosting, web-services, support, vedligehold mv.. Dertil hører også it-systemer og platforme, som skolerne bruger administrativt og hvori, der behandlers personoplysninger om eleverne. Af applikationer, der er omfattet af denne kategori kan fx nævnes:

Lectio, Zoom, Teams, Google Meet, Netprøver, diverse ordbogsplatforme, feedback-programmer som fx Peergrade samt generelt alle platforme, der kan tilgås via UNI-login eller WAYF.

Fælles for disse systemers vedkommende er, at de behandler personoplysninger på vegne af skolen, hvorved skolen bliver dataansvarlig og leverandøren databehandler - dvs. der er tale om en databehandlerkonstruktion mellem skole og it-leverandør. Derfor skal produktet risikovurderes, der skal indgås en databehandleraftale med leverandøren, og der skal føres løbende tilsyn med databehandleren, herunder databehandleraftalen.

GF har udarbejdet følgende notat om, hvornår er der tale om en databehandlerkonstruktion:

Hvornår er der tale om en databehandlerkonstruktion?

Gymnasiefællesskabet har som inspirationskilde i forbindelse med skolernes eget forudgående arbejde med databeskyttelse og digital undervisning udarbejdet et bud på ”Guidelines ved anvendelse af digital/virtuel undervisning” til medarbejdere og elever i sikker brug af digitale læremidler, samt et bud på et sæt ”Husregler for digitale undervisning” til eleverne, som gymnasiet kan adoptere og tilpasse.

Guidelines ved anvendelse af digital/virtuel undervisning (rettet mod ledelse, medarbejdere og elever)

Husregler for digital undervisning

Her finder du endvidere:

EMUs vejledning om, hvordan gratis app’s og tjenester kan bruges i undervisning uden at gå på kompromis med elevers data findes på: https://emu.dk/eud/it-og-digitalisering/gratis-apps-og-tjenester-i-undervisningen
EMUs plakat til undervisere findes på: https://emu.dk/sites/default/files/2021-08/Plakat_Gratis-apps-og-tjenester_09082021_0.pdf
Plakaten kan udskrives og hænges op i eksempelvis et forberedelseslokale og hjælpe med at fastholde fokus på datasikkerhed
Tre gode spørgsmål du bør stille, før du bruger gratis app’s og tjenester i undervisningen findes på:
https://emu.dk/sites/default/files/2021-08/Tre%20gode%20sp%C3%B8rgsm%C3%A5l_tjekliste_09082021_0.pdf
EMUs vejledning om, hvordan man på forsvarlig vis kan anvende sociale medier i undervisningen uden at gå på kompromis med beskyttelsen af elevers data. Indeholder cases om bl.a. Twitter, Facebook og YouTube.
Vejledning til sikker brug af sociale medier og digitale værktøjer i undervisning (emu.dk)

Dette er Gymnasiefællesskabets interne side til partnerskolerne i datasikkerhedssamarbejdet
På denne side ligger Gymnasiefællesskabets skabeloner med standardformuleringer til elever, medarbejdere, databehandleraftaler, fortegnelser, links, tjeklister og overbliksdokumenter til ledelsen mv. samt Gymnasiefællesskabets seneste skabelon til "Skolehåndbog i behandling af personoplysninger".
For at tilgå diverse skabeloner og værktøjer skal du have adgang til Gymnasiefællesskabets intranet evt via VPN adgang.

Datasikkerheds- og DPO-samarbejdet består af følgende ydelser:
- DPO-funktionens kontrol- og rådgivningsydelser i medfør af GDPR
- En implementeringsfunktion der bistår partnerskolerne med compliance-arbejdet, daglige driftsopgaver og assistance til udarbejdelse og implementering af redskaber/skabeloner, der sikrer datasikkerheden.

Både datasikkerhedssamarbejdets implementeringsfunktion samt DPO-funktionen indgår i tæt samarbejde med partnerskolernes lokale datasikkerhedstovholdere/GDPR-teams. DPO-funktionen og datasikkerhedssamarbejdets implementeringsfunktion er adskilte funktioner og samarbejder efter behov.

DPO-funktionen rådgiver den dataansvarlige skole og overvåger og bistår skolerne med at efterleve reglerne om databeskyttelse. Hvad der konkret ligger i denne opgave afhænger af den enkelte skoles situation, behov og prioriteringer, hvorfor DPO-funktionen er i tæt kontakt med den enkelte skole om indholdet af rådgivningsopgaven.

Implementeringsfunktionen bidrager til skolernes praktiske implementering af tiltag og driftsopgaver, som DPO-funktionen i medfør af GDPR alene må rådgive om. Dermed sikres kravene i GDPR om, at DPO-funktionen skal være uafhængig og skal udøve kontrol men ikke må udøve kontrol af eget arbejde. Samtidig sikres det, at skolerne får den praktisk assistance til udførelse af implementeringsopgaver, som der kan være forskellige og driftsmæssige behov for. Implementeringsfunktionen bidrager blandt andet med løbende bistand til risikovurdering af skolens it-set up samt bistand med løbende kontrol af databehandleraftaler med de databehandlere, der fremgår af GF’s databehandlerark, som tovholderne har adgang til.

Kontrol med databehandlere og tilsynsrapporter
Det er lovpligtigt for dataansvarlige at føre kontrol med alle sine databehandlere.

GF fører kontrol med alle de databehandlere, som vi risikovurderer og håndterer databehandleraftaler for på vegne af skolerne. Da der benyttes mange databehandlere, er det af ressourcemæssige hensyn nødvendigt at prioritere og indføre kriterier for med hvilket interval, der føres kontrol med de forskellige databehandlere.

Kriterierne for udvælgelse af leverandør til årlig kontrol

Der føres årlig kontrol med leverandører af de administrative IT-systemer, som leverer kritiske systemer, herunder DocuNote, Gymbetaling og HR-Databasen, Lectio, Whistleblower Software
Der føres årlig kontrol med skolernes databehandlere, der behandler følsomme eller fortrolige personoplysninger
Der føres årlig kontrol med sletning af forældede personoplysninger i Unilogin for skolernes (ca. 40) databehandlere, der anvender Unilogin, mhp. overholdelse af princippet om dataminimering

Bemærk at kontrol af sletning af forældede personoplysninger indgår som en fast del af alle kontroller, så almindelig kontrol og slette-kontrol kan med fordel koordineres.

Derudover udvælges løbende 3-5 undervisningsværktøjer og 3-5 såkaldt andre databehandlere, fx leverandører af tidsregistreringssystem, parkeringssystem o.l., til kontrol.

Procesbeskrivelse for kontrol med databehandlere

I forbindelse med kontrollen:

indhentes databehandlerens informationssikkerhedserklæringer af typen ISAE 3402, ISAE 3000, ISO 27001 eller en revisorpåtegnet ledelseserklæring, og hvis databehandleren ikke kan præstere en af de nævnte erklæringer, tilsendes pågældende GF´s kontrolspørgsmål
erklæringen/kontrolspørgsmålene gennemgås og sammenlignes med leverandørens databehandleraftale
det kontrolleres specifikt, om databehandleren sletter forældede personoplysninger
der gås i dialog med databehandleren, hvis noget giver anledning til bekymring
hvis en kontrol afslører hidtil ukendte risici eller ændringer, opdateres risikovurderingen, herunder ajourføres faktaark, Masterark og diverse oversigter
der udarbejdes tilsynsrapporter for de ovennævnte kritiske systemer og systemer, som behandler fortrolige og/eller følsomme personoplysninger samt de udvalgte undervisningsværktøjer og andre databehandlere.

Relevante skabeloner
Oversigt Kontrol med databehandler indeholder en plan, der bl.a. viser, hvor ofte og hvornår der bør føres tilsyn med den enkelte databehandler.
GF´s Kontrolspørgsmål til databehandlere
Skabelon ̶ Databehandler tilsynsrapport

Herunder ses tilsynsrapporter udarbejdet i 2024:

Tilsynsrapport for Gymnasiefællesskabet