GDPR ved digital undervisning

STIL (Styrelsen for IT og læring) har fortalt skolerne, at skolen skal sikre sig, at de programmer der anvendes til fjernundervisning overholder databeskyttelsesforordningen (GDPR). Nedenfor fremgår de vigtigste punkter, som skolen skal tage stilling til i forhold til GDPR:

  • I forbindelse med valg af administrative systemer, læringsplatforme, programmer og app’s, skal skolens GDPR ansvarlige undersøge, om leverandøren bag programmet har adgang til elevers personoplysninger. I så fald, skal skolen indgå en databehandleraftale med leverandøren.
    De fleste leverandører har typisk en standardaftale, som er en integreret del af deres licensaftale. Databehandleraftalen regulerer blandt andet, hvordan leverandøren må behandle elevernes data, og hvor længe data må opbevares med videre.

  • Skolen skal sikre sig, at der laves en risikovurdering, inden der skrives under på databehandleraftalen/licensaftalen.

  • Risikovurderingen kan fx resultere i, at eventuelle standardindstillinger opsættes på en måde, der sikrer en hensigtsmæssig deling af persondata.

Ministeriets digitale læringsportal, EMU har i foråret 2021 opdateret deres vejledninger til, hvordan gratis app’s og tjenester kan bruges i undervisningen uden at gå på kompromis med beskyttelsen af elevers personoplysninger.

Vejledningernes fokus er sociale medieplatforme, som fx Twitter, Facebook* og YouTube, men principperne kan overføres 1:1 til produkter som fx Kahoot, Eduflow, DR.dk, Screencast-O-Matic, Videnskab.dk. Prezi, A Web Whiteboard, Adobe Cloud Document, Actionbound, Zetland og lign.

Ved anvendelse af nævnte produkter er hovedydelsen ikke, at der sker ”behandling af personoplysninger på vegne af skolen” - hvorfor der ikke skal indgås en ”databehandleraftale” - men at ydelsen i stedet er at stille fx nyhedsplatforme, quiz-værktøjer, redigeringsværktøjer mv. til rådighed med fokus på, at eleverne selv sørger for at give sig selv adgang til produkterne.

Når eleverne bruger produkterne, indsamler leverandøren på egne vegne og til sit eget formål brugeroplysninger såsom IP-adresser, digitale fingeraftryk, placerer cookies, mv.. Det er her, skolerne har en opgave i at holde hånden over elevernes GDPR-rettigheder.

Overordnet set handler vejledningerne om,

  • at skolerne har et dataetisk ansvar for udelukkende at bruge app’s, digitale redskaber og hjemmesider mv., der rummer en lav risiko for at personoplysninger misbruges.

Risikoafklaringen hjælper Gymnasiefællesskabets datasikkerhedsmedarbejdere skolerne med at få afdækket, når skolerne spørger GF om ”kan vi bruge denne app, hjemmeside mv.?”. Gymnasiefællesskabets vurdering af app’s, digitale redskaber, hjemmesider mv. omfatter nemlig en gennemgang af, om det digitale produkt lever op til nogle grundkrav om databeskyttelse, gennemsigtighed og hensyn til de registrerede personers rettigheder, herunder indsigt, indsigelse, berigtigelse, begrænsning, sletning, klageadgang.

Skolerne har til opgave aktivt at støtte eleverne i selv at være OBS på beskyttelsen af egne data. Dette sker ved at eleverne (i videst muligt omfang) sørger for at dataminimere ved fx at bruge dummy-oplysninger hvis det er nødvendigt at oprette en brugerprofil, ved ikke at logge ind med Facebook/egen mailadresse mv. og ikke at skrive fortrolige eller følsomme personoplysninger om sig selv og andre.

Gymnasiefællesskabet har gjort det nemt for skolerne i at foretage den nævnte støtte til eleverne ved fx at implementere og Gymnasiefællesskabets skabelon til ”Husregler for digital undervisning” og/eller ”Guidelines ved anvendelse af digitale/virtuel undervisning” som i tillæg til ”Husregler for digital undervisning” også rummer et bud på en ledelsestekst til det overordnede ansvar samt anbefalingen om at have en ”positivliste”.

Hvis gymnasiet ikke ønsker at anvende Gymnasiefællesskabets Masterark og med tilpasninger gøre det til gymnasiets egen ”positivliste” er her et alternativt eksempel på en positivliste.  

https://intra.gymnasiefaellesskabet.dk/service/datasikkerhed/Eksempel%20på%20positivliste%207.0.xlsx

Ved siden af de gratis app’s og tjenester, der bruges i undervisningen, og hvor der ikke håndteres personoplysninger på vegne af skolen, har skolerne også et spor (kategori) med digitale værktøjer, som skolerne administrere, og ”hvor der behandles personoplysninger på vegne af skolen” fx i forbindelse med hosting, web-services, support, vedligehold mv.. Dertil hører også it-systemer og platforme, som skolerne bruger administrativt og hvori, der behandlers personoplysninger om eleverne. Af applikationer, der er omfattet af denne kategori kan fx nævnes:

  • Lectio, Zoom, Teams, Google Meet, Netprøver, diverse ordbogsplatforme, feedback-programmer som fx Peergrade samt generelt alle platforme, der kan tilgås via UNI-login eller WAYF.

Fælles for disse systemers vedkommende er, at de behandler personoplysninger på vegne af skolen, hvorved skolen bliver dataansvarlig og leverandøren databehandler - dvs. der er tale om en databehandlerkonstruktion mellem skole og it-leverandør. Derfor skal produktet risikovurderes, der skal indgås en databehandleraftale med leverandøren, og der skal føres løbende tilsyn med databehandleren, herunder databehandleraftalen.

GF har udarbejdet følgende notat om, hvornår er der tale om en databehandlerkonstruktion:

Hvornår er der tale om en databehandlerkonstruktion?

Gymnasiefællesskabet har som inspirationskilde i forbindelse med skolernes eget forudgående arbejde med databeskyttelse og digital undervisning udarbejdet et bud på ”Guidelines ved anvendelse af digital/virtuel undervisning” til medarbejdere og elever i sikker brug af digitale læremidler, samt et bud på et sæt ”Husregler for digitale undervisning” til eleverne, som gymnasiet kan adoptere og tilpasse. 

Guidelines ved anvendelse af digital/virtuel undervisning (rettet mod ledelse, medarbejdere og elever)

Husregler for digital undervisning

Her finder du endvidere: