EU's persondataforordning (GDPR) trådte i kraft maj 2018. Efterskoleforeningen har i samarbejde med de øvrige skoleforeninger på det frie område udarbejdet en række vejledninger og værktøjer til skolerne. Klik på de enkelte mapper for at få adgang til materialet.

KNAP_VEJLEDNING   KNAP_samtykke_medarbejder 
KNAP_datamappe  KNAP_person_datapolitik
KNAP_Billeder_film KNAP_datastrom

 

Yderligere vejledning kan findes på Datatilsynets hjemmeside

FAQ eller ofte stillede spørgsmål
Efterskoleforeningen får rigtig mange spørgsmål fra skoler om persondataforordningen. Her har vi samlet svarene på de mest gængse.

Skal fysiske mapper med personoplysninger låses inde?
Svar: Ja. Uanset om personoplysninger opbevares fysisk eller elektronisk, skal skolen kunne godtgøre, at uvedkommende ikke har adgang til oplysningerne og herunder må oplysningerne ikke fortabes eller mistes. Konkret bør skolen foretage en konsekvens- og risikovurdering af konsekvenserne for de registrerede (og for skolen) ved tyveri eller tab af oplysningerne. Klasselister med navn og holdfordeling på elever er fx ikke lige så risikofyldte som personalemapper med personlighedstest, PPR-vurderinger, mv.

Man skal have samtykke til billeder. Gælder det også historisk materiale og årgangsbilleder på væggen?
Svar: Nej. Billeder og film, som skolen ejer og som ikke offentliggøres videre, er en del af skolens historie og kræver ikke samtykke at opbevare. Billeder på væggen er ikke digitale og er heller ikke en del af et register, som er kriteriet for at databehandling er omfattet af forordningen. Fremadrettet bør man dog oplyse om det, hvis der filmes til arrangementer på skolen med henblik på offentliggørelse. Vi anbefaler, at skolen opbevarer de samtykker, hvor elever/forældre har sagt NEJ til at skolen må bruge billeder af eleven/forældrene offentligt, således at disse kan sorteres fra, hvis billeder fra årgangen senere bruges offentligt/ i markedsføringsøjemed.

Skal vi have databehandleraftale med Google, Microsoft, Mailchimp, Dropbox, NETS, etc. etc.?
Svar: De afgørende kriterier for hvornår, der skal indgås databehandleraftale er følgende:
1. Om virksomheden behandler data på skolens vegne, og herunder om
2. Virksomheden handler efter instruks fra skolen som dataansvarlig.

Kriterierne medfører, at skolen skal have databehandleraftale med alle udbydere af tjenester, hvor data om skolens elever/forældre/medarbejdere/øvrige samarbejdspartnere behandles. Det gælder i første række udbydere af løsninger, hvor data behandles og/eller opbevares hos den eksterne virksomhed. Mest oplagte eksempler er Komit, Skoleplan, Skole-It, og andre udbydere af hosting-løsninger.
Uni-login er statens log-on-løsning og er skrevet ind i loven. Der skal derfor ikke indgås databehandleraftale med Uni-login. Det skal der derimod med de tjenester, der tilgår elevernes uni-login, som fx Gyldendal og Matematikfessor, mfl.

Nets betalingsservice er godkendt som betalingsinstitut under betalingstjenesteloven og underlagt tilsyn ved Finanstilsynet. Nets skriver på sin hjemmeside, at i det omfang, persondataforordningen medfører ændringer i de nuværende juridiske aftalegrundlag for brug af virksomhedens tjenester, vil dette blive indarbejdet løbende.

Microsoft garanterer overholdelse af forordningens krav ved brug af deres Cloud-løsninger og disse garantier er indarbejdet i virksomhedens standardkontrakter. De øvrige større tjenesteudbydere arbejder tilsyneladende på at blive klar til at forordningen træder i kraft 25. maj ved at flytte deres datacentre til EU, men der er endnu ikke kommet nogen garantier eller myndighedsudtalelser om lovligheden af at bruge disse tjenester til behandling af personoplysninger for skoler.

I skal til gengæld ikke indgå databehandleraftaler med en it-supporter, der alene yder support på skolens programmer og/eller hardware. Det afgørende kriterium her er, at supporteren ikke behandler data på skolens vegne. Til gengæld bør der udformes en fortrolighedserklæring, som sikrer at de pågældende ikke deler oplysninger, som er kommet til vedkommendes kendskab i medfør af arbejdet.

Facebook
Efterskoleforeningen kan ikke anbefale, at skolen anvender Facebook til kommunikation eller udveksling af oplysninger i forbindelse med skoledriften. I praksis overtager Facebook ejerskabet til alle oplysninger fra både private og virksomheder, som lægges på platformen og det bør ikke være et kriterium for optagelse som elev, at man har en facebook-profil. Personoplysninger om, hvor man befinder sig hvornår, eller at man er fraværende fra undervisning pga. sygdom, bør således ikke deles via Facebook eller tilknyttede apps (som fx Messenger).

Skal vi bruge sikker mail, når vi sender CPR-numre?
Svar: CPR-nummer er i persondataforordningens forstand en ’særlig kategori af oplysninger’, dvs. at det er danske regler for behandlingen, der gælder i og med, at cpr-nummer er en dansk opfindelse. Reglerne på området er, at man som dataansvarlig må behandle cpr-nummer, når man er lovgivningsmæssigt forpligtet til det eller har fået samtykke. Det er ikke en følsom oplysning, men må ikke offentliggøres uden samtykke. Man bør derfor bruge en sikker mailforbindelse, når der sendes materiale med cpr-numre og/eller følsomme oplysninger over internettet. Reglerne på området hedder, at offentlige myndigheder SKAL bruge sikker mail, mens private virksomheder anbefales at bruge sikker mail. Under alle omstændigheder er det skolen, der har ansvaret for, at kommunikation foregår under et tilstrækkeligt sikkerhedsniveau. Man kan ikke bruge argumentet, at det i første omgang var den registrerede selv, som fremsendte informationen og/eller, at der er givet indirekte samtykke.

De fleste online-tilmeldingsløsninger er krypterede og sikrer dermed, at information om cpr kan overføres til skolen via en sikker forbindelse.

Efterskoler har mulighed for at blive oprettet som både afsender og modtager af Digital Post (e-boks) efter samme regler som øvrige offentlige myndigheder. Løsningen er billig og forholdsvis effektiv. Efterskoleforeningen arbejder pt. på at klarlægge, hvordan systemet mere hensigtsmæssigt kan integreres med eksisterende administrations- og mailsystemer.

Nets har også en løsning til forsendelse af sikker mail ved hjælp af medarbejdersignatur, men den understøtter kun visse e-mailprogrammer.

Der findes andre løsninger, men disse har i nogle tilfælde den svaghed, at de forudsætter, at både afsender og modtager har installeret det pågældende program.

Hvilken løsning der passer bedst til jeres skole er således en lokal vurdering. Efterskoleforeningen hører gerne fra skoler, der har fundet gode løsninger på udfordringen med sikker e-mail.

CPR-nummer er i persondataforordningens forstand en ’særlig kategori af oplysninger’, dvs. at det er danske regler for behandlingen, der gælder i og med, at cpr-nummer er en dansk opfindelse. Reglerne på området er, at man som dataansvarlig må behandle cpr-nummer, når man er lovgivningsmæssigt forpligtet til det eller har fået samtykke. Det er ikke en følsom oplysning, men må ikke offentliggøres uden samtykke.

Må vi opbevare tidligere elevers kontaktoplysninger med henblik på at indkalde til jubilæer og andre arrangementer på skolen?
Principielt kræver det samtykke at behandle folks oplysninger, når det saglige formål med behandlingen (Skoleopholdet) er ophørt.

Fremadrettet bør skolen derfor som minimum oplyse om, at kontaktoplysningerne opbevares på skolen efter elevens afgang med henblik på at indkalde til jubilæer og andre relevante arrangementer på skolen. Det bør også fremgå, at man til enhver tid kan blive slettet fra listen ved henvendelse til skolens kontor. Næste gang der sendes e-mail eller post til gamle elever med indkaldelse til et arrangement, bør der indsættes en linje om, at man bedes svare tilbage, hvis man ikke længere ønsker at modtage invitationer fra skolen.

Ovenstående anbefaling er baseret på forordningens artikel 6, litra f) om legitime interesser og interesseafvejning som lovligt behandlingsgrundlag. Argumentet er, at skolen forfølger en legitim, ikke-kommerciel interesse, som de registrerede også formodes at have gavn af. Der er desuden tale om helt almindelige oplysninger, som ikke indebærer nogen risiko for de registrerede.

Dataansvar på statens systemer
Styrelsen for It og Læring (STIL) sendte i maj 2018 orienteringsbrev til alle skoler med information om fordeling af dataansvaret på de systemer, styrelsen stiller til rådighed for skolerne. Der er i den forbindelse tre muligheder, der gennemgås i orienteringsbrevet:

• Efterskolen er dataansvarlig
• STIL er dataansvarlig
• Dataansvaret er fælles mellem efterskolen og STIL

STIL har også udarbejdet et notat om baggrunden for udmøntning af dataansvaret samt to cirkulærer, der gør det ud for databehandleraftaler. Det betyder, at skolen ikke skal indgå databehandleraftaler med STIL om de pågældende systemer.

Brev med orientering om dataansvar og konsekvenser for undervisningssektoren
Baggrund om udmøntning af dataansvaret
Cirkulæreskrivelse om databehandler