DPO & Datasikkerhed
Vi bistår partnerskolerne med at leve op til GDPR-kravene og tilbyder blandt andet:

  • Rådgivning og sparring: Hjælp til fortolkning af regler og arbejdsgange
  • Risikovurderinger: Udarbejdelse og opdatering, der understøtter compliance
  • Kontrol af databehandlere: Kontrol med at databehandlere overholder GDPR-forpligtelser
  • Gennemgang af databehandleraftaler: Optimering af aftaler i samarbejde med leverandører
  • Sletning af data: Kontrol af, at leverandører sletter data fra opsagte eller forældede aftaler
  • Datasikkerhedsbrud: Rådgivning ved datalæk, herunder dialog med Datatilsynet
  • Årlige audits: Vurdering af skolernes GDPR-compliance og anbefalinger til forbedringer
  • Retningslinjer og værktøjer: Alverdens GDPR-skabeloner, skoledatasikkerhedshåndbog og politikker tilpasset skolernes behov
  • Netværk: Initiativer for GDPR-tovholdere til videndeling og erfaringsudveksling

GDPR-compliance funktionen i Gymnasiefællesskabet
GDPR-compliance funktionen bistår partnerskolerne med det løbende GDPR compliance-arbejde, og bistår/samarbejder med skolerne om blandt andet følgende opgavetyper:

  • Risikovurderinger (forudsætter lokale implementeringer) samt ajourføring af risikovurderinger
  • Analyser af behovet for databehandleraftaler, herunder bistand kvalitetssikring af databehandleraftaler samt stramning af databehandleraftaler
  • Kontrol med databehandleraftaler, herunder løbende tilsyn af databehandlere f.eks. assistance med at indhente og gennemgå revisionserklæringer mv., der leveres af eksterne databehandlere
  • Kontrol af at leverandører (databehandlere) får slettet forældede data i overensstemmelse med databehandleraftaler samt ved ophør af brug af værktøjer/system mv.

Risikovurderinger
Gymnasiefællesskabets GDPR-teams vurdering af app’s, digitale redskaber, hjemmesider mv. omfatter en afklaring af, om det digitale produkt lever op til nogle grundkrav om databeskyttelse, herunder Principperne for behandling af personoplysninger, jf. art. 5, Lovlig behandling, jf. art. 6, de registrerede personers rettigheder, herunder ret til indsigt, indsigelse, berigtigelse, begrænsning, sletning, klageadgang, jf. GDPR-kapitel III.
GDPR-temaet har udarbejdet en oversigt over skolernes systemleverandører og databehandlere i et oversigtsark, som vi kalder ”Masterarket”. Med 29 partnerskoler, der hver især anvender egne foretrukne værktøjer og systemer, omfatter Masterarket p.t. +250 (nye og ældre) vurderinger af it-systemer, digitale værktøjer, websider mv. Masterarket kan anvendes af det enkelte gymnasium til at finde nye digitale værktøjer, der eventuelt ønskes taget i brug i undervisningen. Masterarket kan derudover bruges som grundlag for skolens egen positivliste over systemer/værktøjer, som skolen anvender.

Kontrol med skolernes databehandlere og tilsynsrapporter
Det er lovpligtigt for dataansvarlige at føre kontrol med alle sine databehandlere. GF fører kontrol med alle de databehandlere, som vi risikovurderer og håndterer databehandleraftaler for på vegne af skolerne. Da der benyttes mange databehandlere, er det af ressourcemæssige hensyn nødvendigt at prioritere og indføre kriterier for med hvilket interval, der føres kontrol med de forskellige databehandlere. Kontrol med sletning af forældede personoplysninger indgår som en fast del af de alm. kontroller af skolernes databehandlere eller som led i de særlige/årlige slette-kontroller.

Kontakt:

  • Pernille (DPO/Juridisk konsulent): Denne e-mail adresse bliver beskyttet mod spambots. Du skal have JavaScript aktiveret for at vise den.
  • Susanne (GDPR-konsulent): Denne e-mail adresse bliver beskyttet mod spambots. Du skal have JavaScript aktiveret for at vise den.
  • Lotte (Juridisk konsulent): Denne e-mail adresse bliver beskyttet mod spambots. Du skal have JavaScript aktiveret for at vise den.
  • Helle (administrativ bistand): Denne e-mail adresse bliver beskyttet mod spambots. Du skal have JavaScript aktiveret for at vise den.

DPO-funktionen i Gymnasiefællesskabet
Styregruppen oprettede i 2017 et datasikkerhedssamarbejde. Alle partnerskolerne deltager i samarbejdet. Den europæiske databeskyttelsesforordning har siden 25. maj 2018 stillet krav om, at offentlige myndigheder og institutioner udpeger en DPO. ”DPO” er en forkortelse af ”Data Protection Officer” – på dansk: ”databeskyttelsesrådgiver”. DPO-funktionen er et element i databeskyttelsesforordningens fokus på ”ansvarlighed” og ”dokumentation” i forhold til databeskyttelse. DPOen skal være uafhængig og skal være i stand til at udøve uvildig rådgivning. Som led i partnerskolernes data-sikkerhedssamarbejde varetager Gymnasiefællesskabet den lovpligtige funktion som partnerskolernes DPO.

DPO-funktionen rådgiver den dataansvarlige skole og overvåger og bistår skolerne med at efterleve reglerne om databeskyttelse. Hvad der konkret ligger i denne opgave afhænger af den enkelte skoles situation, behov og prioriteringer, hvorfor DPO-funktionen er i tæt kontakt med den enkelte skole om indholdet af rådgivningsopgaven. DPO- funktionen kan blandt andet bidrage med følgende ydelser:

  • Konkret undervisning, dialog, besvarelse af spørgsmål, tolkning af regler og udtalelser, vejledning
  • Løbende feedback ifht. skolens efterlevelse af de databeskyttelsesretlige regler i organisationen
  • Overvågning og kvalitetssikring af, at forudsætninger for skolens lovlige behandling af personoplysninger er til stede, herunder at:
    Skolen har politikker om databeskyttelse (og disse er er kendt af de relevante medarbejdere, de ajourføres løbende og de påses overholdt fra ledelses side)

Skolen uddanner sit personale i databeskyttelse

Skolen har oplysningskampagner

Skolen har overblik over hvem, der er ansvarlig for hvad i organisationen

Skolen indhenter og gennemgår revisioner af fx studieadministrative systemer og øvrige væsentlige it-systemer, der leveres af eksterne databehandlere

Skolen løbende gennemfører en aktiv vurdering af, hvilke sikkerhedsforanstaltninger (tekniske og organisatoriske), som skal anvendes for at begrænse risici i forhold til de registreredes rettigheder og interesser

  • DPO-funktionen er kontaktpunkt for tilsynsmyndigheden (Datatilsynet) samt alle medarbejdere, elever (og deres værger) om alle spørgsmål om skolens behandling af personoplysninger og om udøvelse af deres rettigheder efter databeskyttelsesforordninge
  • DPO-funktionen bistår skolen med at håndtere konkrete klagesager, som indbringes for Datatilsynet.
  • På skolens konkrete anmodning bistår DPO-funktionen skolen med at håndtere sager om læk af personoplysninger, herunder bistand til at foretage anmeldelse af læk til Datatilsynet og evt. også til de berørte registrerede personer. Det er skolen selv, der beslutter, om der skal ske anmeldelse til Datatilsynet og til de registrerede personer. Skolen rådfører sig med DPO-funktionen herom.

Kontakt: