SKOLERNES DATABEHANDLERE OG RISIKOVURDERINGER
GDPR-teamets vurdering af app’s, digitale redskaber, hjemmesider mv. omfatter en afklaring af, om det digitale produkt lever op til nogle grundkrav om databeskyttelse, herunder Principperne for behandling af personoplysninger, jf. art. 5, Lovlig behandling, jf. art. 6, de registrerede personers rettigheder, herunder ret til indsigt, indsigelse, berigtigelse, begrænsning, sletning, klageadgang, jf. GDPR kapitel III.

GDPR-temaet har udarbejdet en oversigt over skolernes systemleverandører og databehandlere i et oversigtsark, som vi kalder ”Masterarket”. Med 25 partnerskoler, der hver især anvender egne foretrukne værktøjer og systemer, omfatter Masterarket p.t. mere end 200 (nye og ældre) vurderinger af it-systemer, digitale værktøjer, websider mv. Masterarket kan anvendes af det enkelte gymnasium til at finde nye digitale værktøjer, der eventuelt ønskes taget i brug i undervisningen. Masterarket kan derudover bruges som grundlag for skolens egen positivliste over systemer/værktøjer, som skolen anvender. Der er fire faner i Masterarket hhv. 1 Digitale værktøjer, 2 Hjemmesider & Links, 3 It-systemer og databehandlere og 4 Masterarkets opbygning + FAQ.

Inden et nyt værktøj tages i brug, er det essentielt, at skolen forholder sig til de anførte opmærksomhedspunkter samt til konklusionen, da det kan vise sig at være nødvendigt at tage eventuelle forholdsregler samt iværksætte lokale foranstaltninger inden ibrugtagen. I Masterarket er der i kolonne H for hver af systemleverandørerne lavet et link til det Faktaark, som indeholder risikovurderingen. Ses risiko for de registrerede høj, kan der efter en konkret vurdering udarbejdes en større og mere detaljeret særskilt Risikovurdering. For så vidt angår risikovurdering af Hjemmesider & Links udarbejdes der som udgangspunkt ikke særskilt Risikovurdering, og de relevante oplysninger fremgår af masterarket.

1. Tjenester, hvor der ikke behandles personoplysninger på vegne af skolen
Når eleverne bruger gratis undervisningsværktøjer, hjemmesider mv., indsamler leverandøren på egne vegne og til sit eget formål brugeroplysninger såsom IP-adresser, digitale fingeraftryk og placerer cookies mv. Skolerne har dog her en opgave i at tilse, at elevernes GDPR-rettigheder overholdes. Skolerne har med andre ord et dataetisk ansvar for, at der udelukkende bruges app’s, digitale redskaber og hjemmesider mv., der vurderes at indebære lav risiko for, at personoplysninger misbruges.

2. Tjenester, hvor der behandles personoplysninger på vegne af skolen
Ved siden af de gratis undervisningsværktøjer, hvor der håndteres ikke personoplysninger på vegne af skolen, jf. ovenfor, har skolerne også et spor (kategori) med digitale værktøjer, som skolerne administrerer, og ”hvor der behandles personoplysninger på vegne af skolen”, fx i forbindelse med hosting, web-services, support, vedligehold mv.

I mange tilfælde vil GDPR-teamet sige god for ibrugtagning af et digitalt værktøj (læringsplatforme, apps mv.), under forudsætning af at standard Husregler for digital undervisning (gymnasiefaellesskabet.dk) følges.

3. IT-systemer og platforme som skolen bruger administrativt
Dertil kommer også egentlige it-systemer og platforme, som skolerne bruger administrativt, og hvor der behandles personoplysninger om eleverne på vegne af skolerne. Af applikationer, der er omfattet af denne kategori, kan fx nævnes: Lectio, Zoom, Teams, Google Meet, Netprøver, diverse ordbogsplatforme samt feedback-programmer som Peergrade samt generelt alle platforme, der kan tilgås fx via UNI-login.

Fælles for tjenester (2) og systemer og platforme (3) er, at de behandler personoplysninger på vegne af skolen, hvorved skolen bliver dataansvarlig og leverandøren databehandler. Der er således tale om en databehandlerkonstruktion mellem skole og it-leverandør, og der skal derfor indgås en databehandleraftale med leverandøren. Der skal derudover føres løbende tilsyn med databehandleren, herunder med databehandleraftalen.

For hvert værktøj/program mv. oprettes en standardsag med værktøjets navn i DocuNote i arkivet Risikovurderinger.

Dokumenter der udarbejdes og lægges på sagen i Docunote under Risikovurderinger

  1. Efter en indledende screening/gennemgang af det digitale værktøj udfyldes et Faktaark, der bl.a. beskriver it-værktøjets funktionaliteter og formål, indsamling og behandling af personoplysninger samt vurderer en estimeret risiko for anvendelsen af værktøjet.

  2. Skærmprint, indscannede kopier eller links med Beskrivelser af it-værktøjets funktioner og med præcise kildehenvisninger fx til privatlivspolitik, Terms of Service (TOS) m.m. og de væsentligste kilder – så vidt muligt angives til sidst i arket.

  3. Databehandleraftale – hvis det ifølge faktaarket er relevant (altså hvis der er databehandler):

    Hvis leverandøren allerede har sin egen standard databehandleraftale, indhenter vi den, gennemgår den og udfylder et Hjælpeark til dokumentation af vores fund og evt. opmærksomhedspunkter, der skal afdækkes nærmere, inden vi kan anbefale skolerne at skrive under på databehandleraftalen. GF går i dialog (enten pr. mail eller telefonisk) med databehandleren om at få afdækket eller løst evt. bekymringspunkter.

    Hvis den konkrete leverandør ikke har sin egen standard databehandleraftale, bruger vi Datatilsynets skabelon til databehandleraftale.

  4. På grundlag af den i Faktaarket estimerede risiko vurderes det, om der er behov for at udarbejde en særskilt Risikovurdering og evt. derefter en konsekvensanalyse, hvis risikovurderingen munder ud i, at risikoen er høj. Hvis risikoen efter endt konsekvensanalyse fortsat vurderes til at være høj, skal Datatilsynet inddrages og godkende behandling af personoplysninger/ibrugtagning af systemet, forinden skolen må tage værktøjet/systemet i brug.

Når risikoafklaringen er afsluttet udfyldes Masterarket, hvorved skolerne på en nem måde kan tilgå relevante oplysninger i en kort form.

Skolernes datasikkerhedstovholdere har adgang til Masterarket i DocuNote, som kan tilgås ved at anvende genvejen herunder eller ved at gå direkte ind i DocuNote under stien ”Risikovurderinger af IT-systemer => Databehandleraftaler, risikovurderinger, faktaark, Masterark”. Genvej til det aktuelle Masterark i DN.
Som en ekstra service har vi lagt en kopi af Masterarket direkte ud på intranettet, men vær opmærksom på, at denne kopi ikke altid er den sidst opdaterede version, den findes kun i DocuNote. Som det ses af linket fremgår det, hvornår kopien sidst er blevet opdateret. Masterark i Excel pr. 28. februar 2024

Kontakt Databeskyttelsesteam Susanne, Pernille eller Lotte, hvis I har spørgsmål, eller send en mail til Denne e-mail adresse bliver beskyttet mod spambots. Du skal have JavaScript aktiveret for at vise den.