En kort handledning för GDPR riktad till skolor och lärare

Image: karelnoppe / Shutterstock.com

Dataskydd är viktigt: det innebär integritet och respekt, samt frihet från manipulation. Icke desto mindre har viss ångest åtföljt EU:s GDPR (Allmänna dataskyddsbestämmelser). Behöver skolor anpassa sin arkivering? Vilken information anses vara känslig? Kan man fortfarande ha skoldata på en bärbar enhet? Denna handledning gör det lättare för dig att skydda dina elevers data - och förstå vad som händer med din egen.

Var medveten om skillnaden: personuppgifter och känslig data

Personuppgifter omfattar all information som kan hjälpa till att identifiera en person eller deras familj. I skolarkiv är detta deras namn, adress, kontaktuppgifter, disciplinära uppgifter, samt betyg och framstegsrapporter. Denna typ av uppgifter förblir ”personliga”, även om en person väljer att publicera dem.

En särskild kategori av data berör mer känsliga ämnen. När det gäller skolor omfattar denna kategori elevernas biometriska data (t. ex. fingeravtryck, foton), religiösa övertygelser (t. ex. en elev som väljer att inte gå på religionslektioner), hälsa (t. ex. allergier) eller kostbehov (som kan ge antydan om religion eller hälsa). Uppgifter i denna kategori kan utgöra en risk för människor och får därför endast behandlas under vissa förutsättningar. Skolor kommer sannolikt inte att kunna använda dem utan föräldrars medgivande.

Var medveten om skillnaden: registeransvariga och uppgiftsbehandlare

GDPR framhäver betydelsen av två roller, som kan vara antingen individer eller enheter: en registeransvarig bestämmer sättet för och syftet med databehandlingen, medan en uppgiftsbehandlare hanterar data på uppdrag av den registeransvarige. Dessa två parter har olika juridiska ansvar.

Skolan är oftast ”registeransvarig”, så den måste ha ett tydligt kontrakt med ”uppgiftsbehandlaren”. En uppgiftsbehandlare kan ta olika former: från en fotograf till ett makuleringsföretag, en nätbaserad inlärningsplattform eller en programvara. Alla operationer dessa enheter utför på uppgifter räknas som behandling, även om de är automatiserade: insamling, lagring, hämtning, förstöring etc.

God praxis: övervaka dig själv

Enligt den nya lagstiftningen måste skolor (precis som alla offentliga myndigheter) utse ett Personuppgiftsombud, en person som jobbar med GDPR. Dess jobb är att övervaka skolans politik, erbjuda utbildning, genomföra kontroller med mera. Men skolor kan inte räkna med att Personuppgiftsombudet upptäcker alla brister i deras system. Här är några frågor som alla borde fråga sig själva:

  1. På vilka grunder behandlar du data? Det finns sex lagliga grunder för att bearbeta data under GDPR. Mest relevant för skolor är den lagliga grunden offentligt uppdrag, vilket innebär att de använder uppgifterna för att utföra ett uppdrag av allmänt intresse. Däremot kan data som samlas in för detta ändamål inte återanvändas för ett annat ändamål. Skolan kan till exempel inte dela en förälders e-postadress med en tredje part som skapar skolevenemang genom att hävda att det är ett ”offentligt uppdrag”. För att dela datan, måste de söka en annan laglig grund, samtycke. Skolor bör också söka samtycke om de skapar ett elevkonto på en cloudtjänst.

  2. Vilka uppgifter hålls var, och vem har tillgång till dem? Skolorna bör genomföra en granskning av sina metoder för databehandling. När de har en fullständig översikt över personuppgifterna till deras förfogande kan de överväga det bästa sättet att skydda dem.

  3. Vilka säkerhetsåtgärder finns på plats? Dataöverträdelser görs inte alltid av hackers eller skadlig programvara - de kan också vara resultatet av en bärbar dator som glömts på ett tåg eller en nyfiken familjemedlem. Därför bör personalen endast lagra personuppgifter på skolutrustning, använda starka lösenord och ställa in enheterna på automatisk låsning efter fem minuter. Om personuppgifter laddas ned till flyttbara media, som ett USB-minne, måste de krypteras och lösenordsskyddas och hållas borta från andra användare. Personal bör också genomgå utbildning inom socialteknik, phishing, cloudteknik, ransomware-attacker och liknande.

  4. Vad vet föräldrar? Skolor ska utfärda ett meddelande om sekretess till föräldrar via en broschyr, ett nyhetsbrev, en rapport eller ett brev/e-postmeddelande: däri ska de ange de uppgifter de samlar in, anledningen till att de samlar in dem och de tredje parter som har åtkomst till dem. Tänk på att, under GDPR, kan föräldrar och elever kostnadsfritt begära att få granska den data som finns om dem.

God praxis: informera dig själv

Inte bara vuxna, utan också barn bör ha dataskydd i åtanke. Därför har det Gemensamma forskningscentret utvecklat mobilspelet Cyber Chronix, där spelarna måste ta itu med en rad GDPR-relaterade hinder på en futuristisk planet.

Om du vill veta mer om GDPR kan du också kontakta ditt lands dataskyddsmyndighet.

Du kan också läsa dessa publikationer, vilka bidragit till att skapa denna handledning:

Slutligen, ta denna 30-sekundars frågesport från 360data för att utvärdera din dataskyddspolicy!