Digital kompetens

Dataskyddsförordningen

Allt samlat på en sida

Vad är dataskyddsförordningen?

Dataskyddsförordningen (DSF) är det svenska namnet för General Data Protection Regulation (GDPR). Den gäller från den 25 maj 2018 och syftet är att skydda Europas medborgares personuppgifter från att missbrukas.

Förenklat kan man beskriva det som att du lånar ut dina personuppgifter till företag och organisationer. Bara de du lånat ut uppgifterna till har rätt att behandla dem (behörighet) och de måste göra sig av med uppgifterna när de inte längre behöver dem eller har rätt att använda dem (gallring).

Vad är nytt?

Det flesta krav som finns i dataskyddsförordningen fanns redan tidigare i personuppgiftslagen (PuL). En viktig förändring är att det svenska undantaget för att skriva personuppgifter i löpande text nu är borttaget. Du måste alltså hantera personuppgifter i löpande text med samma försiktighet som i listor och tabeller.

Bötesbeloppen för missbruk är högre och du måste agera snabbare om något hänt. Annars är det, precis som tidigare, viktigt hur du formulerar dig om eleverna/brukarna/kollegorna (se fallgropar och case nedan).

Förhållningssätt

Den lagliga grunden för vårt myndighetsutövande är det som styr hur vi får hantera personuppgifter. Det kan vara frestande att använda elevlistor/register till andra ändamål än vad de ursprungligen är avsedda för. -”Kan jag inte bara sammanställa alla mina elever i ett klasskonferensdokument och dela med hela skolan?” Om du funderar på hur du kan använda personuppgifter i ditt arbete kan ta hjälp av följande frågor:

  • Finns det laglig grund för att behandla personuppgifterna på detta sätt?
  • Är systemet jag använder tillåtet för den typ av personuppgifter jag vill skriva in? (Känslighetsgrad)
  • Har alla rätt att läsa om den person jag skriver om? (Behörighet)
  • Är jag säker på att dokumentet gallras när jag inte längre behöver det för att slutföra min arbetsuppgift? (Gallring)

Laglig grund

Skolan får och ska behandla elevers personuppgifter när det finns en laglig grund för detta. Detta har vi i många fall genom vår myndighetsutövning, men även utifrån den lagliga grunden allmänt intresse. Det finns totalt 6 lagliga grunder för behandling av personuppgifter.

I företagens värld är samtycke den vanligaste lagliga grunden, d.v.s. att du godkänner att företaget får använda dina personuppgifter. I skolans värld ska samtycke undvikas - endast när det inte finns andra lagliga grunder kan samtycke användas.

Samlade personuppgifter är enligt DSF ett register. Som skolorganisation behöver vi, för att kunna fullgöra vårt uppdrag, bl.a. elevregister (för betygsättning, närvarohantering, ansökan till gymnasiet m.m.) och personalregister (för löneutbetalning m.m). Huvudmannens ansvar är att säkerställa att alla sådana register är registrerade hos den personuppgiftsansvarige (utbildningsnämnden - UBN) och att ändamålet för registren är godkända och har laglig grund.

Lärare har också material som ligger till grund för myndighetsutövningen, betygsättning, egna listor/register (på papper eller digitalt) där de dokumenterar kunskapsutvecklingen för sina elever/klasser. Även dessa arbetsmaterial är register och ska hanteras i enlighet med DSF.

Introduktion DSF

Datskyddsförordningen på en dryg minut.


Begrepp

Personuppgift

En personuppgift är all typ av information som kan identifiera en levande person. (namn, personnummer, fingeravtryck, DNA m.m.).

I skolan hanterar vi personuppgifter inom ramen för vårt myndighetsutövande. Personuppgifter är emellertid olika skyddsvärda enligt DSF. När du hanterar känsliga eller integritetskänsliga personuppgifter ställs särskilda krav på hur du hanterar dem, i vilket system.

Känsliga personuppgifter

  1. etniskt ursprung,
  2. politiska åsikter,
  3. religiös eller filosofisk övertygelse,
  4. medlemskap i fackförening,
  5. hälsa
  6. sexualliv eller sexuell läggning
  7. biometriska uppgifter (exempelvis fingeravtryck)

I skolan hanteras bara känsliga personuppgifter när det finns grund för det i vårt myndighetsutövande. Det kan vara att en elev läser hemspråk (avslöjar etnicitet) eller att elevhälsan registrerar uppgifter om elevers hälsa. De system som hanterar dessa uppgifter har särskilt höga krav på säkerhet och behörighet. Som lärare och rektor ska du utforma undervisningen så att inte känsliga personuppgifter inhämtas. Flytta aldrig uppgifter som är känsliga ut ur system som har rätt att förvara dessa.

Integritetskänsliga personuppgifter (uppgifter som inte är känsliga enligt definitionen ovan, men ändå extra skyddsvärda) Exempelvis:

  • Betygsunderlag och omdömen i svit
  • Bedömningar
  • Uppgifter om hemförhållanden och beteendeproblematik
  • Fullständigt personnummer

I skolan hanterar vi ofta integritetskänsliga personuppgifter. Dessa får emellertid bara behandlas om det är nödvändigt och i system med extra skydd. Det är därför som vissa delar i Hjärntorget (bedömningsmatriser, utvecklingssamtal) ligger bakom tvåstegsinloggning. Som lärare och rektor är det viktigt att säkerställa att du bara hanterar dessa uppgifter i system som är godkända för detta.

Om du hanterar uppgifter som ligger i den röda eller gula kvadraten ska du vara helt säker på att du har rätt att hantera dessa uppgifter över huvud taget och att du bara använder IT-system som är godkända för hantering av denna typ av uppgifter.

Behörighet

I skolan har vi olika behörighet till våra IT-system. Alla lärare kan t.ex. inte se alla elevers resultat, alla rektorer kan inte se alla elevers frånvaro. Begränsningar i behörighet följer personuppgifternas känslighetsgrad. Ju känsligare uppgifter systemen hanterar desto färre personer har behörighet att använda dem. UBF hanterar känsliga personuppgifter om hälsa i bl.a. PMO och det är därför bara rektorer och viss elevhälsopersonal som har behörighet där. Behörigheten är också begränsad till de elever som t.ex. elevhälsopersonalen har i sin organisation.

I grunden kan man tänka att som myndighetsutövare har jag bara rätt att se och behandla uppgifter för de elever som finns inom mitt myndighetsutövande. Exempelvis:

  • En rektor på ett program har inte rätt att se en annan rektors elever.
  • En specialpedagog har bara rätt att se information om de elever som hen faktiskt hanterar.
  • En lärare i Kinesiska har inte rätt att se eller behandla uppgifter för en elev i matematik.

Tre tips för dig som hanterar personuppgifter

  1. Låta bli att samla in, använda eller lagra personuppgifter om du inte behöver det.
  2. Ta bort så många personliga identifierare som möjligt vid korrespondens (t.ex. epost)
  3. Radera uppgifterna så snart aktiviteten/syftet med att du samlade in uppgifterna är slut - enligt stadens rutiner.

Vi får bara lagra/låna personuppgifter så länge som de behövs för att uppfylla ändamålet och den lagliga grunden. Det innebär att våra system behöver rensas/gallras enligt vissa tidsintervall. Ibland har vi inbyggda och automatiserade gallringsfunktioner som t.ex. när en elev slutar gymnasiet så plockas eleven ut ur Gerda, Hjärntorget och Google eftersom vi inte längre har laglig grund att spara elevens uppgifter. Vissa uppgifter måste emellertid sparas enligt andra lagar t.ex. betyg som ska sparas enligt arkivlagen.

Det arbetsmaterial som du har till grund för myndighetsutövningen ska inte lagras enligt arkivlagen. Arbetsmaterialet ska rensas eller avidentifieras när det inte längre behövs.

Ny dokumenthanteringsplan för UBF kommer att tas fram under hösten 2018 (förutom när det gäller ekonomi- och räkenskapsinformation - denna del finns redan upprättad [läs mer >>]). Fram tills dess bevaras handlingar som är upprättade efter 2015-12-31, om det inte gäller "handlingar av tillfällig eller ringa betydelse". Handlingar upprättade före detta datum följer den gamla dokumenthanteringsplanen.

För mer information titta in på länkarna nedan.

Personuppgiftsincident

En personuppgiftsincident är när personuppgifter har hamnat hos personer som inte har rätt att se dem; de saknar behörighet. Den kan uppkomma genom att du skickat något till fel mottagare eller att din IT-tjänst blivit hackad. Om du upptäcker att en personuppgiftsincident inträffat - kontakta dataskyddskontakten omgående.

Centrala roller i dataskyddsförordningen

Den registrerade är den person vars personuppgifter vi behandlar, exempelvis våra elever och anställda.

Personuppgiftsansvarig är den som är ytterst ansvarig för att personuppgiftshanteringen följer dataskyddsförordningen. Hos oss är det nämnden.

Dataskyddsombudet (Intraservice) har till uppgift att kontrollera och säkerställa att hanteringen av personuppgifter sker på ett korrekt sätt. Tillsynsansvar.

Dataskyddskontakt är Utbildningsförvaltningens kontaktperson gentemot dataskyddsombudet och dataskyddsenheten på Intraservice. På UBF är det jurist Henrik Hoffmeister.

Personuppgiftsbiträdet är den part som behandlar personuppgifter på uppdrag av den personuppgiftsansvarige. Det kan till exempel vara en leverantör av ett digitalt verktyg - ex. Google, Microsoft.

Registeransvarig behövs för varje system som används. Registeransvarig är vanligtvis en chef på din skola eller ditt område.

Fallgropar

Fler uppgifter än ändamålet kräver samlas in

Hur borde jag göra?

  • Om ändamålet bara kräver att jag samlar in namn, personnummer och adress så ska vi inte samla in något mer än det. Oavsett om vi kan komma att behöva det senare.

Kommunikation/ E-post

  • Använd så få personuppgifter som möjligt i digitala kommunikationstjänster.
  • Gallra bort icke nödvändig information som riskerar att vara känslig eller integritetskänslig innan du skickar t.ex. SMS, PIM eller E-post.
  • Tänk på att ta bort tidigare kommunikation som riskerar att vara känslig eller integritetskänslig vid svar eller om du skickar ett meddelande vidare.
  • Måste du skicka känsliga personuppgifter ska "Konfidentiellt mail" användas.
  • Får du känsliga personuppgifter via e-post - flytta till rätt system.
  • Utnyttja förvaltningens kommunikationstjänster i första hand.

Anvisade tjänster eller godkända processer/register för behandling av personuppgifter

Alla tjänster eller register som innehåller personuppgifter ska vara registrerade och godkända för användande hos huvudmannen. Det innebär att

  • det genomförts en riskanalys och informationssäkerhetsklassning
  • att syftet med behandlingen är klargjort och dokumenterat
  • att ett personuppgiftsbiträdesavtal tagits fram (reglerar hur IT-leverantören får använda personuppgifterna)
  • att en användarinstruktion tagits fram där bla gallring och behörighet beskrivs

För nya IT-system tar IT-avdelningen alltid fram användarinstruktioner (appar och Tjänster UBF).

Anvisade system

Du har inte rätt att säga till (anvisa) elever att ladda ner/använda vilken app eller molntjänst som helst. Ändamål, laglig grund, användarinstruktion, riskanalys och informationssäkerhetsklassning samt personuppgiftsbiträdesavtal måste vara upprättat om systemet hanterar personuppgifter. Det räcker att du loggar in med din e-post för att systemet anses hantera personuppgifter. Först när appen/tjänsten är godkänd och användandet sker enligt uppsatt ändamål är den ok att använda. Vänd dig till avdelningen för digitalisering och innovation så hjälper de dig att undersöka en tjänst som inte redan blivit godkänd. Följande tjänster är anvisningsbara på UBF.

Personuppgiftsbiträdesavtal

När vi anlitar företag/organisationer som får tillgång till våra och/eller våra elevers personuppgifter krävs ett skriftligt avtal, ett personuppgiftsbiträdesavtal (PUB), mellan Utbildningsförvaltningen (nämnden) och biträdet (tjänsteleverantören).

Case ger kunskap

Läs och testa dig själv i våra case riktade till: lärare, rektor eller annan skolpersonal.


Registeransvar (för dig som är skolledare/chef)

För alla system eller register ska det finnas en ansvarig. Den ansvarige är alltid en chef.

Verksamhetsansvarig/informationsägare för registret/systemet är införstådd med att:

  1. personuppgifter behandlas bara om det är lagligt
  2. personuppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål
  3. personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlats in
  4. inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålet med behandlingen
  5. de personuppgifter som behandlas är riktiga och om det är nödvändigt aktuella
  6. alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen och personuppgifter inte bevaras längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen
  7. personalen har kunskap om och förståelse för tillämpliga säkerhetsrutiner och regelverk rörande registret/systemet
  8. säkerställa och regelbundet följa upp att säkerhetsrutiner och regelverk efterlevs
  9. följa upp samt initiera upplägg, förändring och borttag av behörigheter till registret/informationssystemet

Testa dina kunskaper

Nu är du klar!

Hur mycket av det du läst har du förstått och kommer ihåg?

Testa dina kunskaper i detta quiz.

Fördjupningsmaterial och relaterade resurser

Informationsmaterial framtaget av Göteborg stad

Ett allmänt riktat material som beskriver vad dataskyddsförordningen är på ett fördjupat sätt.

SKL

Utbildning GDPR online

Under vintern 2018 fick alla anställda i Göteborgs Stad ta del av en mailkurs i informationssäkerhet. De fem lektionerna finns samlade här i följande PDF-dokument: