Artikel
Gymnasierne er (næsten) klar til ny persondataforordning
datasikkerhed

Gymnasierne er (næsten) klar til ny persondataforordning

Det skal være slut med, at personfølsomme oplysninger havner på afveje på grund af hacking eller menneskelige fejl. En ny persondataforordning træder i kraft i slutningen af maj og får stor betydning for rutinerne på landets gymnasier.

Tekst_ Andreas Rasmussen

For de fleste lærere og elever er slutningen af maj en periode, der står i eksamenernes tegn. Det gør den på en måde også for de mange administrative medarbejdere og ledere i år.
Den 25. maj kulminerer et marathonlangt forberedelsesforløb nemlig med en ny, permanent eksamen, når EU’s persondataforordning træder i kraft. Det skal gymnasierne helst klare til et 12-tal, for hvis de dumper venter ingen reeksamen, men derimod skældud fra Datatilsynet og potentielt store bøder.

Det er et stort arbejde at leve op til de mange nye regler, fortæller Helle Thoregaard, der er administrationschef på Nærum Gymnasium og har været tovholder på skolens implementering af den nye lovgivning:

“Omfanget har overrasket mig mest. De fleste steder har man nok ikke tænkt så meget på persondataloven tidligere, så jeg troede, det handlede om at stramme nogle procedurer. Men hver gang vi har troet, at vi var nået et stykke vej, så har vi opdaget nye ting,” siger Helle Thoregaard.

Massive forandringer
Målet med loven er at sikre, at personfølsomme oplysninger ikke falder i de forkerte hænder. Det betyder, at rutiner i forhold til it-sikkerhed og fysisk sikkerhed spiller en vigtigt rolle. Men samtidig ændres en lang række juridiske forhold, hvilket får konsekvenser for ikke bare offentlige myndigheder og institutioner, men også private virksomheder, foreninger og mange andre.

Vi har fjernet personfølsomme oplysninger fra Lectio.

Mette Thoregaard, administrationschef
Nærum Gymnasium

Helle Thoregaard giver et par eksempler på, hvad det har betydet for Nærum Gymnasium:

“Vi startede med at undersøge, hvilke typer af personoplysninger vi ligger inde med, og hvad der skulle ændres. For eksempel er studievejlederne blevet flyttet ind på det administrative net, og vi har fjernet personfølsomme oplysninger fra Lectio,” fortæller hun.

Helle Thoregaard fortsætter:

“Sammen med it-folkene har vi kigget på alle de dokumenter, der skal laves, som for eksempel databehandleraftaler og risikovurderinger, ligesom vi har gennemgået vores interne regler for databehandling. Mange medarbejdere har været på kurser eller gennemført et awareness-træningsprogram. Vi har også set på den fysiske sikkerhed, hvor vi for eksempel har fået flere aflåste skabe.”

“Det har taget meget tid,” konstaterer hun.

En ny sherif i byen
En af de store ændringer, den nye lov medfører, er, at gymnasierne fremover skal have en såkaldt data protection officer (DPO), eller på dansk: en databeskyttelsesrådgiver.

DPO’en har ansvar for, at skolen arbejder korrekt med databeskyttelse og kan for eksempel iværksætte undersøgelser internt, hvis der er mistanke om problemer på området. Databeskyttelsesrådgiveren kommer også til at være kontaktperson, hvis Datatilsynet eller nogle af de personer, der er registreret af skolen, har henvendelser. Stillingen er uafhængig af ledelsen og er til en vis grad beskyttet på samme måde som en tillidsrepræsentant.

Gymnasieskolen.dk gennemførte i forrige uge en rundspørge blandt landets cirka 180 gymnasier. 66 af dem svarede, og heraf var det kun to skoler, der endnu ikke levede op til, at reglen om DPO’er træder i kraft 25. maj.

Der er mange fortolkningsspørgsmål undervejs.

Mette Thoregaard, administrationschef
Nærum Gymnasium

Til gengæld har mange af skolerne endnu ikke anmeldt deres DPO til Datatilsynet, som der er lovkrav om. Med mindre end tre uger til at forordningen træder i kraft, er det kun ti af gymnasierne, der har anmeldt deres DPO til Datatilsynet. Det drejer sig om ti nordjyske gymnasier, der deler en databeskyttelsesrådgiver. Ham kan du læse et større interview med i næste uge på gymnasieskolen.dk.

Undersøgelsen viser også, at hovedparten af skolerne, cirka fire ud af fem, deles om en DPO med andre skoler. De fleste har enten ansat én DPO til deling i et it-fællesskab eller hyret en fælles DPO ind fra et eksternt firma. Det sidste har Nærum Gymnasium gjort sammen med fire andre gymnasier.

“Jo mere jeg har arbejdet med det, jo mere rigtigt synes jeg, at det er en fagmand. Der er jo mange fortolkningsspørgsmål undervejs, og det bliver ikke lettere af, at der ikke er nogen retspraksis på området endnu,” siger Mette Thoregaard.

Der foreligger ikke en opgørelse af, hvad den nye persondataforordning koster gymnasierne.

Vejledninger er kommet sent
Den nye persondataforordning blev vedtaget i 2016, og skolerne har således haft to år til at forberede sig. Alligevel er mange først ved at lægge sidste hånd på arbejdet nu. Det skyldes blandt andet, at de mange vejledninger, som Justitsministeriet og Datatilsynet udarbejder, er blevet udgivet meget sent i processen. Nogle af dem er slet ikke publiceret, selvom der kun er tre uger til deadline.

“Vi havde håbet, at vejledningerne var kommet før,” siger Mette Thoregaard, der også sidder i Danske Gymnasiers arbejdsgruppe på området. Hun tror dog, at gymnasierne når i mål:

“Det er mit indtryk, at alle er i gang.”

Persondataforordningen

Mere end 350.000 anslag - det samme som en gennemsnitslig roman - fylder den nye persondataforordning fra EU, der træder i kraft 25. maj.

Formålet er at give bedre beskyttelse af individers personlige oplysninger. Den indeholder blandt andet retten til at blive glemt, flere rettigheder i forhold til at få oplyst, hvad virksomheder gemmer om en, større krav til databehandlere og mulighed for store bøder, hvis personfølsomme oplysninger kommer på afveje.

Næsten alle er klar

  • 66 gymnasier besvarede Gymnasieskolens spørgeskemaundersøgelse om persondataforordningen. Her oplyste alle skoler undtagen to, at de lever op til kravet om at have en såkaldt databeskyttelsesrådgiver.
  • Langt de fleste gymnasier, fire ud af fem, deler deres databeskyttelsesrådgiver med andre.
  • Hver femte databeskyttelsesrådgiver er udpeget blandt medarbejderne, mens resten enten er nyansat eller hyret via konsulentfirmaer.
Kommentar til artiklen

Skriv et svar

Anbefalede stofområder
Anbefalede emner

Artikler

Meninger

Anmeldelser

Ingen resultater