GDPR og datasikkerhed

 

​​​Håndbog i behandling af personoplysninger og datasikkerhed​​​​​​​

EU’s persondataforordning stiller krav til, hvordan institutioner og virksomheder behandler persondata. GHS’s håndbog i behandling af personoplysninger og datasikkerhed beskriver reglerne for behandling af personoplysninger, der gælder for alle medarbejdere på Gammel Hellerup Gymnasium.

For lærere er afsnit 1.1, 1.2 og 2.1 af særlig interesse. 

​Læs Håndbog i behandling af personoplysninger og datasikkerhed – GHG – version 1.0.pdf

Awarenesstræning for ansatte på GHG

Vi samarbejder vi med det danske IT-sikkerhedsfirma CyberPilot om et uddannelsesforløb i IT-sikkerhed for alle medarbejdere på GHG. ​Formålet med awarenesstræningen er at sikre viden om de IT-trusler, som kan ramme os. Derudover er formålet at give ansatte de rette redskaber og vaner til sikker anvendelse af IT, som man kan bruge på arbejde såvel som privat. Awarenesstræningen består af to dele:

  1. Opstartslektioner: Her får I adgang til fire grundlæggende lektioner om IT-sikkerhed med tilhørende spørgsmål (tager ca. 5-7 min pr. lektion at gennemføre). 
  2. Månedlige lektioner: Der er pause i juli måned, og fra skolestart og fremefter vil I en gang om måneden modtage en ny lektion med et aktuelt og relevant emne.

Spørgsmål til awarenesstræningen rettes til Susanne Elsgaard sel@ghg.dk. ​

Hvad er personoplysninger?

Personoplysninger er enhver form for information om en identificeret eller identificerbar fysisk person. Begrebet “personoplysninger” dækker dermed over mange forskellige typer af oplysninger – også oplysninger, der ikke umiddelbart optræder som personoplysninger, fx hårfarve, skostørrelse, IP-adresse, lokationsdata, opgavebesvarelser, klassenavn mv., hvis det siger noget om fx en elev, der enten er identificeret eller kan identificeres ud fra en eller flere typer af oplysninger.

Når vi taler om personoplysninger findes der to typer:

  • De følsomme
  • De almindelige personoplysninger​

De følsomme personoplysninger er:

  • Race og etnisk oprindelse
  • Politisk, religiøs eller filosofisk overbevisning
  • Fagforeningsmæssigt tilhørsforhold
  • Helbredsoplysninger
  • Seksuelle forhold eller seksuel orientering
  • Genetiske og biometriske data
  • Straffedomme og lovovertrædelser

Det er de følsomme personoplysninger, der skal passes særligt godt på. Kravene til sikkerhed er derfor større for de følsomme oplysninger end for de almindelige personoplysninger.

De almindelige personoplysninger er: 

Alle personoplysninger, der ikke er følsomme, er almindelige personoplysninger:, fx: 

  • Kontaktoplysninger
  • CPR-nummer 
  • Abejdsopgaver
  • Oplysninger om løn
  • Skat og pensionsforhold
  • Sygefravær, sygdomsperioder, fraværsstatistisk
  • Bedømmelsesoplysninger
  • Betalingsoplysninger 

 

Blot fordi der er tale om ”almindelige personoplysninger,” betyder det ikke, at disse ikke også skal beskyttes mod uvedkommendes adgang, tilintetgørelse mv. ​


God databehandlingsskik​

  1. Vi behandler kun personoplysninger, hvis formålet med behandlingen ligger inden for kerneopgaven
  2. Vi har kun de personoplysninger, der er nødvendige i forhold til vores kerneopgaver, dvs. vi ikke har irrelevante personoplysninger
  3. Vi ajourfører personoplysninger, hvis vi bliver opmærksomme på, at de er forkerte eller forældede
  4. Vi sletter personoplysninger, der ikke (længere) er nødvendige for, at vi kan udføre vores opgaver, dvs. at personoplysningerne ikke opbevares længere end nødvendigt
  5. Vi ved, hvor data er gemt, hvorved vi støtter den registrerede persons ret til fx indsigt, berigtigelse eller sletning
  6. Vores arbejdsgange, systemer og it-sikkerhed beskytter personoplysningerne mod læk, hackerangreb og utilsigtet sletning​

5 centrale begreber fra Databeskyttelsesforordningen​

  1. Dataminimering: Du må kun gemme og behandle personoplysninger, der er nødvendige for dit arbejde
  2. Formålsbegrænsning: Personoplysninger må kun anvendes til det formål, de er indhentet til
  3. Oplysningspligt: Indsamling og behandling af personoplysninger medfører i visse situationer, at den person, hvis oplysninger behandles, skal informeres om formålet med indsamlingen samt rettigheder som fx retten til at få rettet urigtige data
  4. Rigtighed: Personoplysninger skal være rigtige og ajourførte
  5. Integritet og fortrolighed: Personoplysninger skal beskyttes mod ulovlig/uautoriseret behandling​