GDPR står for General Data Protection Regulation og er på dansk også kendt som databeskyttelsesforordningen. Reglerne findes i databeskyttelsesforeningen (forkortet GDPR) og i persondataloven.
GDPR handler grundlæggende om, at højskoler og andre organisationer skal behandle personoplysninger lovligt, sikkert og gennemsigtigt. Det gælder fx oplysninger om kursister, ansøgere, medarbejdere, bestyrelsesmedlemmer, pårørende og besøgende.
Det betyder blandt andet, at højskolen skal have styr på:
- hvilke personoplysninger skolen behandler
- hvorfor skolen behandler dem
- hvem oplysningerne deles med
- hvor længe de opbevares
- hvordan de beskyttes
Højskolen skal også have en række dokumenter, der beskriver og understøtter skolens håndtering af personoplysninger. Nogle af disse dokumenter er lovpligtige, mens andre er praktiske arbejdsredskaber, der gør det lettere at leve op til reglerne i hverdagen.
Datatilsynet
Datatilsynet har omfattende vejledning om GDPR på deres hjemmeside.
Hvis du ønsker en let introduktion, kan du begynde her:
- Grundlæggende om GDPR – en kort og let tilgængelig introduktion til de vigtigste begreber: Grundlæggende om GDPR
- GDPR-univers for små virksomheder – en enkel indgang til de grundlæggende regler og arbejdsgange: GDPR-univers for små virksomheder
- Datatilsynets samlede oversigt over vejledninger og temaer kan ses her: Regler og vejledning
- Det er også muligt at kontakte Datatilsynet telefonisk med konkrete spørgsmål om GDPR: Ring til os
FFD’s vejledninger og skabeloner
FFD har udarbejdet en række vejledninger og skabeloner, som kan hjælpe højskolerne med at arbejde systematisk med GDPR.
Materialet er lavet som praktiske hjælpemidler, der kan tilpasses den enkelte højskoles egne systemer, arbejdsgange og behov. Nogle dokumenter er direkte lovpligtige, mens andre især er tænkt som støtte til at skabe overblik og få arbejdet godt forankret i hverdagen.
Dokumenterne er opstillet i den rækkefølge, de ofte er mest hensigtsmæssige at bruge.
Det vigtigste er ikke at have flest mulige dokumenter, men at højskolen har:
- overblik over sine behandlinger af personoplysninger
- passende sikkerhed
- klare procedurer
- dokumentation, der stemmer overens med virkeligheden på skolen
De frie skoleforeninger har også i 2019 i fælles udarbejdet denne – efterhånden lidt bedagede vejledning om beskyttelse af persondata. Den kan dog fortsat anvendes til at give et overblik over regler og problemstillinger.
Et godt sted at begynde
Hvis højskolen har brug for først at få skabt et enkelt og brugbart overblik over, hvilke personoplysninger der behandles, er dette et rigtig godt sted at starte.
Dokumentet Kom godt i gang med GDPR på en dag.docx er en kort og praktisk vejledning til højskoler, der gerne vil hurtigt i gang uden at drukne i regler og detaljer. Fokus er på, hvordan skolen med en overskuelig arbejdsindsats kan komme langt på én dag og få taget hul på de tre vigtigste grunddokumenter:
- datastrømsanalyse
- fortegnelsesliste
- oversigt over systemer og databehandlere
Når først overblikket er på plads, bliver det meget lettere at arbejde videre med privatlivspolitik, intern instruks, it-sikkerhedspolitik og risikoanalyse. Det er også sådan, Datatilsynet selv lægger op til, at man griber arbejdet an: først overblik, derefter procedurer og sikkerhed.
Nedenfor ligger en række vejledninger og skabeloner, som højskoler kan bruge i arbejdet med GDPR. De er placeret i den rækkefølge, det ofte vil være mest naturligt at gå til opgaven i. Dokumenterne kan dog også bruges som opslagsværk eller som hjælp til at arbejde videre med netop det område, hvor skolen står lige nu.
1. Datastrømsanalysen
Vejledning og skabelon til datastrømsanalyse.docx
Dette dokument indeholder vejledning og skabelon til at kortlægge, hvordan personoplysninger bevæger sig gennem skolen i praksis: hvor oplysningerne kommer fra, hvilke systemer de ligger i, hvem der har adgang, hvem de deles med, og hvornår de slettes. Det er et godt arbejdsredskab, før skolen udarbejder sin artikel 30-fortegnelse.
Er det obligatorisk?
Nej. Det er ikke et selvstændigt lovkrav at have en datastrømsanalyse som særskilt dokument. Men det er et anbefalet arbejdsredskab, fordi det gør det lettere at skabe det overblik, som Datatilsynet lægger vægt på i arbejdet med behandlingsaktiviteter, modtagere, databehandlere og slettefrister.
2. Fortegnelseslisten (art. 30)
Vejledning og skabelon til fortegnelsesliste for højskoler.docx
Dette dokument indeholder vejledning og skabelon til den lovpligtige fortegnelse over behandlingsaktiviteter efter GDPR artikel 30. Fortegnelsen hjælper skolen med at beskrive, hvilke personoplysninger der behandles, formålene med behandlingen, behandlingsgrundlaget, modtagere, slettefrister og overordnede sikkerhedsforanstaltninger.
Er det obligatorisk?
Ja. Datatilsynet beskriver fortegnelsen som den oversigt, man skal lave, når man håndterer personoplysninger om andre. Den kan naturligvis se anderledes ud end skabelonen her.
3. Oversigten over systemer, databehandlere og databehandleraftaler
Vejledning og skabelon til systemer, databehandlere og databehandleraftaler.docx
Dette dokument indeholder vejledning og skabelon til et samlet overblik over skolens systemer, databehandlere, databehandleraftaler, underdatabehandlere, tredjelandsoverførsler og opfølgning på aftalerne.
Er det obligatorisk?
Ikke som et særskilt dokument med denne titel. Men skolen skal have overblik over sine databehandlere, og hvis en leverandør behandler personoplysninger på skolens vegne, skal behandlingen være reguleret af en databehandleraftale efter GDPR artikel 28. Datatilsynet understreger også, at skolen ikke kan nøjes med at indgå aftalen, men skal føre et passende tilsyn med databehandleren.
4. Privatlivspolitikken
Vejledning og skabelon til privatlivspolitik.docx
Dette dokument indeholder vejledning og skabelon til en privatlivspolitik, som kan offentliggøres på højskolens hjemmeside. Privatlivspolitikken forklarer registrerede personer, hvordan skolen behandler personoplysninger, herunder hvem der er dataansvarlig, hvilke oplysninger der behandles, hvorfor, på hvilket grundlag, hvem de deles med, og hvilke rettigheder man har.
Er det obligatorisk?
Ja. Skolen har pligt til at opfylde oplysningspligten efter GDPR, og en privatlivspolitik er en almindelig og praktisk måde at gøre det på. Datatilsynets vejledningsunivers for små virksomheder har også et særskilt trin om at oplyse om behandling af personoplysninger. Privatlivspolitikken vil normalt ligge på skolens hjemmeside.
5. Instruksen til medarbejdere mv.
Intern instruks til medarbejdere med flere.docx
Dette dokument indeholder vejledning og skabelon til en intern instruks om, hvordan medarbejdere og andre, der behandler personoplysninger på skolens vegne, skal håndtere persondata i praksis. Instruksen kan fx omfatte adgang til oplysninger, brug af e-mail, billeder og video, sletning, sikkerhedsbrud og fortrolighed.
Er det obligatorisk?
Ikke som et særskilt dokument med denne titel. Men skolen skal sikre passende organisatoriske foranstaltninger og kunne dokumentere, at personoplysninger håndteres forsvarligt. En intern instruks er derfor et stærkt anbefalet og meget praktisk redskab.
6. IT-sikkerhedspolitikken
Vejledning og skabelon til it-sikkerhedspolitik.docx
Dette dokument indeholder vejledning og skabelon til en it-sikkerhedspolitik, som samler skolens overordnede regler for informationssikkerhed. Politikken kan fx omfatte adgangsstyring, passwords, brug af enheder, cloud, backup, sletning, hændelseshåndtering og oplæring.
Er det obligatorisk?
Ikke nødvendigvis som et særskilt dokument med denne titel. Men skolen skal gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger, og en it-sikkerhedspolitik er et oplagt redskab til at samle og dokumentere dette arbejde. Datatilsynet har også særskilte vejledningssider om sikkerhed og gode procedurer.
7. Risikoanalysen
Vejledning og skabelon til en risikoanalyse.docx
Dette dokument indeholder vejledning og skabelon til skolens arbejde med risikoanalyse. Risikoanalysen hjælper skolen med at vurdere, hvilke risici behandlingen af personoplysninger kan medføre for de registrerede, og om skolen har etableret tilstrækkelige sikkerhedsforanstaltninger. Dokumentet beskriver også kort, hvornår en konsekvensanalyse (DPIA) kan være relevant.
Er det obligatorisk?
Ja, i praksis ja. Datatilsynet skriver, at risikovurderingen efter GDPR artikel 32 angår alle planlagte og eksisterende behandlinger af personoplysninger. Der er ikke et fast lovbestemt interval for, hvor ofte den skal laves, men den skal være aktuel og opdateres ved nye behandlinger, væsentlige ændringer eller ændringer i risikobilledet.
8. Håndtering af brud på persondatasikkerheden
Vejledning og skabelon databrud.docx
Dette dokument indeholder vejledning og skabelon til, hvordan højskolen kan håndtere brud på persondatasikkerheden, fx fejlsendte e-mails, tab af udstyr, for brede adgangsrettigheder eller utilsigtet offentliggørelse af oplysninger. Dokumentet hjælper skolen med intern indberetning, vurdering af risiko, dokumentation, anmeldelse til Datatilsynet og eventuel underretning af berørte personer.
Er det obligatorisk?
Ikke som et særskilt dokument med denne titel. Men højskolen skal kunne håndtere og dokumentere brud korrekt, og hvis et brud medfører risiko for de registreredes rettigheder eller frihedsrettigheder, skal det som udgangspunkt anmeldes til Datatilsynet. En fast procedure er derfor stærkt anbefalet.
9. Slettepolitik og sletteprocedure
Vejledning og skabelon slettepolitik.docx
Dette dokument indeholder vejledning og skabelon til en samlet praksis for sletning af personoplysninger. Det kan hjælpe højskolen med at samle regler og arbejdsgange for sletning i systemer, e-mail, fællesdrev, papir og backup ét sted.
Er det obligatorisk?
Ikke nødvendigvis som et særskilt dokument med denne titel. Det kan være tilstrækkeligt, at slettefrister og slettepraksis er klart og dækkende beskrevet i skolens øvrige GDPR-dokumentation, fx i fortegnelseslisten, instruksen og it-sikkerhedspolitikken. Højskolen skal dog kunne dokumentere sine slettefrister og have procedurer for, hvordan sletning gennemføres og følges op i praksis. Datatilsynet understreger både, at slettefrister skal dokumenteres, og at der bør være procedurer for sletning og opfølgning på, at sletning faktisk sker korrekt.
10. Håndtering af registreredes rettigheder
Vejledning og skabelon håndtering af registreredes rettigheder.docx
Dette dokument indeholder vejledning og skabelon til, hvordan højskolen kan håndtere anmodninger om fx indsigt, rettelse, sletning, begrænsning og indsigelse. Dokumentet kan hjælpe med at skabe faste arbejdsgange, friststyring, identitetskontrol og dokumentation.
Er det obligatorisk?
Ikke som et særskilt dokument med denne titel. Men højskolen skal kunne håndtere de registreredes rettigheder korrekt og inden for de gældende frister. En fast intern procedure er derfor stærkt anbefalet.
11. Cookiepolitik
Vejledning og skabelon til cookiepolitik.docx
Dette dokument indeholder vejledning og skabelon til en cookiepolitik for højskolens hjemmeside. Det kan hjælpe højskolen med at beskrive brugen af cookies og lignende teknologier, herunder formål, samtykke, tredjepartsleverandører og opbevaringsperioder.
Er det obligatorisk?
Hvis højskolen bruger cookies eller lignende teknologier på sin hjemmeside, skal den overholde reglerne herom og oplyse brugerne korrekt. En cookiepolitik eller cookiedeklaration vil derfor ofte være nødvendig i praksis.