Er skyen sikker? Få svaret på fem minutter

Af Senior Manager, Claus Bartholin PwC

Hvad er reglerne for opbevaring af data i Folkeskolen og på andre uddannelsesinstitutioner? Hvordan beskytter man elevernes personfølsomme data? Og er skyen sikker nok til lagring af data? Få svarene i denne artikel, hvor Senior Manager Claus Bartholin hos PwC forklarer de centrale regler.

Digitaliseringen i skoler og på andre uddannelsessteder er i fuld gang, hvor tablets og pc’er er centrale værktøjer i undervisningen, til fx opgaveløsning, informationsindsamling og samarbejde. Samtidig underviser lærerne via smartboards og anvender online tjenester i undervisningen, til kommunikation og dokumentdeling. Digitale løsninger på skolebænken ruster elever og studerende til fremtidens arbejdsmarked og gør, at de vil stå stærkt i den internationale konkurrence senere i livet.

Men med den digitale udvikling følger også en del usikkerhed og uklarhed hos mange skoler om, hvordan de sikrer, at data og informationer er beskyttet og lagret på rette sted. Området er da også komplekst, da skolerne opererer med forskellige systemer og løsninger – men vi vil her forsøge at give et overblik over de centrale ansvarsområder og faktorer, som skoler eller uddannelsesinstitutioner bør forholde sig til.

Ifølge Claus Bartholin, der bl.a. rådgiver i overholdelse og beskyttelse af persondata hos revisions-, skatte- og rådgivningsvirksomheden PwC, bør skoler og uddannelsesinstitutioner forholde sig til den nuværende persondatalov samt den kommende EU-persondataforordning.

Hvad er følsomme informationer?

Reglerne for beskyttelse og opbevaring af data afhænger i første omgang af, om informationerne kan henføres - dvs. knyttes – til en fysisk person, og dernæst af informationernes følsomhed. Der er tale om tre grader af følsomhed:

1. Almindelige ikke-følsomme oplysninger: identifikationsoplysninger, såsom navn, adresse, fødselsdato og e-mail. Dette er de mest almindelige oplysninger, som skolerne kan behandle i det daglige arbejde og beskytte på lige fod med andre interne oplysninger, som ikke videregives til udeforstående.

2. Fortrolige oplysninger: private forhold, såsom økonomiske og strafbare forhold, sociale problemer og lignende. Kravene for beskyttelse og behandling skærpes her, fx en elevevalueringer, CPR, standpunkt mv.

3. Følsomme oplysninger: race, religiøs og politisk overbevisning, helbredsmæssige og seksuelle forhold. Kravene skærpes endnu mere her, fx om eleven har en adfærdsmæssig diagnose.

En oplysning i sig selv, som fx. ”en elev har indlæringsvanskeligheder”, er ikke en følsom personhenførbar information, hvis personen ikke kan identificeres, eller informationen ikke kan henføres til én person. En oplysning, som fx ”Magnus fra 4.B har indlæringsvanskeligheder” vil omvendt være en følsom personhenførbar information, hvis Magnus kan identificeres af én eller flere personer.

Tilsvarende vil kombinationen af en række informationer, som fx fornavn, skoleklasse og tilvalgsfag, tilsammen udgøre almindelige ikke-følsomme informationer, hvis en kreds af mennesker kan identificere barnet. Sættes sådanne informationer i forbindelse med en oplysning om, at barnet fx har en ADHD-diagnose, bliver informationerne følsomme.

Hvilke data skal beskyttes, og hvem har ansvaret?

I Danmark gælder loven om behandling af personoplysninger, der er baseret på et EU-direktiv for beskyttelse og behandling af personoplysninger. Et godt sted at starte er at se på data i hele livscyklussen (fra vugge til grav). Data bliver indsamlet, registreret i systemet, opbevaret, redigereret, videregivet, slettet og til sidst tilintetgjort. Ifølge loven skal skolen beskytte data fra den dag, oplysningen bliver indsamlet til den dag, hvor data bliver tilintetgjort. Det stiller krav til skolerne om at have styr på deres datastrømme og hvornår data ændrer karakter og bliver til fx følsomme oplysninger, og dermed skal beskyttes yderligere mod blotlæggelse over for uvedkommende. Dermed skal der måske foretages ændring af, hvem der må tilgå informationerne.

Ansvaret for beskyttelse af data ligger hos ledelsen på skolerne, da de formelt set er dataansvarlige. Dette ansvar kan ikke fraskrives eller outsources. Skolen kan bl.a. få en bøde for ikke at overholde lovgivningen, og med den kommende EU-persondataforordning lægges der op til skærpede sanktionsmuligheder og bøder, som kan få markant indflydelse på skolens økonomi. Det er værd at bemærke, at bøden er et forhold, og skolens image et andet. Skolens evne til at beskytte personhenførbare informationer anses som en grundforudsætning i et moderne digitaliseret samfund. Derfor kan det få alvorlige konsekvenser for skolen’s image og omdømme, hvis ikke skolen lever op til dette forhold.

Det giver naturligvis skolerne udfordringer, da der er meget data at beskytte, og det stiller krav til, at de har styr på data.

Hvordan kommer du i gang?

Et godt sted at starte er som følger:

1. Oplys skolens personale og lærerne om reglerne. Start med at identificere, hvilke personlige data, skolen ligger inde med, hvor de er lagret, og hvilken risiko der er, for at de kan blive lækket?

2. På den baggrund udarbejdes en gap-analyse mellem lovmæssige krav og den eksisterende it-løsning. Uanset hvor data ligger, er det skolens ansvar, og de samme regler gælder, uanset om løsningen er i skyen eller ej.

3. Identificér kravene og gå til it-leverandøren med specifikationerne om behov, så de kan forholde sig til, om og hvordan it-leverandøren kan efterleve disse krav. Få eventuelt assistance fra en uvildig tredje part eller ekstern konsulent, der kan rådgive om, hvordan du udarbejder en persondatapolitik, hvordan data opbevares i praksis, og hvilken løsning du bør vælge.

”Det kan virke uoverskueligt at komme i gang med at udarbejde politik for beskyttelse af persondata, at få systemerne på plads og få lærere og elever til at efterleve reglerne og tænke sikkerhed ind i dagligdagen, men det behøver ikke at være så komplekst. Når først man har en løsning til beskyttelse af persondata er sidegevinsten, at man helt overordnet har et højnet niveau af informationssikkerhed, ” slutter Claus Bartholin.

Kort om EU persondataforordning Den kommende EU persondataforordning skal erstatte den nuværende Persondatalov i Danmark samt sætte fælles regler i EU for persondatabeskyttelse. Forordning sætter den registreredes rettigheder i højsædet, hvilket vil medføre større krav til din virksomheds persondatasikkerhed. Selvom forordningen ikke er endeligt vedtaget, lægges der bl.a. op til: • Risiko- og konsekvensvurdering af Privacy • ”Retten til at blive glemt” • Etablering af Databeskyttelsesansvarlig/Data Protection Officer (DPO) – ny rolle • Sikkerhed skal en del af udviklingslivscyklussen og være standard • Skærpede sanktioner og underretningspligt Det betyder, at de nye krav vil påvirke hvordan din organisation skal organisere informationssikkerhedsarbejdet.