Från skrämmande och stort till begripligt och positivt utmanande
Ole Lidegran Jonna Rådegård
2017-10-03
Lärande i Sverige AB
1
Dataskyddslagen
Hur gör man efterlevnaden till något positivt utmanande?
För vem gör vi förändringen?
2017-10-03
Lärande i Sverige AB
2
2017-10-03
Lärande i Sverige AB
3
Det är ju inte för min egen skull!
Mitt liv, från
Graviditet, förlossning, första amningen, första stegen, första flickvännen, den första fyllan Finns inte online!
2017-10-03
Lärande i Sverige AB
4
Det är för våra barn vi gör det här!
Våra barn kommer ha levt hela sina liv online
Deras integritet, rätt och behov till privatliv måste vi som skolhuvudmän ta på allvar och skydda
I skolans värld finns mycket som anses extra skyddsvärt Åtgärdsprogram, prestation, hälsa, betyg, bedömningar, omdöme, åsikter
Vad är en personuppgift
• Varje upplysning som avser en identifierad eller identifierbar fysisk person som är i livet
Exempel:
Personnummer, namn, adress, foto, ljudinspelningar, registreringsnummer, telefonnummer
2017-10-03
Lärande i Sverige AB
5
PUL och GDPR, vad skiljer?
Dataportabilitet
Konsekvensbedömning
Anmäla säkerhetsincidenter Utse dataskyddsombud
Sanktionsavgift kan utdömas
Ostrukturerad data inte längre undantagen
2017-10-03
Lärande i Sverige AB
6
Dataportabilitet
• Den registrerade ska ha rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och
maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta.
2017-10-03
Lärande i Sverige AB
7
Ostrukturerad data
• Dokument
• Excellistor
• Löpande text
• E-post
2017-10-03
Lärande i Sverige AB
8
Fler uppgifter är känsliga uppgifter
• Sen tidigare: sexualliv, hälsa, religion, politisk tillhörighet
• Nytt: genetiska och biometriska uppgifter
2017-10-03
Lärande i Sverige AB
9
Ansvarsskyldighet
• Kunna visa hur man följer förordningens regler
• Ta fram Dataskyddspolicy
• Bygga in integritetsvänliga lösningar i systemen
2017-10-03
Lärande i Sverige AB
10
Ha koll på systemen - konsekvensanalys
Register behöver upprättas
Ansvarig, användningsområde, typer av uppgifter, rättslig grund Vad händer om någon återkallar ett samtycke?
2017-10-03
Lärande i Sverige AB
11
2017-10-03
Lärande i Sverige AB
12
Beskrivning av tänkt hantering
Utvärdering av behov och mängden uppgifter
Åtgärder vidtagna för att påvisa
efterlevnad
Analysera risker med behandling Åtgärder vidtagna
som reducerar risken
Dokumentera!
Övervaka och granska
Risk för tankevurpor
Nähä, det fick jag inte
Jag mailar rektorn istället Jag har det i fysisk form!
2017-10-03
Lärande i Sverige AB
13
Hur gör vi då?
• Förstudie
• Handlingsplan och checklista
• Projekt som löper augusti 2017 – april 2018
• Alla avdelningar involverade
2017-10-03
Lärande i Sverige AB
14
Fördelning
• HR
• IT
• Kommunikation
• Administration
• Skolhälsan
2017-10-03
Lärande i Sverige AB
15
Checklista
2017-10-03
Lärande i Sverige AB
16
Exempel skolhälsovården
1. Genomför en risk- och sårbarhetsanalys
2. Inhämta underlag om ProRenatas säkerhetsnivåer 3. Uppdatera biträdesavtalet med ProRenata
4. Dokumentera riktlinjerna för behörigheter till ProRenata
5. Utbilda samtliga användare av ProRenata om hanteringen av personuppgifter och dokumentera detta
6. Inför en återkommande kontroll och dokumentera denna för att säkerställa att systemet används i enlighet med riktlinjerna
7. Se över riktlinjer för gallring och samtycken samt överlämnande av information till annan skola (även inom koncernen)
2017-10-03
Lärande i Sverige AB
17
Exempel: datoravtal
• När [Skolan] behandlar dina personuppgifter har du rätt att få ut
information om vilka uppgifter som behandlas samt på vilket sätt de behandlas. Om någon uppgift är felaktig kan du begära att få den
rättad. Om du önskar kan du även begära att [Skolan] raderar dina uppgifter. [Skolan] kommer dock att behålla de uppgifter som är tillåtna enligt lag. För att utnyttja dina rättigheter eller för andra frågor om behandlingen av personuppgifter, vänligen kontakta [personuppgifter@mail.com].
• Om du har synpunkter på hur [Skolan] hanterar dina personuppgifter har du möjlighet att vända dig till Datainspektionen.
10/3/2017
18
2017-10-03
Lärande i Sverige AB
19
Lärdomar
• Hitta ett gemensamt angreppssätt.
• Vilka tjänster använder vi oss av?
• Vilken data delar vi?
• Hur rensar vi?
• Vilka tjänster använder vi inte?
2017-10-03
Lärande i Sverige AB
20
Risk- och sårbarhetsanalys
• Penetrationstester
• Allmän nätverksanalys
• Säkerhet på datornivå
2017-10-03
Lärande i Sverige AB
21
2017-10-03
Lärande i Sverige AB
22
2017-10-03
Lärande i Sverige AB
23
Exempel på förändring: Skolon
• All läromedelshantering via Skolon
• Visualisering av dataflöden
• Kontroll och information
• Återtagande av uppgifter när de inte längre behövs
• Direktåtkomst till enskilda sidor och uppgifter från Fronter
2017-10-03
Lärande i Sverige AB
24
Skolon
2017-10-03
Lärande i Sverige AB
25
Exempel Digilär
2017-10-03
Lärande i Sverige AB
26
Exempel på förändring: säkrare inloggning
• Elever
• Lärare
• Personal
• Vårdnadshavare
• Alla ska ha 2-faktors, överallt
2017-10-03
Lärande i Sverige AB
27