GDPR styrer it i skolen 25. maj 2018 blev skelsættende i skolernes arbejde med it i undervisningen. Det miljø som tidligere var åbent for at lærere kunne udforske, afprøve og anvende mulige it-værktøjer blev sat i stå og erstattet af “Blokeret af administrator” skilte. Denne nye realitet opleves også som it-administrator og ansvarlig for indhold på skolernes udstyr. Pludselig er man dataansvarlig. Af Steen Demuth
Databehandleraftaler (DBA)
Jeg taler ikke imod, at skolerne har et ansvar i forhold til at beskytte personales og børns data. Hverken persondata eller data genereret i forbindelse med undervisning i skolen. Heller ikke imod at arbejde med viden om databeskyttelse.
Det overrasker mig, hvor mange aktører der er omkring it i skolen, men ikke hvor uinteresserede de hver for sig er i at tilpasse deres aftaler om databehandling til lokale forhold. For Tech-giganterne er det fra start klart, at kun aftale på EU-niveau accepteres. Men for alle andre aktører tænker jeg flere gange: “Sidder vi 98 steder i Danmark og bruger timer på at forstå dette indhold, og dernæst afgøre om vi kan eksistere med det”? Samtaler med kolleger landet over bekræfter, at det gør vi.
Mit arbejdsliv ændredes markant i starten af 2018. Pludselig var jeg “deltids-jurist” med ansvar for GDPR, og hvad dertil hørte. En opgave markant anderledes end den jeg hidtil havde løst. Selvfølgelig parallelt med at den hidtidige opgave stadig skulle løses.
Handleplaner
Danmark er et lille land, og jeg tror på, at vore leverandører lever op til gældende lovgivning, også på GDPR. Efter at have læst de første aftaler indså jeg, at de var ret ens og skrevet efter en af to skabeloner. Der er derfor få nedslagspunkter at koncentrere sig om.
Min første indsats med GDPR var den handleplan for håndtering af den nye lovgivning og de forpligtelser der lå deri. Tanken var at hvis det frygtede Datatilsyn (DT) kom forbi så var vi i gang. Møder med DPO (Data Protection Officer - hvor udansk), møder i tværgående udvalg om datasikkerhed. Masser af møder, generelt uden at det reelle arbejde med GDPR blev simplificeret. Jeg vil forsøge at beskrive arbejdet og overvejelser med GDPR i resten af artiklen.
• Er der i aftalen tilføjet betaling for særlige ydelser? • Hvilke 3. lande benyttes? • Hvordan slettes data? Vigtigt at gøre det til leverandørens ansvar. • Hvilke persondata overføres?
16
