4 minute read
CFU om GDPR og Schrems II – Er vi i mål?
Af Bjørn Ilsøe, institutchef, Københavns Professionshøjskole og formand for CFU Danmark. Steen Aamand Olesen, chefkonsulent, Center for Undervisningsmidler UC Lillebælt.
Den 25. maj er det tre år siden, at EU’s Persondataforordning medførte en række skærpede krav til virksomheder og myndigheders håndtering af personoplysninger. Det gav store udfordringer til skoler og kommuner, og naturligvis også til Center for Undervisningsmidler, der har brugt mange kræfter på at imødekomme disse krav.
Advertisement
Persondataforordningen har til formål at øge beskyttelsen af den registreredes persondata.
Overordnet er CFU’s synspunkt, at sikringen af individets ret til egne data som GDPRreglerne foreskriver er essentiel og udviklet i en god sags tjeneste, men dog stadig omstændig at udføre i praksis. Schrems II komplicerer dette yderligere, og vi er selvfølgelig ikke som individuel forening i stand til at vurdere tilstrækkeligheden af persondatabeskyttelse i eksempelvis USA. Vi er opmærksomme på, hvad datatilsynet og mere relevant EU anbefaler.
Vi har alle kun persondata til låns og må kun bruge disse data til et specifikt og legitimt formål. Når det formål er opfyldt, skal persondata som udgangspunkt slettes. CFU’s politik er selvfølgelig at overholde alle regler og opfylde de krav, der stilles til CFU’s digitale services, så den enkelte underviser trygt kan anvende dem.
Vi fik i professionshøjskolerne, som alle offentlige myndigheder har pligt til, ansat en databeskyttelsesrådgiver (DPO - Data Protection Officer), der som udgangspunkt har tre hovedopgaver: • at vejlede og rådgive • at føre tilsyn og kontrollere • at være de registreredes ombudsmand.
DPOen skal sikre, at behandling af persondata sker i henhold til gældende lovgivning. DPOen sørger for, at medarbejderne uddannes i at håndtere kravene, og DPOen er også bindeled imellem Datatilsynet og institutionen, hvis Datatilsynet anmoder om oplysninger og dokumentation for processer.
Som CFU-medarbejder skulle vi som alle andre ansatte i sektoren gennemføre og bestå et obligatorisk E-læringskursus senest d. 10.maj 2019, og der findes i dag på vores intranet udførlig dokumentation og vejledning til personale og studerende angående GDPR og IT-sikkerhed.
Vi har kunnet iagttage, at kommunerne og skolerne på lignende vis har gennemført kurser for ansatte og som vi er i en stadig proces med at håndtere de udfordringer GDPR giver.
Aalborg kommune var en af de kommuner, der meget hurtigt var ude med små videoer og et spil for at skabe bevidsthed om de nye krav via deres site: https://www.nogetathavedeti.dk/gdpr.
Foruden disse overordnede tiltag og nødvendige kompetenceløft af personalet, som vi alle har måttet agere på, så er der de daglige udfordringer, der handler om håndteringen af de digitale tjenester, vi gør brug af, og også de digitale tjenester vi udbyder som CFU.
CFUerne samarbejder på landsplan i CFU DK, og et centralt omdrejningspunkt er mitCFU, der er den software, som håndterer vore samlinger af analoge og digitale læremidler. I CFU-regi er der ud over mitCFU også den digitale service Søgsmart, og i begge løsninger er vi som tjenesteudbyder og databehandler afhængige af institutionsdata for at kunne yde den nødvendige service til vores brugere.
Adgang til platformene kræver UNI-login, og CFU Danmark gør brug af to UNI-Login webservices, WS22 og WS17-lille, der stilles til rådighed af Styrelsen for IT og Læring (STIL). Disse services giver udelukkende CFU adgang til lærere og elevers navne og klassetilhørsforhold. CFU Danmark får således ikke oplysninger om vores brugeres CPR-numre, mailadresser m.m.
CFU opererer på baggrund af en bekendtgørelse, og kan derfor ikke indgå i kommunernes standard databehandlingsaftaler (Kombit), der er stilet til private virksomheder. I stedet har CFU DK udviklet en særlig databehandlingsaftale vedrørende personoplysninger, som regulerer forholdet mellem CFU og de institutioner og kommuner, som bruger CFU’s ydelser.
Vi har stor glæde af at trække på samme hammel, og det er i CFU DK regi, at nødvendige aftaler håndteres, sådan som det fremgår af http://cfu.dk/data/
Det betyder også, at de mange aftaler med forlag om CFUernes adgang til deres digitale læremidler kan håndteres centralt, så vi kan leve op til vores forpligtelse i Informationsaftalen og vore konsulenter kan rådgive og vejlede undervisere i brugen af forlagenes digitale læremidler.
Udover vores digitale services vejleder vi også lærere ift. brugen af forskellige tjenester f.eks. aktuelt i Distance Learning through Play projektet (på tværs af CFUerne), hvor vi samler og formidler inspirerende online forløb og kreative digitale undervisningsgreb. Når vi anbefaler en given tjeneste uden for mitCFU til undervisning, kan vi ikke nødvendigvis stå inde for datasikkerheden, og yder her i højere grad ikke-juridisk rådgivning i god praksis i forhold til databeskyttelse: Vi gør lærerne opmærksomme på forhold, som de bør undersøge, inden de inddrager en given løsning i undervisningen, f.eks. hvilke brugeroplysninger der lagres i tjenesten samt hvordan brugerne potentielt selv kan producere personfølsomt indhold (f.eks. delte dokumenter, fælles tavler, chatfunktioner, kommentarspor mm.). Derudover anbefaler vi, at lærerne rådfører sig med deres skoleleder omkring skolens overordnede databeskyttelsespolitik.
Er vi så alle i mål angående GDPR her efter tre år? Nej, det er vi helt sikkert ikke. Vi har nok alle i virkeligheden kun fundet de første svar på nogle af udfordringerne.
