Personfølsomme data i G Suite

Vi får mange spørgsmål til Persondataforordningen / GDPR i forhold til skolernes brug af G Suite. På denne side har vi samlet en række informationer om emnet.

Den nye persondataforordning / GDPR træder i kraft i Danmark d. 25 maj 2018. Forordningen har til formål, at ensarte reglerne om persondata på tværs af EU, og den vil være umiddelbart gældende i alle EU-medlemslande, samt for virksomheder som tilbyder varer eller ydelser til EU lande.

Mange private skoler og folkeskoler/kommuner leder efter et kort svar på om G Suite må bruges til personfølsomme data? Og det helt korte svar er: JA (Kilde: Link)

Men det kræver at skolen/kommunen udarbejder overblik og retningslinjer for brugen data.

F.eks. Hvilke typer persondata har man, hvor gemmes hvad og hvor længe.

G Suite til skoler/kommuner kan leveres under en databehandleraftale (Data Processing Amendment). G Suite administratoren på Skoler og folkeskoler/kommune skal godkende disse:

Disse godkendes således: Link

En del skoler har fået opfattelsen af at personfølsomme data skal placeres i EU for at kunne leve op til Persondataforordningen / GDPR, det er ikke korrekt. (Kilde: Link)

G Suite data er i dag typisk placeret i USA.

Skoler kan vælge at indgå/godkende ovenstående ”Data processing amendment” og ”Model contract clauses” Disse aftaler er et yderligere tiltag for at opfylde kravene til sikkerhed i EU’s databeskyttelsesforordning. ”Model contract clauses” blev oprettet specifikt af Europa-Kommissionen for at tillade overførsel af personoplysninger ud af Europa.

VIGTIGT – Det er ikke muligt at købe sig til et færdigt system, produkt eller tjeneste som gør, at man som skole/kommune kan efterleve GDPR. Men sky løsningerne kan hjælpe skoler/kommuner med at gøre opgaven mere overkommelig.

Google har forpligter sig til at overholde EU’s nye persondataforordning. Der kommer løbende flere tiltag og løsninger fra Google der understøtter deres og jeres arbejde med GDPR. Kilde: Link

Det videre arbejde med G Suite og Persondataforordningen / GDPR:

Det første skridt i retning af G Suite og GDPR-overholdelse er, at vurdere om GDPR arbejdet involvere G Suite i forhold til din skole/kommune, og i bekræftende fald, i hvilket omfang. Denne analyse begynder med, at forstå hvilke data du har, og hvor den er placeret. GDPR regulerer indsamling, opbevaring, brug og deling af “personlige data”. Personlige data defineres meget bredt under GDPR, som enhver data, der vedrører en identificeret eller identificerbar fysisk person. Persondata omfatter f.eks.: navn, adresse, telefonnummer, e-mail, medarbejdernummer, referencer, billeder osv.

Hvis din skole/kommune har denne type data i e-mail indhold, kalender, G Drive, fællesdrev, Classroom, Google+, Fotos, databaser eller andre steder – eller ønsker at indsamle det, og hvis dataene tilhører eller vedrører EU-borgere, så skal du overholde GDPR.

For at forstå hvilke forpligtelser det pålægger er det vigtigt, at kategorisere skolens/kommunes data. Dette vil hjælpe dig med at forstå, hvilke data der er personlige, og til at identificere de systemer, hvor dataene indsamles og lagres, forstå hvorfor det blev indsamlet, hvordan data behandles og deles, og hvor længe det opbevares.

Her er samlet en række links til inspiration omkring det videre arbejde med GDRP:

  1. Efterskoleforenings leksikon – Persondataloven: Link
  2. Privatskoleforeningens vejledning: Link
  3. Juridisk hjælp f.eks. Kammeradvokaten: Link
  4. Gratis generelt hjælpe værktøj: Link

EasyIQ A/S tager IT Sikkerhed og håndtering af personfølsomme oplysninger meget alvorligt. Certificeringer er ikke noget der kommer automatisk. Det skal du gøre dig fortjent til. År efter år. Derfor gør vi os umage hver dag. Så du er garanteret løsninger, der altid lever op til strenge kvalitets- og sikkerhedskrav herunder også persondataforordning / GDPR. Vi har og arbejder løbende med 2 typer IT-revisionserklæringer ISAE 3000 og ISAE 3402. Se mere her: Link