Nye regler kræver ny datakultur på gymnasier

Nye krav til datahåndtering betyder nye arbejdsgange og vaner på en del gymnasier. Anne Schultz fra IT-Center Fyn rådgiver en lang række gymnasier om datasikkerhed og guider dig her forbi de værste faldgruber.

 

Hvad er egentlig følsomme oplysninger? Skal vi have helt nyt sagsbehandlingssystem? Og hvad betyder de nye datasikkerhedsregler for det daglige arbejde? Det er blot nogle af de spørgsmål, gymnasierne skal forholde sig til inden maj 2018, hvor EU’s nye databeskyttelsesforordning træder i kraft. Anne Schultz er projektleder på IT-Center Fyn og er i kontakt med de 23 gymnasier, der er tilknyttet centeret som partnerskoler. Hun rådgiver blandt andet gymnasierne via introduktionskurser, workshops og ved individuelle møder, hvor gymnasierne bliver forberedt på de nye tider, som på papiret slet ikke er så nye endda, hvis man ellers følger de nuværende regler.

 

”Der er egentlig ikke særlig langt fra de nuværende regler om datasikkerhed til kravene i den nye forordning. Det er mange af de samme anbefalinger, så arbejdsgangene behøver ikke at blive mere tidskrævende. Nogle steder har man fx gamle sager liggende fra mange år tilbage, som man skal have ryddet op i, så dér kan ligge et stort arbejde, inden man er i mål. Men når man først er igennem processen, skulle nye arbejdsgange gerne give et bedre overblik og på sigt smidigere administration,” forklarer Anne Schultz.

 

 

Sager skal låses inde om natten

Nogle af de lavpraktiske ting, som ansatte på gymnasierne skal være opmærksomme på, er fx at hvis man printer et dokument med fortrolige eller følsomme oplysninger, skal man hente dokumentet med det samme ude i printeren. Personale- og elevsager i papirformat, skal låses inde i et skab, inden man går hjem, og hvis man forlader kontoret, mens sagerne ligger på skrivebordet, skal papirerne ligge med bagsiden opad. Derudover er en af reglerne, at man ikke smider papirer med personoplysninger i skraldespanden, de skal makuleres, og man lukker sin skærm, hver gang, man forlader den.

Det er alt sammen små skridt i retning af større datasikkerhed, men på mange skoler kræver det en ændring af kulturen på arbejdspladsen. I hvert fald hvis man indtil nu ikke har haft det store fokus på området, forklarer Anne Schultz.

 

Gør det så simpelt som muligt for underviserne

”Det er ikke bare at trykke på en knap 25. maj 2018, for hvis hele organisationen først skal vænne sig til at være mere opmærksom på de her ting, vil det tage noget tid,” forklarer Anne Schultz, der anbefaler at gøre de nye arbejdsgange som simple som mulige for underviserne.

”For de er jo ikke sat i verden for at sidde og administrere persondata. Et råd til gymnasielederne er, at de selvfølgelig skal have nogen i organisationen, der kan regelsættet, men det er også vigtigt, at de går forrest og siger ‘det her er vigtigt’. Det er et regelsæt, og det er jo i bund og grund ikke anderledes, end da man sagde til lærerne, at de ikke længere måtte ryge på skolerne. Det er accepteret i dag.”

Som det er i dag, har Datatilsynet ikke de store sanktionsmuligheder ud over bøder på maksimalt 25.000 kr. Om offentlige institutioner fremover kan risikere større bøder eller andre sanktioner for at bryde dataforordningen, er dog endnu uvist.

 

Lectio er for usikkert til de nye regler

Når Anne Schultz er i kontakt med gymnasierne handler et af de tilbagevendende spørgsmål om Lectio-systemet, som de fleste gymnasier bruger til skemaplanlægning og opfølgning på eleverne. Nogle gymnasier klarer al deres administration i Lectio, men som systemet er skruet sammen lige nu, duer den praksis ikke efter 25. maj.

”Sådan som Lectio er opbygget p.t., vil det være nødvendigt at anskaffe et elektronisk sagsbehandlingssystem for at have sikkerhed om følsomme oplysninger,” forklarer Anne Schultz.

Endnu er det uafklaret, hvad der kommer til at ske med Lectio. Problemet med systemet i dets nuværende form er blandt andet, at det ikke er muligt at begrænse brugerstyringen tilstrækkeligt, altså hvem der har adgang til at se hvilke data. Fx kan lærere se fraværet for alle elever og ikke kun deres egen klasse, og det er heller ikke muligt at slette oplysninger.

”Jeg tror, at mange gymnasier håber på, at det falder på plads med nogle ændringer i Lectio. I det hele taget virker gymnasierne meget interesserede i at blive klar og efterleve reglerne. Jeg er kun stødt på få, der ikke har virket interesserede i det. Jeg vil ikke udelukke, at der er nogle undervisere, der tænker ‘helt ærligt, jeg har gjort det sådan her i 30 år, og jeg skal på pension lige om lidt’. Sådan nogen vil der nok altid være, mens folk i administrationen måske mere ser det som deres kerneopgave. Generelt oplever jeg et stort engagement,” siger Anne Schultz.

 

Fem gode råd til de daglige arbejdsgange

 

  1. Papirer med følsomme oplysninger må ikke ligge i printeren. De skal fjernes, så snart de er skrevet ud.
  2. Mails, der indeholder fx et cpr-nummer eller en advarsel til en elev, skal sendes via en krypteret forbindelse.
  3. Oplysninger, der ikke længere er relevante at gemme, skal slettes. Der skal være et sagligt grundlag for at gemme data.
  4. Gem ikke oplysninger om elever på en privat pc eller telefon fx i form af sms’er.

 

Kontakt den relevante IT-ansvarlige, hvis der sker et læk af personoplysninger. Det skal indberettes til Datatilsynet, og det skal ifølge de nye datasikkerhedsregler ske inden for 72 timer.

 

Læs Datatilsynets 12 spørgsmål til dataansvarlige som forberedelse til den nye forordning, der træder i kraft den 25. maj 2018.