Den europæiske databeskyttelsesforordning understøttet af den danske følgelovgivning databeskyttelsesloven beskriver meget grundigt og specifikt, hvilke personoplysninger vi må behandle hvordan og hvorledes.
Vi har nedenfor forsøgt at koge forordningen og følgelovgivningen sammen til en række regler, der kort beskriver hvad du som medarbejder i Absalon skal være opmærksom på i dit daglige arbejde i Absalon.
Registrer og gem kun nødvendige personoplysninger, som du har juridisk hjemmel til at behandle
Du må kun registrere og gemme personoplysninger, der er nødvendige for dig og dine kollegers arbejde. Behandlingen forudsætter et formål og en juridisk hjemmel.
Vær særligt opmærksom, hvis det drejer sig om følsomme personoplysninger, idet der i mange tilfælde ikke er nogen forretningsmæssig begrundelse for at gemme sådanne data.
Databeskyttelsesloven forudsætter endvidere, at du/I dataminimerer - dvs. begrænser registrering af data til de data, der er absolut nødvendige for den konkrete databehandling.
Eksempel
Hvis du vil notere dig, at en medarbejder er syg, skal du overveje om det er nødvendigt at medtage oplysninger om medarbejdererens specifikke sygdom, eller om det er tilstrækkeligt at skrive, at du er blevet informeret om, at medarbejderen er syg - elle rom det overhovedet er nødvendigt at skrive noget. Der kan jo være tilfælde, hvor der er en gyldig forretningsmæssig begrundelse for at notere sig den specifikke sygdom.
Sørg for at personoplysninger opbevares og behandles de rigtige steder
Du må som altid dele og gemme personoplysninger som led i dit daglige arbejde. Hvis der er behov for at gemme personoplysninger, er det vigtigt, at de gemmes de rigtige steder. I forhold til oprydning vil det sige, at du skal sikre, at oplysningerne gemmes et sikkert sted, f.eks. på et fællesdrev, som N-drevet eller i et aflåst arkivskab.
Læs mere om hvor du må gemme personoplysninger i Absalon
Eksempel
Hvis du modtager en e-mail, som indeholder personoplysnigner om en studerened, skal du sikre, at oplysningerne gemmes i det relevante system, f.eks. FICS, og derefter slette e-mailen - senest når sagen ikke længere er aktiv.
Sørg for at holde personoplysninger opdaterede
Sørg så vidt muligt for, at de personoplysninger, du gemmer, altid er korrekt og opdaterede. Hvis du får kendskab til, at oplysningerne ikke længere er gyldige, skal du opdatere eller slette dem.
Eksempel
Hvis en studerende informerer dig om, at han eller hun har skiftet telefonnummer, skal du hurtigst muligt sikre, at oplysningerne er opdaterede i de relevante systemer.
Slet personoplysninger, hvis der ikker er nogen forretningsmæssig begrundelse for at gemme dem
Personoplysninger skal slettes, hvis der ikke er nogen forretningsmæssig begrundelse for at gemme dem. Det vil sige, når hverken du eller dine kolleger har brug for oplysningerne til at udføre jeres arbejde, og de heller ikke er nødvendige for at opfylde lovkrav (eksempelvis bogføringsloven).
Hvis der er tale om følsomme personoplysninger, skal du være ekstra opmærksom, idet der i mange tilfælde ikke er nogen forretningsmæssig begrundelse for at gemme sådanne data.
Eksempel 1
Hvis en leder har gemt en jobansøgning og et CV på N-drevet og printet dokumenterne, skal dokumenterne slettes og de fysiske kopier makuleres, når ansættelsesprocessen er afsluttet, fordi der da ikke længere er nogen forretningsmæssig begrundelse for at gemme oplysningerne.
Eksempel 2
Hvis en underviser har gemt oplysninger om en studerende, skal disse data slettes, når oplysningerne ikke længere skal bruges og senest i forbindelse med at den studerende stopper ved Absalon. Eneste undtagelse er situationer, hvor de konkrete oplysninger skal bruges i henhold til et lovkrav, f.eks. krav om at Absalon skal kunne gendanne eksamensoplysninger 30 år efter endt uddannelse.
Reglerne opsummeret til 10 bud
Når alt kommer til alt drejer det sig om at udvise god sund fornuft omkring behandling af registreredes data samt om at værne om deres indhold.
Det kan opsummeres til 10 bud:
- Du skal låse din PC, iPad og arbejdsmobil, når du går fra den. Der skal være en adgangskode på det hele.
- Du må ikke have oplysnigner om studerende liggende på dit digitale/fysiske skrivebord, når du forlader det.
- Du må ikke lade andre se din skærm, hvis der optræder personfølsomme data på den.
- Du må ikke sende personfølsomme data til andre end dem, der har et klart defineret formål med at se dem. Data skal sendes via et sikkert system.
- Du skal slette de e-mails og de dokumenter, der indeholder personoplysninger, som du ikke absolut behøver, eller som det ikke er lovpligtigt at opbevare.
- Du skal makulere de dokumenter, der indeholder personoplysninger, som du ikke absolut behøver, eller som det ikke er lovpligtigt at opbevare.
- Du må kun opbevare ajourførte og korrekte personoplysninger.
- Du skal tænke over, at studerende kan anmode om at få udleveret, rettet og slettet alt, hvad du har skrevet om dem.
- Du skal kontakte din leder med det samme, hvis din mobiltelefon, PC, iPad eller nøglekort bliver væk eller stjålet, eller i tilfælde af du bliver hacket.
- Du skal altid spørge om lov, hvis du vil tage billeder af studerende.
Introduktion til informationssikkerhed