Ligesom enhver virksomhed skal skoler og uddannelsesinstitutioner overholde opdateringerne til databeskyttelsesloven, der kommer i maj.
Vi ved, at databeskyttelseslovene, som vi kender dem i dag, er under forandring. Det Generel databeskyttelsesforordning (GDPR) træder i kraft den 25. maj i år, og langt de fleste organisationer, uanset størrelse, skal være klar til de ændringer.
Skoler vil behandle personlige data om lærere, elever og deres familier. I mange tilfælde vil de bruge markedsføring til at forbedre indtaget eller til at rejse penge. Skoler har CCTV, brug cloud-software - alle de områder, som GDPR berører. Så lad os tage et kig på nogle af de områder, som skolerne skal overveje, når de opfylder de nye regler, og hvordan du kan komme i gang.
Persondataøkosystemet er et begreb, der bruges af Institut for Uddannelse, for at beskrive, hvordan data lagres og sammenkoblingen af systemer, som de bruger til at gemme dem i. Disse systemer omfatter:
Skoler vil ofte være forpligtet til at sende disse personoplysninger til andre instanser, herunder sundheds- og socialpleje, lokale myndigheder og selve undervisningsministeriet.
At se på dataene på denne måde hjælper dig med at planlægge eventuelle ændringer, du skal foretage til GDPR.
Så vi nævnte tidligere, at det ikke kun er elevernes personlige data, du skal håndtere som skole – det kan også være oplysninger om forældre eller omsorgspersoner og alle ansat hos dig. Dette omfatter nuværende og tidligere medarbejdere samt personer, der har søgt arbejde i din organisation. Skoler skal identificere alle de personlige og særlige kategoridata, som de har.
Se tilbage til persondataøkosystemet – Deler du data med andre organisationer?
Ligesom de fleste aspekter af GDPR, skal du have indført politikker for at beskrive, hvordan du vil håndtere data. Her bliver du nødt til at se på dine systemdataopbevaringspolitik og spørge dig selv, om den stemmer overens med din dataopbevaringspolitik. Giver det dig mulighed for at udføre dine skolepligter, og er det inkluderet i kontrakter med leverandører?
Hvis en person beder om at se, hvilke data du har om vedkommende, skal du give disse oplysninger. Dette kaldes Subject Access Requests eller SAR. Du skal være sikker på, at du kan få adgang til disse oplysninger og være i stand til at give emnet disse inden for den angivne tidsramme.
Ethvert system, som du gemmer personoplysningerne i, skal være sikkert. Du forventes at beskrive de trin, du har på plads for at beskytte den. Overholder du nogen anerkendte standarder, såsom ISO 27001 for informationssikkerhedsstyringssystemer?
En skræddersyet hands-on session baseret på dine behov og mål
Kommer du den 25. maj i år, er du sikker på, at den leverandør, der forsyner din skole med dine systemer, vil være klar til ændringerne af databeskyttelsesloven? Har de beskrevet og demonstreret deres skridt til GDPR?
Ved ansættelse af en databeskyttelsesansvarlig, eller DPO, anbefaler Undervisningsministeriet, at du ikke vælger en it-chef eller skoleleder. De foreslår en person, der ikke er involveret i at træffe beslutninger omkring teknologi eller behandling.
Det er også værd at bemærke, at databeskyttelsesansvarlige kan arbejde for en række organisationer. Det betyder, at du kan dele en DPO med en anden skole.
Informationskommissærens kontor vil sammen med DfE fortsætte med at opdatere deres vejledning i de kommende uger. ISMS.online vil holde dig opdateret.