Persondata og IT-sikkerhed
Skolen behandler hver dag personoplysninger om både ansatte, elever, forældre og andre samarbejdspartnere og har derfor pligt til at passe på de personfølsomme data og løbende sikre sig, at alle dele af skolens databehandling overholder dataforordningens krav.
Persondata
Skolen behandler hver dag personoplysninger om både ansatte, elever, forældre og andre samarbejdspartnere. Persondataforordningen giver skolen status af dataansvarlig og dermed pligt til at passe på vores elever og medarbejderes personfølsomme data og løbende sikre sig, at alle dele af skolens databehandling overholder forordningens krav.
Vi behandler:
Almindelige personoplysninger
- Klassiske stamoplysninger, dvs. navn, køn, adresse og
telefonnummer, fødselsdato, myndighedsindehavere (elever), nærmeste pårørende
(medarbejdere), og foto-ID - Oplysninger om uddannelse, holdtilknytning, karakterer,
kursusbeviser, beskæftigelser, arbejdsopgaver - Tilknytning til en eller flere institutioner
- Nationalitet
- Oplysninger om fravær
- Videomateriale fra skolens udvendige overvågningskameraer
(Opbevares i en måned i henhold til gældende lovgivning) - Login-oplysninger fra skolens alarmsystem
Særligt følsomme personoplysninger:
- CPR-Nummer
- Oplysninger om løn, skat, pension og lønkontonummer, kørekort
- Registrering af advarsler og andre sanktioner
- Helbredsoplysninger (selve diagnosen og behandling)
- Væsentlige sociale problemer, interne familieforhold, resultater af personlighedstest
- Referater af personlige samtaler, hvis disse indeholder oplysninger af følsom art
- Logning af internetbrug via skolens netværk.
- Monitorering af eksamen
- Foto og små videoklip fra skolens hverdag
- Oplysninger om ansøgere (job og studiepladser)
Skolen håndterer dagligt begge typer af oplysninger. De almindelige personoplysninger håndteres af en lidt bredere kreds af medarbejdere. De særligt følsomme håndteres af en begrænset medarbejdergruppe.
Egaa Gymnasium forsøger altid at behandle så få personoplysninger om elever, forældre og medarbejdere som muligt, ligesom vi kun foretager en behandling af de personoplysninger, vi har, hvis det er nødvendigt, sagligt begrundet og proportionel med vores opgave.
Vi indsamler og behandler derfor som altovervejende udgangspunkt kun de personoplysninger, der er nødvendige for, at vi kan overholde vores pligter i henhold til den gymnasiale lovgivning om optagelse på gymnasiet samt de almindelige gældende regler for ansættelser mm.
Behandling af elevernes personoplysninger
Eleverne er registreret i: Lectio, IMS, Office (herunder Teams og Outlook), ExamCookie, Studiz samt skolens i-bogsplatforme.
Stamoplysninger på elever og forældre, dvs. navn, bopælsadresse, CPR-numre, telefonnummer, mailadresse samt de oplysninger om dig selv, som du selv har givet os i din ansøgning, herunder oplysninger om tidligere skoleaktiviteter, din begrundelse i fritekst for at søge om optagelse hos os, dine karakterer fra 9. eller 10. klasse, evt. bilag med udtalelser, diverse erklæringer og oplysninger om særlige forhold. Derudover gemmes vurderinger fra UU og evt. resultater fra din optagelsesprøve. Dertil kommer oplysninger om fravær, karakterer og eventuelle sanktioner og særlige forhold. Personoplysninger fra ansøgere der ikke bliver optaget på Egaa Gymnasium slettes. Registreringen foregår i Lectio og IMS.
Derudover håndteres en række oplysninger i beskedfunktionen på Teams og klassekonferencer. Ligeledes kan underviserne opbevare faglige elevevalueringer på Teams og SharePoint. Personfølsomme oplysninger sendes aldrig via mail.
I eksamens- og prøvesituationer logges og gennemses både netadgang samt benyttede IP-adresser. Desuden monitoreres elevens skærm via ExamCookie. Oplysningerne slettes når eksamensterminen er slut og prøven vurderet.
Skolen udleverer data til Studiz (studiekort) samt skolens iBogsplatforme. Firmaerne har kun adgang til navn, klasse og holdinfornationer. Der er databehandleraftaler med alle leverandører.
Desuden opbevares fotomateriale (herunder portrætbillede til hjemmeside og Lectio samt billeder fra skolens hverdag til brug for at dokumentere skolens hverdag. Billedmateriale slettes ikke af hensyn til dokumentation af skolens historie, men materiale optages ikke uden tilsagn, som desuden altid kan trækkes tilbage. En del af billederne anvendes på skolens officielle sociale medier. Her lægges ingen billeder af særlig personfølsom karakter, personbilleder altid taget med samtykke og altid med mulighed for sletning.
Indsamling og behandling af de særligt følsomme personoplysninger om eleven og forældre foregår fortroligt og foretages kun af særligt betroede medarbejdere på Egaa Gymnasium.
Alle opslag i systemet skal altid være fagligt relevant.
Al vores skriftlige kommunikation vedrørende en ansøgning til Egaa Gymnasium sker via eboks samt via den centrale platform optagelse.dk.
Fremsendelse af eksamensbeviser og lignende officielle dokumenter sker altid ske via e-boks – direkte til den person, det vedrører.
De studieadministrative systemer opfylder alle sikkerhedskrav i loven – herunder kravet om logning, mulighed for at styre dokumentadgang mm. samt automatisk sletning af personoplysninger ved udmeldelse eller aftrædelse og en manuel årlig sletning, hvor dette er påkrævet.
Hvis vi i særlige tilfælde behandler andre persondata om dig eller foretager en anden form for behandling end den, vi beskriver her, vil vi informere dig særskilt om det.
Gymnasiet kan i særlige situationer blive bedt om at overgive materiale til Rigsarkivet. Dette vil altid kun ske i henhold til gældende lovgivning.
Hvis oplysningerne ændrer sig, registrerer vi også ændringerne. Data slettes når ansættelsesforholdet ophører og relevante procedurer er afsluttet.
Du har ret til at få at vide, hvilke oplysninger om dig Egaa Gymnasium har samlet i forbindelse med dit ansættelsesforhold, og du har ret til at se oplysningerne.
Du har også ret til at bede om, at vi retter eller sletter oplysninger, hvis du mener, at de f.eks. er forkerte eller giver et forkert indtryk. Egaa Gymnasium har pligt til at tage stilling til din anmodning.
Behandling af medarbejdernes personoplysninger
Egaa Gymnasium forsøger altid at behandle så få personoplysninger om medarbejdere som muligt, ligesom vi kun foretager en behandling af de personoplysninger, vi har, hvis behandlingen er nødvendig, sagligt begrundet og proportionel med vores opgave og ansvar.
Medarbejderne er registreret i: Lectio, Office (herunder Teams og Outlook), SD Løn og IMS.
I Lectio registreres hold, skema, tidsforbrug, adresseoplysninger samt faglige kompetencer. Karakterer opbevares også efter elevernes dimission.
Medarbejderoplysninger arkiveres desuden i IMS, herunder navn, stillingsbetegnelse, cpr-nummer, privatadresse, private telefonnumre og e-mailadresse samt lønindplacering og eventuel pensionskasse. Derudover registreres faglige kompetencer, personalesager samt dokumenter vedrørende sygdom og barsel.
Løndata videregives til SD Løn. Her registreres ligeledes medarbejderens sygdom, barns sygdom og øvrige fravær. Derudover registrerer vi også feriedage, særlige feriedage og omsorgsdage. Dertil kommer anciennitet og ferieoplysninger (sidstnævnte videregives til FerieKonto ved fratrædelse). Ligeledes videregives lovpligtige oplysninger til Skat.
Arbejdsrelaterede e-mails mv. i Outlook kan i helt særlige tilfælde kan åbne og læse af skolen. Dette sker dog kun, hvis det er afgørende nødvendigt af hensyn til driften, akut sikkerhed eller som led i fx it-support, som du evt. selv anmoder om. Mail kan udleveres til myndigheder efter den til enhver tid gældende lovgivning. (EU-datasikkerheds-forordningens art. 6 litra e fra maj 2018.)
Alle medarbejdere har pligt til at åbne mails løbende og sørge for sletning af mails med personoplysninger.
Desuden opbevares fotomateriale (herunder portrætbillede til hjemmeside og Lectio samt billeder fra skolens hverdag til brug for at dokumentere skolens hverdag. Billedmateriale slettes ikke af hensyn til dokumentation af skolens historie, men materiale optages ikke uden tilsagn, som desuden altid kan trækkes tilbage. En del af billederne anvendes på skolens officielle sociale medier. Her lægges ingen billeder af særlig personfølsom karakter, personbilleder er altid taget med samtykke og altid med mulighed for sletning.
Hvis oplysningerne ændrer sig, registrerer vi også ændringerne. Data slettes når ansættelsesforholdet ophører og relevante procedurer er afsluttet.
I forbindelse med ansøgninger registreres ansøgere i gymnasiejob.dk. Data slettes når ansættelsesproceduren er afsluttet.
Hvis vi i særlige tilfælde behandler andre persondata om dig eller foretager en anden form for behandling end den, vi beskriver her, vil vi informere dig særskilt om det.
Gymnasiet kan i særlige situationer blive bedt om at overgive materiale til Rigsarkivet. Dette vil altid kun ske i henhold til gældende lovgivning.
Du har ret til at få at vide, hvilke oplysninger om dig Egaa Gymnasium har samlet i forbindelse med dit ansættelsesforhold, og du har ret til at se oplysningerne.
Du har ret til at bede om, at vi retter eller sletter oplysninger, hvis du mener, at de f.eks. er forkerte eller giver et forkert indtryk. Egaa Gymnasium har pligt til at tage stilling til din anmodning.
Stikprøver og kontrol
Egaa Gymnasium foretager hvert år i forbindelse med den årlige audit stikprøvekontrol af, hvorvidt skolens indsamling, opbevaring, brug og sletning af persondata overholder de interne procedure.
Data Protection Officer (DPO)
Offentlige gymnasier har tilknyttet en Data Protection Officer (DPO). DPO’en er vores rådgiver i forhold til, at Egaa Gymnasium behandler persondata på en ansvarlig og sikker måde. Hvis der sker brud på sikkerheden, skal Egaa Gymnasium desuden indberette det til Datatilsynet så hurtigt som muligt.
Egaa Gymnasiums DPO-funktion varetages af advokatfirmaet Bech:Bruun gennem en fælles aftale med VIA:
VIA
Att.: Databeskyttelsesrådgiver Bech:Bruun
Hedeager 2
8200 Aarhus N
Telefon: 87551245
Mail: DPO@IT-Supportcentret.dk
Hvis man har spørgsmål i forbindelse med persondataforordningen, kan man kontakte Ove Fugl Svendsen på ofs@egaa-gym.dk
Egaa Gymnasiums daglige retningslinjer for datasikkerhed
For at sikre det interne IT-system – og dermed den fælles datasikkerhed – følges i det daglige ITS’ gældende sikkerhedsprocedure.
Daglig håndtering af data
- Udvis altid fortrolighed om de personoplysninger, du bliver bekendt med som led i dine arbejdsopgaver – del og videregiv ikke personoplysninger uden at være sikker på, at det er i orden.
- Send aldrig mails med fortrolige og følsomme personoplysninger. Benyt i stedet digital post via administrationen.
- Hvis personoplysningerne af begge typer er modtaget via mail, slettes mailen straks efter sagsbehandlingen er afsluttet.
- Efterlad ikke fysiske dokumenter med personoplysninger f.eks. karakterer fremme.
- Papirdokumenter med personoplysninger skal altid bortskaffes ved makulering.
- Oplysninger om elever, der er nødvendige for at løse den daglige opgave opbevares i Teams eller Lectio – og slettes dermed når eleven eller holdet trækkes ud af system
IT-sikkerhed
- Alle udleverede medarbejdercomputere er sat op med kode. Ligeledes er Lectio. De officebaserede systemer er sat op med to-faktor-godkendelse uden for skolens netværk.
- Skolen stiller support til rådighed, men medbragte devices og programmer som ikke er udleveret direkte af skolen og brugen heraf er altid brugerens eget ansvar.
- Medarbejdere følger awareness-programmet CyberPilot.
- Arbejdscomputeren må ikke lånes ud til uvedkommende og pauseskærm skal aktiveres, når computeren forlades – også i undervisningssituationer.
- Tag ikke nye webbaserede platforme eller digitale platforme i brug uden først at vurdere sikkerheden i systemet. (Se ’Fem gode råd’).
- Åben ikke mistænkelige mails fra afsendere, du ikke kender.
- Egaa Gymnasium logger tilgang til hjemmesider og kan på konkret forespørgsel bede om denne log. Forespørgslen skal være sagligt begrundet.
- I eksamenssituationer logges og gennemses både netadgang samt benyttede IP-adresser. Desuden monitores elevens skærm via ExamCookie.
- Kontakt skolens IT-medarbejdere, hvis du bliver opmærksom på noget mistænkeligt.
Fem gode råd når du bruger gratis-programmer på nettet
Nettet flyder over med programmer og hjemmesider, som kan bruges både til at blive klogere og til læringsmæssige formål: AI, ChatGPT, Kahoot og alt muligt andet. Det muliggør en række spændende muligheder, men indebær også en række risici. Det betyder, at det er vigtigt, at tænke sig om en ekstra gang.
- Teknologi og programmer vil altid noget med brugeren. Det vil sige, at du betaler for gratisprogrammer med din adfærd, din opmærksomhed eller dine data. Måske endda det hele. Tænk derfor en ekstra gang over, hvad du faktisk betaler med. Du har altid ret til at vælge ikke at benytte gratisprogrammerne på din egen computer. Hvis den samme funktion findes indenfor skolens officielle platforme, så benyt altid den i stedet for.
- Overvej altid om organisationen eller firmaet bag hjemmesiden eller programmet er lige så reelle, som de giver udtryk for. Er siden placeret i et EU-land? Er der kontaktoplysninger eller lignende? Er der anmeldelser eller advarsler på nettet?
- Lad være med at give hjemmesider eller programmer egne eller andres personlige oplysninger – og giv heller ikke adgang til din browserhistorik. Du ved ikke, hvor det ender. Det samme gælder, hvis du uploader billeder. Afgiv aldrig kortoplysninger.
- Download ikke programmer og små tilføjelser til din browser uden at tænke dig grundigt om. Du ved ikke, hvad der følger med. Lav en kort søgning på nettet over brugeradvarsler. Potentielt kan du lukke hackere ind på din computer og dermed ind på skolens netværk.
- Opret kun en bruger, hvis det er nødvendigt – og brug ikke den mailkonto, som du bruger til alle dine private eller skolemæssige ting. Mange af de faste mailprogrammer giver mulighed for midlertidige engangsmail.
Hvis du er i tvivl, så kan du altid spørge din lærer eller en IT-vejleder.