Skoleadmin er ikke GDPR-sikret fordi de ikke har en ISAE erklæring?

2 x forkert!

Skoleadmin har gennemført en uafhængig revision af vores håndtering af persondata og har modtaget en ISAE 3000 type I-erklæring. Desuden udfører KOMiT også tilsyn med vores praksis for at sikre overholdelse af regler og krav. Hos Skoleadmin prioriterer vi altid god IT-skik, hvilket sikrer fokus på sikkerhed både i design og kode samt i behandlingen af brugerdata.

Selv uden en ISAE-erklæring kan man ikke drage den konklusion, at man ikke er GDPR-sikret. En ISAE 3000-erklæring tilbyder dog dig og andre en forsikring om, at data behandles korrekt og at GDPR overholdes. Der er fastlagte procedurer for håndtering af eventuelle overtrædelser. Erklæringen er objektiv, da den udarbejdes af en tredjepart i form af en ekstern revisor.

Skoleadmin sender personoplysninger til min gmail. Det må de ikke, det er jo ikke sikkert?

Jo, det må vi godt, da mailen fra Skoleadmin sendes sikkert.

Hvis man sender følsomme personoplysninger, skal man sikre at man som minimum sender mailen sikkert via TLS 1.2, hvilket Skoleadmin altid gør. I kan læse mere omkring mails på datatilsynets hjemmeside:
https://www.datatilsynet.dk/borger/klage/jeg-modtager-foelsomme-oplysninger-paa-min-almindelige-mail-skal-jeg-klage-til-datatilsynet

Jeg har købt Skoleadmin via KOMiT. Hvem har ansvaret?

I som skole vil altid være den dataansvarlige.

Det er derfor I har en databehandleraftale med enten KOMiT eller Skoleadmin, hvilket sikrer, at jeres data bliver behandlet ansvarligt. Når integrationen med KOMiT er på plads, fungerer Skoleadmin som en underdatabehandler for KOMiT. KOMiT pålægger Skoleadmin de samme krav til sikkerhedsforanstaltninger, som I som dataansvarlige har fastsat.

Disse krav vil være specificeret i den aftale/databehandleraftale KOMiT har indgået med Skoleadmin.

Gode råd ift GDPR og indhentning af data

Man må kun indhente data man har brug for på det givne tidspunkt man indhenter det.

Et eksempel kunne være en venteliste. Når eleven tilmeldes ventelisten, vil der ofte ikke være behov for at indhente CPR-nummer eller adresse. Disse oplysninger bliver først relevante, når og hvis der skal laves en skolekontrakt. Derimod vil det være relevant med kontaktoplysninger såsom e-mail og telefon samt eventuelle præferencer for specifikke linjer, køn osv.

Gode råd ift GDPR og oprydning af data

Her gælder de samme regler som for indhentning af data.

Det vil sige, at man er forpligtet til at rydde op og fjerne data, så snart data ikke længere er relevante. Det er derfor vigtigt, at man som skole udformer slettepolitikker, der sikrer, at man altid kun har relevante data liggende. Skoleadmin hjælper med dette, og vi udbygger løbende systemet, så I kan konfigurere og automatisere disse politikker.

Hvad er følsomme personoplysninger?

Følsomme oplysninger er oplysninger om:

• Race og etnisk oprindelse
• Politisk overbevisning
• Religiøs eller filosofisk overbevisning
• Fagforeningsmæssige tilhørsforhold
• Genetiske data
• Biometriske data med henblik på entydig identifikation
• Helbredsoplysninger
• Seksuelle forhold eller seksuel orientering

CPR-nummeret er ikke defineret som en følsom oplysning, men kan bruges til identitetstyveri, hvorfor det er en rigtig god ide at passe godt på det. Derfor obfuskerer vi fx også CPR-nummeret i statsstøtteskemaet.

Hvad er ikke-følsomme personoplysninger (almindelige personoplysninger)?

Almindelige personoplysninger omfatter alle de oplysninger, der ikke er nævnt under følsomme personoplysninger. Det kunne være navn og adresse.