GDPR-vurdering af apps i Skoler
GPV - Gladsaxe Pædagogiske Videncenter har kategoriseret mere end 750 apps, efter deres håndtering af persondata (GDPR) i kategorierne grøn, gul og rød.
Det er alle de apps, der bliver brugt – eller har været ønsket brugt, i dagtilbud og skoler samt familie og rådgivning.
Kategoriseringen af en app skifter, hvis den bliver opdateret, eller leverandøren ændrer sine oplysninger.
Nedenfor kan du se en beskrivelse af de tre kategorier grøn, gul og rød.
GDPR-lysregulering
Grønne apps kan anvendes af skolerne uden at persondata kompromitteres.
Gule apps kan anvendes af skolerne med visse forbehold. Målet er, at persondata ikke kompromitteres. Der kan være forskellige typer af forbehold og her er de væsentligste:
- Opret aldrig en profil, medmindre det er en fiktiv person som for eksempel Fedtmule.
- Køb ikke tillægsydelser i app, for så afleveres persondata til leverandøren.
- Appen kan være en voksenapp, hvor der ikke garanteres for børns data.
- Del aldrig data gennem appens indbyggede delingsfunktioner, sociale medier, YouTube og andre fildelingstjenester.
Del altid gennem Aula
Gladsaxe Kommune har databehandleraftaler med leverandørerne af Aula og flere af skoleportalerne (oftest logges der på via en browser med et Unilogin), som sikrer at følsomme persondata opbevares og forvaltes forsvarligt.
En generel rettesnor er derfor kun at dele video, billeder, lyd, tegninger eller tekst, som kan indeholde personfølsomme data gennem Aula.
Røde apps må ikke anvendes af børn i Skole, da de enten indsamler, gemmer eller anvender/videregiver brugerens persondata, på en måde så GDPR-lovgivningen ikke er opfyldt.
Blå apps er enten udgåede eller ikke er tilgængelige, men er de installeret, kan de måske fortsat bruges.
Den oprindelige kategorisering i forhold til GDPR fremgår af listen, hvor farven i kommentarfeltet til højre for GDPR-vurderingen indikerer, appens oprindelige vurdering.
Liste med vurderede apps
Apps har ofte forskellige navne på dansk og engelsk. Begge navne fremgår af listen. Apps til skoleområdet er oplistet alfabetisk i fire grupper
- Apps til brug med robotter og andre digitale læremidler
- Apps kun til voksenbrug
- Apps til leg og læring
- Apps der er slettet fra GLX App Store
Flere apps i GLX App Store
I forbindelse med bestilling bliver appen GDPR-vurderet i kategorierne grøn, gul, rød og blå. Det er kun grønne og gule apps, der bliver gjort tilgængelige i GLX App Store.
Procedure for bestilling af flere apps i GLX Apps Store
Proceduren er, at skolens IT-tekniker sendere en mail til appbestilling@gladsaxe.dk med følgende oplysninger om app'en:
- Appens fulde navn
- Et link til appen i App Store for at præcisere hvilken app, der skal bestilles
- Antal licenser, der ønskes i skolernes GLX App Store, og eventuelle specielle ønsker for udrulningen eksempelvis; automatisk til alle 3. klasser.
Om skolens lokale App Store
Hver skole har sin egen lokale GLX App Store, der indeholder de apps, som skolen har bestilt. Disse apps kan installeres uden brug af Apple-id og adgangskode.
Det er antallet af bestilte licenser til hver app, der afgør, hvor mange iPads appen kan være installeret på samtidig. Hvis en app ikke vises i GLX App Store, kan det skyldes, at den allerede er installeret på det antal iPads, skolen har licenser til. For at installere appen, kan appen slettes på en anden iPad, så der frigøres en licens, eller også skal skolen bestille flere licenser til den pågældende app.
De enkelte skoler betaler selv for de apps, de bestiller. Gratis apps kan frit bestilles i stort antal, så de kan installeres på skolens iPads, hvis det ønskes. For apps der skal betales, opnår kommunen ofte en klækkelig mængderabat.
Mere om GDPR
Nyt system/app
Følg reglerne for indkøb af systemer/apps i Gladsaxe Kommune.
Opstart ved ny system/app
1: Undersøgelse om system/app opsamler, lagrer og videresender persondata.
Ansvar: Systemkonsulent
- 2: Nej: Ingen persondata
System/app kræver ikke en databehandleraftale og kan bruges. Der kan dog være forbehold i brugen af system/app. - 2: Ja: Persondata
- Udpeg en faglig bruger/systemadministrator til system/app.
Ansvar: Institution - Indhent databehandleraftale hos leverandør.
Ansvar: Systemkonsulent - Send databehandleraftalen til godkendelse hos Informationsikkerhedskonsulenterne i Sekretariat og Politik Betjening på Rådhuset.
Ansvar: Systemkonsulent
- Udpeg en faglig bruger/systemadministrator til system/app.
En databehandleraftale er lovpligtig i henhold til Datatilsynet. Databehandleraftaler ændres kun, hvis der er væsentlige ændringer i systemet/appen.
Årshjul: System/app er i brug
- Ajourfør systemet/app med brugerrettigheder mv. er korrekt, mindst én gang om året.
Ansvar: Institution/Leverandør - Kontrollér logning i systemet/app er korrekt.
Ansvar: Systemkonsulent/Institution - Indhent revisorerklæring, hvis den ikk er modtaget indenfor det sidste år.
Ansvar: Systemkonsulent - Kontrollér databehandleraftale med revisorerklæringen. Hvis der ikke er ændringer, som kræver en ny databehandleraftale, så fortsæt, ellers start ved punkt 2 i afsnittet "Opstart ved nyt system/app".
Ansvar: Informationssikkerhedskonsulent - Lav risikovurdering af systemet/app.
Ansvar: Systemkonsulent, Faglig bruger, Systemadministrator, Informationssikkerhedskonsulent
Udfyld spørgeskemaet, nogle svar findes i:
- Databehandleraftalen
- Revisorerklæringen
- Viden fra Den Faglige Bruger/Systemadministrator
- Leverandøren
- Ajourfør KITOS
Ansvar: Systemkonsulent - Kræver systemet/appen en nødplan?
- Nej: Alt okay
- Ja: Udarbejd en nødplan for system/app.
Ansvar: Systemkonsulent/Informationssikkerhedskonsulent
- Kræver systemet/appen en brugervejledning?
- Nej: Alt okay
- Ja: Udarbejd en brugervejledning for systemet/appen.
Ansvar: Faglig bruger/Systemadministrator
En risikovurdering skal altid udarbejdes ved opstart, og løbende i forhold til hvor stor mængde persondata, der findes i systemet, svarende til mellem to måneder og to år.
Ad hoc opgaver
- Databrud er brud på sikkerheden
- Hvem?
Institutionen - Hvornår?
Ved nedbrud eller brud på datasikkerheden - Hvordan?
Henvendelse til informationssikkerhedskonsulenterne
- Hvem?
- Indsigtsanmodning
- Hvem?
Medarbejder, elev og forældre - Hvornår?
Sker altid på anfordring - Hvordan?
bys@gladsaxe.dk, e-boks eller på tlf.: 39 57 51 13 - Ansvar
Institutionen
- Hvem?
Aktører
- Faglig bruger/Systemadministrator
Den pædagog/lærer som har et indgående fagligt kendskab til systemet/appen.
Ved større og mere tværgående systemer/apps vil det være en systemadministrator.
Fokus er på faglighed af system/app. - Institution
Den enkelte institutions ledelse/administrator/it-ansvarlig/tekniker.
Fokus er på administration af den enkelte institution. - Systemkonsulent
Tværfaglig systemadministrator af systemer/apps og kontakt til leverandøren af system/app.
Fokus er på den administrative del af GDPR. - Informationssikkerhedskonsulenter
Godkendelse af databehandleraftaler og udarbejdelse af risikoanalyser.
Fokus er på den juridiske del af GDPR. - Leverandør
Leverandør af system/app.
Fokus er på system/app.
Læs mere om baggrunden for arbejdet med GDPR, og få en uddybende beskrivelse af GPV's arbejdsgang i forbindelse med apps.
