GDPR-vurdering af apps i Skoler

Grønne apps kan anvendes af skolerne uden at persondata kompromitteres.

Gule apps kan anvendes af skolerne med visse forbehold. Målet er, at persondata ikke kompromitteres. Der kan være forskellige typer af forbehold og her er de væsentligste:

• Opret aldrig en profil, medmindre det er en fiktiv person som for eksempel Fedtmule.
• Køb ikke tillægsydelser i app, for så afleveres persondata til leverandøren.
• Appen kan være en voksenapp, hvor der ikke garanteres for børns data.
• Del aldrig data gennem appens indbyggede delingsfunktioner, sociale medier, YouTube og andre fildelingstjenester.

Del altid gennem Aula

Gladsaxe Kommune har databehandleraftaler med leverandørerne af Aula og flere af skoleportalerne (oftest logges der på via en browser med et Unilogin), som sikrer at følsomme persondata opbevares og forvaltes forsvarligt.

En generel rettesnor er derfor kun at dele video, billeder, lyd, tegninger eller tekst, som kan indeholde personfølsomme data gennem Aula.
 

Røde apps må ikke anvendes af børn i Skole, da de enten indsamler, gemmer eller anvender/videregiver brugerens persondata, på en måde så GDPR-lovgivningen ikke er opfyldt. 

Blå apps er enten udgåede eller ikke er tilgængelige, men er de installeret, kan de måske fortsat bruges.

Den oprindelige kategorisering i forhold til GDPR fremgår af listen, hvor farven i kommentarfeltet til højre for GDPR-vurderingen indikerer, appens oprindelige vurdering.

Hver skole har sin egen lokale GLX App Store, der indeholder de apps, som skolen har bestilt. Disse apps kan installeres uden brug af Apple-id og adgangskode. 

Det er antallet af bestilte licenser til hver app, der afgør, hvor mange iPads appen kan være installeret på samtidig. Hvis en app ikke vises i GLX App Store, kan det skyldes, at den allerede er installeret på det antal iPads, skolen har licenser til. For at installere appen, kan appen slettes på en anden iPad, så der frigøres en licens, eller også skal skolen bestille flere licenser til den pågældende app. 

De enkelte skoler betaler selv for de apps, de bestiller. Gratis apps kan frit bestilles i stort antal, så de kan installeres på skolens iPads, hvis det ønskes. For apps der skal betales, opnår kommunen ofte en klækkelig mængderabat.

Nyt system/app

Følg reglerne for indkøb af systemer/apps i Gladsaxe Kommune.

Opstart ved ny system/app

1: Undersøgelse om system/app opsamler, lagrer og videresender persondata. 
​Ansvar: Systemkonsulent

• 2: Nej: Ingen persondata
  System/app kræver ikke en databehandleraftale og kan bruges. Der kan dog være forbehold i brugen af system/app.
• 2: Ja: Persondata
  
  1. Udpeg en faglig bruger/systemadministrator til system/app. 
     Ansvar: Institution
  2. Indhent databehandleraftale hos leverandør.
     Ansvar: Systemkonsulent
  3. Send databehandleraftalen til godkendelse hos Informationsikkerhedskonsulenterne i Sekretariat og Politik Betjening på Rådhuset.
     Ansvar: Systemkonsulent

​En databehandleraftale er lovpligtig i henhold til Datatilsynet. Databehandleraftaler ændres kun, hvis der er væsentlige ændringer i systemet/appen. 

Årshjul: System/app er i brug

1. Ajourfør systemet/app med brugerrettigheder mv. er korrekt, mindst én gang om året. 
   Ansvar: Institution/Leverandør
2. Kontrollér logning i systemet/app er korrekt.
   Ansvar: Systemkonsulent/Institution
3. Indhent revisorerklæring, hvis den ikk er modtaget indenfor det sidste år.
   Ansvar: Systemkonsulent
4. Kontrollér databehandleraftale med revisorerklæringen. Hvis der ikke er ændringer, som kræver en ny databehandleraftale, så fortsæt, ellers start ved punkt 2 i afsnittet "Opstart ved nyt system/app".
   Ansvar: Informationssikkerhedskonsulent
5. Lav risikovurdering af systemet/app.
   Ansvar: Systemkonsulent, Faglig bruger, Systemadministrator, Informationssikkerhedskonsulent
   Udfyld spørgeskemaet, nogle svar findes i:
   
   • Databehandleraftalen
   • Revisorerklæringen
   • Viden fra Den Faglige Bruger/Systemadministrator
   • Leverandøren
6. Ajourfør KITOS
   Ansvar: Systemkonsulent
7. Kræver systemet/appen en nødplan?
   
   • Nej: Alt okay
   • Ja: Udarbejd en nødplan for system/app.
     Ansvar: Systemkonsulent/Informationssikkerhedskonsulent
8. Kræver systemet/appen en brugervejledning?
   
   • Nej: Alt okay
   • Ja: Udarbejd en brugervejledning for systemet/appen.
     Ansvar: Faglig bruger/Systemadministrator

En risikovurdering skal altid udarbejdes ved opstart, og løbende i forhold til hvor stor mængde persondata, der findes i systemet, svarende til mellem to måneder og to år. 

Ad hoc opgaver

1. Databrud er brud på sikkerheden
   
   • Hvem? 
     Institutionen
   • Hvornår?
     Ved nedbrud eller brud på datasikkerheden
   • Hvordan?
     Henvendelse til informationssikkerhedskonsulenterne
2. Indsigtsanmodning
   
   • Hvem?
     Medarbejder, elev og forældre
   • Hvornår?
     Sker altid på anfordring
   • Hvordan?
     bys@gladsaxe.dk, e-boks eller på tlf.: 39 57 51 13
   • Ansvar
     Institutionen

Aktører

• Faglig bruger/Systemadministrator
  Den pædagog/lærer som har et indgående fagligt kendskab til systemet/appen. 
  Ved større og mere tværgående systemer/apps vil det være en systemadministrator.
  Fokus er på faglighed af system/app.
• Institution
  Den enkelte institutions ledelse/administrator/it-ansvarlig/tekniker.
  Fokus er på administration af den enkelte institution.
• Systemkonsulent
  Tværfaglig systemadministrator af systemer/apps og kontakt til leverandøren af system/app.
  Fokus er på den administrative del af GDPR.
• Informationssikkerhedskonsulenter
  Godkendelse af databehandleraftaler og udarbejdelse af risikoanalyser.
  Fokus er på den juridiske del af GDPR.
• Leverandør
  Leverandør af system/app.
  Fokus er på system/app.

Læs mere om baggrunden for arbejdet med GDPR, og få en uddybende beskrivelse af GPV's arbejdsgang i forbindelse med apps. 

GPV's beskrivelse af GDPR-arbejdsgang: Vurdering af apps