21 Maj 2018

GDPR – vad innebär det för din skola? 

Den 25 maj träder den nya dataskyddsförordningen, GDPR, i kraft och kommer att gälla inom hela EU. Hur påverkar GDPR skolans arbete? Hur kan skolor främja sina elevers integritet och samtidigt använda bra pedagogiska verktyg och digitala läromedel? Vi reder ut begreppen. 

GDPR ersätter personuppgiftslagen PuL och syftet är att skydda medborgares integritet och ge dem större kontroll över sina egna data. GDPR ökar kraven på att hantering av personuppgifter ska vara motiverad och ställer högre krav på skydd av personuppgifter. Med GDPR skapas också en enhetlighet i EU och samma rättigheter gäller för individer i hela EU. Nytt till skillnad från tidigare PuL är att GDPR gäller även ostrukturerad information så som mejl, dokument med mera.

Hur påverkar GDPR skolans arbete? 
Det finns några frågor som varje skola måste ta ställning till:
• Var hanteras personuppgifter, vilka uppgifter omfattas och är de uppgifterna känsliga eller ej? Detta bör dokumenteras. 
• Behövs hanteringen? Ett gott råd är att minimera antal system och minimera uppgifterna. 
• Gör en riskanalys. Vem ska ha åtkomst till uppgifter? Hur känsliga är uppgifterna? Hur hänger de ihop med övriga system? 
• Vilken rättslig grund finns för hanteringen? Kan till exempel vara myndighetsutövning, allmänt intresse eller samtycke.
• Vilka policies ska gälla för fritext i olika former (som dokument, mejl, skrivbara ytor i bedömningsportaler eller lärplattformar)?
• Vilka rutiner ska gälla för radering? Hur ofta? Vad ska sparas? 

GDPR och digitala läromedel  
Personuppgifter som förekommer i digitala läromedel är användarkontouppgifter (namn och e-post). Det kan också vara sådant som skapas av elever och lärare i läromedlet med koppling till person (svar på övningar samt anteckningar och tillägg).

Då skolan tilldelar elever digitala läromedel är skolan personuppgiftsansvarig och Gleerups blir som leverantör personuppgiftsbiträde till skolan.

Att tänka på när det gäller GDPR och digitala läromedel eller andra digitala lärresurser:
•    Vilka digitala läromedel och andra lärresurser används på skolan? 
•    Vilka personuppgifter hanteras vid användning?
•    Finns det risker och vilka är de? 
•    Hur många olika tjänster används? 
•    Kan leverantörer erbjuda ett personuppgiftsbiträdesavtal enligt GDPR och på övriga sätt möta kraven i GDPR?

För oss på Gleerups är det enormt viktigt att alla våra användare kan vara trygga med hanteringen av personuppgifter i Gleerups digitala läromedel. Därför har vi satt upp tre löften:

Gleerups GDPR-löften
Tydliga juridiska spelregler: Personuppgiftsbiträdes avtal och tydlig integritetspolicy
Säker infrastruktur: Hög teknisk skyddsnivå med brandväggar och kryptering av alla personuppgifter
Trygghet och transparens: Kunden kan se vilka personuppgifter som hanteras och vilka individer det gäller

Gleerups erbjuder skolan: 
•    Avtal om hantering av personuppgifter enligt GDPR (personuppgiftsbiträdesavtal) 
•    Tydlig information om vilka personuppgifter som hanteras i Gleerups digitala läromedel 
•    Överblick över dina personuppgifter som finns i Gleerups digitala läromedel när du är inloggad  (från sommaren 2018).
•    Tydlig integritetspolicy 
•    Rutin för radering av personuppgifter 
•    Datasäkerhet –  All data ligger säkert lagrad inom EU-området hos världens ledande leverantör av serverlösningar, Amazon Web Services, och regelbundna säkerhetstester genomförs. 

Frågor om GDPR? 
Avtal till kommuner och skolor är nu på väg från Gleerups. Har du frågor eller vill ha råd och stöd i  arbetet kring dataskydd och datasäkerhet i digitala läromedel hjälper vi gärna till.  Kontaktperson för GDPR: anna.ostrand@gleerups.se

Läs mer om Gleerups digitala läromedel och GDPR