Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Tre skoltips inför GDPR

Hittills har det mest pratats om vad företag behöver göra för att anpassa sig till den nya dataförordningen GDPR, men det kommer även att innebära betydande uppoffringar för skolorna runt om i Sverige. Det anser Pernilla Rönn, affärsområdeschef för informationssäkerhet på Combitech.

Text Fredrik Adolfsson Foto Adobe Stock 22 augusti 2017 it i skolan

skola gdpr.jpg

Den 25 maj 2018 börjar som bekant GDPR att gälla i EU. Det innebär inte bara stora utmaningar för företag och organisationer runt om i Sverige, utan det berör i allra högsta grad även skolorna. Där kan till och med arbetet inför i vissa fall vara ännu viktigare att börja tänka på, eftersom de i övrigt har så mycket annat att fokusera på, menar Pernilla Rönn, affärsområdeschef för informationssäkerhet på Combitech.

 Det finns väldigt många aktörer, inte bara skolor, som verkar vänta in till sista sekund med att ta tag i GDPR-frågan. När det gäller skolor kan det bero på att de har så mycket andra utmaningar som de prioriterar, de måste ständigt ha ett fokus på elever och som många vet finns ju även en utbredd lärarbrist.

pernilla rönn pixlr.jpg

Pernilla Rönn, affärsområdeschef för informationssäkerhet på Combitech.

 Men faktum är att skolor står inför en minst lika stor utmaning som andra. I deras interna system finns mycket känslig information och data om alla elever och unga tas ju extra hänsyn till i den nya förordningen. De har också mycket information som hanteras rent manuellt fortfarande, exempelvis klasslistor.

Pernilla Rönn tror att det kan finnas stora skillnader i beredskap mellan olika skolor, delvis baserat på storlek och region. Mindre skolor med begränsade resurser – och som kanske kommit en kortare bit i digitaliseringsarbetet generellt sett – har mer att arbeta på fram tills maj.

 Större verksamheter med ett genomgående utvecklat digitalt arbete har lättare framöver än exempelvis dem som fortfarande sköter personuppgifter manuellt, de kommer få göra stora förändringsarbeten. Där handlar det mycket om att öka medvetenheten hos lärarna när det gäller säkerhetsfrågor, och det är inte bara en teknikfråga som handlar om var i systemen och processerna som de känsliga uppgifterna finns, utan även om medvetenheten hos dem som hanterar uppgifterna.

Hur bör skolor gå tillväga?

 De måste göra ett analysarbete där de kartlägger och identifierar processerna och sammanhangen som hanterar personuppgifter. Det ska de göra för att se vilka risker det kan medföra den egna verksamheten men också personen som man hanterar. Att göra sin läxa och kartlägga sin informationssäkerhet från början är jätteviktigt. Man behöver inte vara färdig med allt när maj 2018 kommer, men man måste ha gjort analysen och ha planen klar för sig hur man i verksamheten hanterar persondata och uppgifter.

Som tidigare nämnt kan skolor ibland vara sämre förberedda beroende på att de har så många andra fokusfrågor hela tiden. En annan anledning kan, enligt Pernilla Rönn, vara att personlig integritet och säkerhet aldrig varit en naturlig del av arbetet tidigare. Nu tvingas de ha det perspektivet på ett annat sätt än tidigare.

 Många skolor behöver förmodligen några föregångsexempel där de anställda kommit långt och börjat tänka i rätt banor kring hantering, säkerhetsåtgärder, skydd och så vidare. Men dessa utmaningar finns inte bara i Sverige, de ser likadana ut i hela Europa.

Pernilla Rönns tre GDPR-tips till skolor

  1. Gör inventeringar och kartlägg var ni hanterar personuppgifterna, det gäller både it-systemmässigt och den manuella hanteringen. Se över var personuppgifterna lagras och hur de hanteras.
  2. Utbilda alla lärare och anställda i skolorna i varför säkerhetsarbetet är viktigt, så att lagstiftningen sedan kan följas.
  3. Skapa rutiner så att uppgifter hanteras på rätt sätt, och utse ansvariga för detta utifrån analyserna som gjorts. Ta fram en plan hur ni fortsätter arbetet, allt kan inte göras på en gång men det är viktigt att ha planen på plats. Man behöver inte ha allt klart till maj 2018 men det är viktigt att ha gjort en grundlig analys och tagit fram en bra plan. Råkar ni ut för en revision så kommer inte myndigheterna direkt förvänta sig att allt implementationsarbete på plats, men grundarbetet måste absolut vara gjort.

Rekommenderad läsning

Eu Ladyjustice Schrems
Voister förklarar

Schrems II-domen

22 feb 2021 säkerhet

Schrems II-domen från juli 2020 innebär att det är betydligt svårare att använda amerikanska molntjänster. Men vad betyder domen för dig, hur kom den till och varför heter den Schrems II? Voister förklarar det du behöver veta.

Ansiktsigenkänning 960640

Grönt för igenkänning

30 jun 2020 säkerhet

Datainspektionen har beslutat att tillåta anonym ansiktsigenkänning. Tanken är att tekniken ska göra det lättare att förstå kundbeteenden i fysisk handel.

krimvarden.jpg

Ny koll av myndigheter

11 dec 2019 säkerhet

Nu ska Skatteverket, Åklagarmyndigheten, Kustbevakningen, Kriminalvården och Tullverket granskas för att se om de har tillräckliga rutiner för att detektera och rapportera incidenter rörande personuppgifter. 

ansiktsigenkanning960640.jpg

Ansiktsigenkänning lagligt

29 okt 2019 säkerhet

Datainspektionen har bedömt polisens planerade användning av ansiktsigenkänning som laglig. Däremot måste polisen ange hur länge man har tänkt spara uppgifterna. 

profilen av en kvinna i profil.jpg

Böter för igenkänning

21 aug 2019 säkerhet

Det blir 200 000 kronor i böter för Anderstorpsgymnasiet i Skellefteå som har använt ansiktsigenkänning för att göra närvarokoll av elever under lektioner. Men it-strateg och tidigare rektor Tommy Lindmark säger att han inte håller med om Datainspektionens beslut.

people-cloud-960640.jpg

Forskning för säkrare moln

21 nov 2018 säkerhet

Företag använder sig ofta av molntjänster för att analysera stora mängder data, vilket kan innebära att den personliga integriteten och kontrollen över datan minskar. Nu startar ett innovationsprojekt, med bland annat Karlstads universitet och Eurecom, som ska försöka lösa problemet.

slar-in-fina-julklappar.jpg

GDPR utmanar e-handeln

15 nov 2018 säkerhet

Nordiska konsumenter blir alltmer tveksamma till hur näthandelsföretag använder persondata. Två av tre konsumenter tror att företagen delar kunduppgifterna med en tredje part och är mycket, eller ganska oroliga över hur uppgifterna används.

domarklubba-och-amerikanska-flaggan.jpg

Så påverkar Cloud Act

24 okt 2018 säkerhet

Cloud Act innebär att amerikanska myndigheter kan begära ut data från amerikanska molnleverantörer, oavsett var i världen informationen och servrarna finns. Mathias Strand, chefsjurist på Microsoft, ger sin syn på vad lagen kan betyda för Sverige.

lakare-med-patient.jpg

Ris och ros i GDPR-granskning

24 okt 2018 säkerhet

För första gången sedan GDPR infördes den 25 maj i år har Datainspektionen sett över hur den viktiga artikel 37 efterlevs bland svenska företag och myndigheter. Resultaten visar att det finns en del att jobba på, inte minst bland teleoperatörerna.