Elektroniske elevsystemer – håndtering af persondata

Uddannelsesinstitutionerne håndterer dagligt store mængder information om elever, lærere, TAP'er (Teknisk og Administrativt Personale), samarbejdspartnere osv. Fælles for mange af informationerne er, at de er personhenførbare, dvs. handler om identificerede eller identificerbare personer.

Uddannelsesinstitutionerne er omfattet af persondataloven, når de håndterer persondata. Loven udstikker en række retningslinjer, og regulerer bl.a. hvornår og hvordan institutionerne må indsamle og behandle persondataene.

Loven giver samtidig de registrerede visse rettigheder, og udstikker rammer for den it-sikkerhed, som institutionerne skal opfylde.

Persondataloven gælder for behandling af persondata, som foretages af offentlige myndigheder og af private virksomheder, foreninger og lignende.

I modsætning til de tidligere registerlove er den nye lov ikke begrænset til kun at gælde registrering. For med "behandling" menes enhver form for måde at håndtere oplysninger om personer på; fx indsamling, registrering, systematisering, opbevaring, brug, videregivelse, samkøring og sletning.

Loven gælder som hovedregel kun for, hvordan man behandler oplysninger om personer. Den tager udgangspunkt i at beskytte den enkeltes ret til privatliv mod en overdreven og usaglig registrering af persondata.

Persondataloven sætter nogle generelle regler op, som skal overholdes. F.eks. skal den dataansvarlige, dvs. den der registrerer og behandler persondata, altid have et udtrykkeligt angivet og sagligt formål: Man må kun registrere de persondata, der er nødvendige for at opfylde formålene, og man må kun gemme persondata, så længe de er nødvendige. Persondata skal altid være ajourførte, og man må f.eks. ikke registrere vildledende eller urigtige persondata.

Persondatalovgivningen stiller en række krav til, hvordan institutioner behandler persondata i it-systemerne.

Institutionerne bør principielt i enhver behandling af persondata bl.a. overveje

• Hvilke data behandles? Følsomme, fortrolige eller blot almindelige?
• Hvorfor - hvad er formålet, og er det sagligt?
• Er der i persondataloven en særlig hjemmel til den konkrete behandling?
• Er de registrerede tilstrækkeligt informeret?
• Er institutionen i stand til at imødekomme indsigtsbegæringer?
• Hvor længe gemmes persondataene?
• Hvem har adgang til persondataene?
• Er sikkerhedskravene opfyldt?
• Ligger persondataene "hjemme" hos institutionen, eller hos en databehandler? Er der styr på de juridiske krav dertil?
• Sker der videregivelse - og er den lovlig?
• Skal der ske anmeldelse til Datatilsynet? Eller evt. forudgående godkendelse inden ibrugtagning af systemet?

Og så videre. Det er mange spørgsmål, og der er i den samlede vurdering flere detaljer endnu. Det kræver en høj grad af selvindsigt og persondata-"hygiejne" hos institutionerne. Men det kan lade sig gøre, og resultatet er ofte positivt. Institutionerne har besværet, men det medfører ofte, at man får ryddet op i alle de unødvendige og uaktuelle data, der alene er til besvær.

Persondatareglerne gælder ikke kun elevdataene i et nyt it-system med elevernes udviklingsplaner. Men også informationer om medarbejdere - både de nuværende og de fratrådte - fra ansøgningen til afskedigelsen/opsigelsen, og alt hvad der ligger der imellem.

Reglerne gælder også overvågning af medarbejderes og elevers it-anvendelse. Dvs. websurfing, der logger på serverne, e-mail-konti, der nærliggende kan blive gennemgået, hvis der er "problemer" med medarbejdere eller elever, de digitale overvågningskameraer i aulaen og så videre.

En uddannelsesinstitution, der  har sine almindelige elevadministrative it-systemer til registrering og behandling af elevers persondata som navn, adresse, klassetrin, valgfag, tilknytninger til institutionen i øvrigt, karakterer etc. illustrerer nogle overordnede persondata-elementer i et konkret it-system.

Derudover ønsker institutionen fx at anvende/etablere et særskilt system med personlige udviklingsplaner og kompetencer mv. for hver enkelt elev.

Har institutionen et eller flere saglige formål med denne registrering?

Ja, formentlig: for at udbygge og forbedre nogle indlæringsmæssige, undervisningsmæssige, faglige og pædagogiske elementer i institutionens aktiviteter over for den enkelte elev. Det handler om nuancering, evaluering og yderligere muligheder for at planlægge elevernes uddannelsesforløb på et mere detaljeret og individuelt niveau end før.

Hvilke persondata indsamler institutionen særskilt, og hvilke behandlinger sker der i det nye system?

Data om de enkelte elevers navn, klassetrin, valgfag, standpunktskarakterer etc. - alle persondata, der er "almindelige" (dvs. ikke-følsomme), og alle er relevante for at opnå et helhedsbillede af den enkelte elev.
Det ny system kunne desuden tænkes at indeholde felter til mere adfærdsrelaterede persondata. F.eks. om kommunikations- og samarbejdsevner, samvær/socialisering, pædagogisk-psykologiske vurderinger af de enkelte elever, vurderinger/kommentarer vedr. "modenhed" og sociale evner osv: Alle felter med pædagogisk og uddannelsesmæssig relevans til elevens individuelle udviklingsplan, som det ny system skulle understøtte.

En del af sådanne persondata om eleverne kunne måske være følsomme eller fortrolige i persondataretlig forstand. Og det stiller skærpede krav til databehandlingen i det ny system, bl.a. vedrørende sikkerhed og anmeldelse mv.
Institutionen skal med andre ord nøje overveje, hvilke typer af persondata, det ny system vil komme til at indeholde.

Informationer til eleverne?

De registrerede - eleverne - skal på en eller anden vis være bekendt med behandlingen. Hvis den ligger inden for rammerne af sædvanlig pædagogisk/faglig aktivitet på institutionen, kan det være, at det er lige så naturligt et led i persondatabehandlingen som anvendelsen af de "almindelige" elev-administrative systemer, som eleverne ved eksisterer og anvendes. I modsat fald må institutionen overveje, om eleverne skal orienteres særskilt om det pågældende system.

Hvad hvis en elev kræver indsigt i behandlingerne?

Institutionen skal til enhver tid være parat til at imødekomme elevers anmodninger om indsigt i behandlingerne af persondata. Den skal med andre ord have tjek på, hvad der sker i systemet, hvem der har adgang, hvorfor etc. Og skal kunne lave udtræk/redegørelse om databehandling over for den elev, der anmoder om indsigt.

Hvem må have adgang til persondataene?

Lovens regler om behandlingssikkerhed - og princippet om god databehandlingsskik - siger, at det kun er relevante medarbejdere, der må have adgang til persondata. For offentlige myndigheder er der direkte regler i sikkerhedsbekendtgørelsen til persondataloven for, hvem der må have adgang til hvilke persondata. Disse sikkerhedsregler gælder også for private dataansvarlige.

Ydermere skal systemet kunne logge brugeraktiviteter og afviste adgangsforsøg, hvis det indeholder fortrolige eller følsomme persondata om eleverne.

Hvad med sikkerheden i øvrigt?

Sikkerhedsreglerne stiller også en række andre krav til institutionens nye system. Navnlig, hvis der indgår behandling af fortrolige eller følsomme persondata.

Det kunne tænkes, at systemet ligger hos en it-leverandør, og at institutionen så at sige "lejer sig ind", idet den kan bruge systemet over internettet, mens det ligger og bliver drevet på leverandørens servere. Institutionen skal så blot åbne en internetbrowser og via leverandørens hjemmeside gå ind i systemet med et brugernavn og et kodeord.

Hvis der er følsomme persondata i systemet skal al transmission over internettet være stærkt krypteret, og hvis der alene er fortrolige persondata i systemet, skal forbindelsen være krypteret.

Systemet ligger ikke på institutionens egen server - hvad så?

Nogle institutioner bruger ikke deres egne servere til at hoste deres it-system. De  har lejet sig ind hos en leverandør - en "databehandler". Selvom institutionen som dataansvarlig vælger at overlade sine persondata til en tredjemand, har institutionen fortsat selv ansvaret for, at persondatabehandlingerne foregår i overensstemmelse med loven. Og databehandleren må ikke selv håndtere persondataene i andre sammenhænge end de formål, som institutionen har.

Der er også i loven et særligt krav om, at institutionens aftale med databehandleren (leverandøren) skal indeholde regulering af persondataforhold. Behandlingen ved en databehandler kræver, at der indgås en skriftlig aftale herom imellem den dataansvarlige og databehandleren.

Udover de ovenfor skitserede spørgsmål, overvejelser og krav indeholder persondataloven en række yderligere elementer, der skal overvejes af institutionen, f.eks. om hvorvidt det ny system evt. skal anmeldes og forudgående godkendes af Datatilsynet, inden det tages i brug. Det skal det muligvis - særligt hvis det indeholder fortrolige og/eller følsomme persondata.

Man skelner mellem følsomme, rent private og almindelige persondata.

Følsomme data er data om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Her er kravene til behandling ret restriktive.
F.eks. stilles der skærpede krav om it-sikkerhed og logning i it-systemerne.

Andre - fortrolige data - er bl.a. strafbare forhold, væsentlige sociale problemer, CPR-numre og andre rent private forhold. Her skal man også være særligt opmærksom, da der stilles skærpede krav, dog ikke altid lige så strikte som ved behandlingen af følsomme data.

De almindelige data er så alle de andre persondata, der ikke er omfattet af de to førnævnte kategorier. Det er f.eks. navn, adresse, stilling, telefonnummer etc.

Udover at opstille regler for, hvornår og hvordan de dataansvarlige må registrere og behandle persondata, giver loven en række rettigheder for den registrerede.

Den dataansvarlige har en række forpligtigelser i forhold til den registrerede persons rettigheder.

F.eks. hvad angår indsamling af persondata på et website - e-mail-adresser til udsendelse af et nyhedsbrev:

Ved tilmeldingen får den registrerede (nyhedsbrevsmodtageren) at vide, hvem der er den dataansvarlige, at dataene indsamles og kun anvendes til udsendelse af nyhedsbrevet, og ikke videregives til tredjemand, samt at den registrerede til enhver tid kan framelde sig nyhedsbrevet, hvorefter persondataene (e-mail-adressen og evt. navn) slettes.

Den registrerede kan f.eks. 7 måneder efter tilmelding ringe eller skrive og spørge, hvad den dataansvarlige nu bruger persondataene til. Og den dataansvarlige skal da svare, at hun (fortsat kun) udsender nyhedsbrevene.

Når den registrerede så framelder sig nyhedsbrevet, SKAL den dataansvarlige slette persondataene (jf. introen, hvor den registrerede netop fik den oplysning).

Hvis den dataansvarlige - uanset at have oplyst den registrerede om det modsatte - alligevel videregiver sin e-mail-adresse-database til andre firmaer, kan den registrerede klage til Datatilsynet og forlange sine persondata slettet - både hos den dataansvarlige og hos de modtagere, som den dataansvarlige har videregivet persondataene (e-mailadresse og navn) til.

Forenklet sagt skal den registrerede altså vide, hvis der registreres persondata, og i givet fald hvilke persondata, hvorfor de registreres, hvem der registrerer og behandler persondataene, hvorvidt de videregives og i givet fald til hvem.

Den registrerede har løbende ret til at kræve orientering om, hvad en dataansvarlig har registreret, hvorfor etc., jf. ovenfor - altså en løbende indsigtsret efter anmodning. Også selvom den registrerede oprindeligt har fået oplysningerne én gang (ved selve indsamlingen af oplysningerne).

Hvis der er fejl i persondataene, eller de ikke længere skal anvendes af den dataansvarlige - eller der ikke længere er en saglig grund til at have persondataene registreret - kan den registrerede kræve at få dem slettet (eller anonymiseret så de ikke længere er personhenførbare. Da er de jo ikke længere omfattet af loven).

"God databehandlingsskik" fastlægges løbende af Datatilsynets og domstolenes praksis i afgørelser, vejledninger mv., og afhænger af, hvad der rør sig og må anses for rimeligt på et givet tidspunkt, f.eks. teknologisk.

Udover de generelle regler skal behandlingen af persondata altid have hjemmel i en af de særlige behandlingsregler, dvs. reglerne om hvornår (i hvilke situationer) man som dataansvarlig konkret må behandle persondataene.

Datatilsynet er den tilsynsmyndighed, der holder øje med, at loven bliver overholdt, og som man klager til, hvis man som registreret ikke mener, at en dataansvarlig overholder loven.

Det er også Datatilsynet, der kommer med vejledende udtalelser og udsteder detail-vejledninger om f.eks. datasikkerhed mv. Og ikke mindst hjælper Datatilsynet med råd og vejledning, hvis man er i tvivl om noget vedrørende loven.

I nogle tilfælde skal den dataansvarlige også anmelde behandlinger til Datatilsynet. Og i enkelte tilfælde skal Datatilsynet forudgående godkende registrering og behandling af persondata. Bl.a. hvis behandlingen omfatter oplysninger om rent private forhold, dvs. oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold samt strafbare forhold, væsentlige sociale problemer og andre rent private forhold.

Alle de steder, hvor der sker en håndtering af persondata, gælder lovens krav om beskyttelse af den registrerede, informationspligten, kravene om it-sikkerhed, og ikke mindst de grundlæggende krav om saglighed, formål og generel overholdelse af god databehandlingsskik.

Erfaringsmæssigt er det en betydelig opgave for institutionerne. Men de mange øvelser, undersøgelser og rutiner ender også ofte godt med en mere gennemskuelig og sikker dataanvendelse i institutionerne.

Persondataloven

1. På Datatilsynets hjemmeside www.datatilsynet.dk kan man finde forskelligt uddybende materiale om loven. Herunder bl.a. en generel introduktion til loven og mere detaljeret om dens indhold i tilsynets pjece: http://www.datatilsynet.dk/publikationer/pjece/persondataloven.htm, og der offentliggøres løbende principielle afgørelser, retningslinjer og "værd at vide"-tekster: http://www.datatilsynet.dk/vaerd_at_vide/index.html om bestemte emner inden for persondatabeskyttelse. Datatilsynets hjemmeside er god og informativ, og relativt let at finde rundt i. Herunder følger nogle af lovens hovedtræk, mens du uddybende kan finde de enkelte elementer beskrevet på Datatilsynets hjemmeside, bl.a. i pjecen.
2. Datatilsynets Vejledning nr. 37 af 2. april 2001 til bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning http://www.datatilsynet.dk/include/wrapper.asp?art_id=502

Behandlingssikkerhed

3. Der er krav til "behandlingssikkerhed", dvs. it-sikkerheden, når man behandler persondata, se nærmere om sikkerhed i tilsynets vejledning om behandlingssikkerhed http://www.datatilsynet.dk/include/wrapper.asp?art_id=502

Den dataansvarliges forpligtelser

4. Se mere detaljeret om, hvordan man som dataansvarlig konkret må behandle persondata i pjecen http://www.datatilsynet.dk/publikationer/pjece/persondataloven.htm#Kap3. En grundregel er f.eks., at dataansvarlige altid må registrere og behandle persondata, hvis den registrerede har givet sit samtykke.
5. Anmeldelse og godkendelse af behandlinger under "værd at vide" http://www.datatilsynet.dk/vaerd_at_vide/indhold.asp#c93 og herunder for offentlige myndigheder i tilsynets vejledning om anmeldelse http://www.datatilsynet.dk/include/wrapper.asp?art_id=339

Indsigtsret

6. Indsigtsret i Datatilsynets rettighedsvejledning http://www.datatilsynet.dk/attachments/200082291450/afsnit%203.htm

Registreredes rettigheder

7. Registreredes rettigheder i Datatilsynets rettighedsvejledning: http://www.datatilsynet.dk/include/wrapper.asp?art_id=403

Sikkerhedskrav ved transmission

8. Sikkerhedskravene ved transmission over åbne net http://www.datatilsynet.dk/include/wrapper.asp?art_id=532

Stærk kryptering

9. Stærk kryptering http://www.datatilsynet.dk/include/wrapper.asp?art_id=562

Sikkerhedsforanstaltninger

10. Sikkerhedsforanstaltninger i forbindelse med personoplysninger hos en databehandler
    Datatilsynet har i den forbindelse offentliggjort en uddybende tekst, med forslag til en minimumsklausul i aftalen med databehandleren http://www.datatilsynet.dk/include/wrapper.asp?art_id=506