Tre skoletips for GDPR

Reportasje 2017-12-19
Så langt er den mest snakket om hva selskaper må gjøre for å tilpasse seg den nye personvernloven GDPR, men det vil også ha betydning for skolene.
Elisabeth Nore

25. mai 2018 blir GDPR gjeldende i EU og EØS-land. Dette betyr ikke bare store utfordringer for bedrifter og organisasjoner i Norge, det vil bli avgjørende også for skolene. Det kan arbeidet i noen tilfeller være enda viktigere å begynne å tenke på, fordi de også ellers har mye annet å jobbe med, sier Pernilla Rönn, leder for informasjonssikkerhet ved Combitech.

– Det er veldig mange aktører, ikke bare skoler, som ser ut til å vente til siste sekund med å ta tak i  GDPR-spørsmålet. Som for skoler, kan det være fordi de har så mye andre utfordringer som prioriteres, behovet for å hele tiden ha fokus på elevene og som mange vet er det selvsagt også en utbredt mangel på lærere.

”Skolene står overfor en like stor utfordring som andre.”

– Faktum er at skolene står overfor en like stor utfordring som andre. I deres interne systemer er svært sensitiv informasjon og data om alle elever, og unge gis ekstraordinære hensyn i den nye forskriften. De har også mye informasjon som håndteres rent manuelt fortsatt, som klasselister.

Rönn tror det kan være store forskjeller i beredskap mellom de ulike skolene, delvis basert på størrelse og distrikt. Mindre skoler med begrensede ressurser – og kanskje har kommet kortere i digitaliseringsprosessen generelt – har mer å jobbe med frem til mai.

– Større bedrifter som gjennomgående har utviklet det digitale arbeidet, har det lettere fremover enn for eksempel de som fortsatt fører personalinformasjonen manuelt, de må gjennom store omstillinger. Det handler mye om å øke bevisstheten blant lærere når det gjelder sikkerhetsspørsmål, og det er ikke bare et teknologispørsmål om hvor i systemet og prosessen den sensitive informasjon er, men også om bevissthet hos de som håndterer informasjonen.

Hva bør skolen gjøre?

– De må gjøre en analyse der de kartlegger og identifisere prosesser og sammenhenger som håndterer personopplysninger. Det bør de gjøre for å se hvilken risiko det kan påføre deres egen virksomhet, men også risikoen personen som håndterer informasjonen utsettes for. Man trenger ikke å være ferdig med alt mai 2018, men du må ha gjort analysen, og ha planene klare for hvordan selskapet håndterer personopplysninger og informasjon.

Som nevnt tidligere, kan skolene noen ganger være mindre forberedt, fordi de har mange andre hensyn de må ta. En annen grunn, ifølge Rönn, er at personvern og sikkerhet tidligere ikke har vært en naturlig del av arbeidet. Nå er de tvunget til å ha dette perspektivet på en annen måte enn før.

– Mange skoler vil sannsynligvis trenge noen banebrytende eksempler der ansatte har kommet langt og begynte å tenke i de riktige baner innenfor håndtering, sikkerhet, beskyttelse, og så videre. Men disse utfordringene er ikke bare i Skandinavia, de ser det samme i hele Europa.

Tre GDPR tips til skolene:

  1. Gjør internkontroller og kartlegg hvordan du håndterer personopplysninger, både når det gjelder IT-systemer og manuell håndtering. Se over hvor personliginformasjon er lagret og hvordan de håndteres.
  2. Lær opp alle lærere og ansatte i skolene i hvorfor sikkerhet er viktig, slik at lovgivningen kan følges. Lag rutiner slik at informasjonen blir håndtert på riktig måte, og tildeling av ansvaret for dette på bakgrunn av analysene utført.
  3. Utvikle en plan for hvordan du skal fortsette å jobbe. Du trenger ikke å ha alt klart mai 2018, men det er viktig å ha en grundig analyse og ha utviklet en god plan. Blir du utsatt for en revisjon, vil ikke myndighetene umiddelbart forvente at alt implementeringsarbeidet er på plass, men forarbeidet må absolutt gjøres.
Atea.no oppfattes bedre hvis du oppdaterer nettleseren din. Her finner du en ny versjon av Internet Explorer