logosmalhead

Datasikkerhed

Datapolitik elever og forældre

Før indmeldelse

Skolen afholder hvert år i januar måned indskrivningsmøde for kommende skolebørn. Der annonceres på hjemmesiden og Facebook. Der sendes indbydelser til kommende skolebørn i Vendsyssel Børnehus og vores elevers mindre søskende i denne aldersgruppe.  Der udleveres indskrivningspapirer og velkomstfolder til alle fremmødte.

Skolen får løbende henvendelser fra interesserede forældre til skolesøgende børn. De inviteres til en fremvisning af skolen, en samtale og hvis interessen stadig er der, kommer barnet på prøve i 1-2 uger. Ved prøveperiodens start afleverer forældrene deres kontaktoplysninger, som opbevares på skolens kontor. Det besluttes efterfølgende, om det er det rette valg for begge parter. Oplysningerne destrueres ved prøvetidens ophør hvis eleven ikke indskrives.

Indmeldelse

Forældrene udfylder og afleverer indskrivningspapirer på skolens kontor. Skolen sikrer sig, at alle forældremyndighedsindehavere har skrevet papirerne under, og at velkomstfolderen er læst. Heri orienteres forældrene om skolens oplysningspligt ved indsamling af persondata og samtykker.

Forældrene har mulighed for at give en række samtykker på indmeldelses-blanketten. Befordring i private biler, offentliggørelse af navn, adresse, tlf, fotos, indhentning af oplysninger hos PPR og tidligere skole/bh. Forældrene har til enhver tid ret til at trække deres samtykker tilbage.

Elever og forældre oprettes i det administrative system (Komit), hos UNI-C, på skolens hjemmeside, og i fysisk elevarkiv. Der oprettes en google konto til alle elever. Kontoen benyttes som elevmail og til deling af dokumenter mellem forskellige grupper af ansatte og elever.

Skoletiden               

Skolen registrerer elevernes sygefravær og andet fravær i klassens protokol. Behandling af helbredsoplysninger/sygdommens årsag kræver særskilt samtykke. Skolen behandler kun helbredsmæssige oplysninger, såfremt de er nødvendige i forhold til anmodning om hjælpemidler, hensyntagen til allergier, udlevering af medicin og særlig opmærksomhed ved tilskadekomst.

Videregivelse af personoplysninger som er nødvendige i forhold til opfyldelse af retlige forpligtelser og indberetninger i samfundets interesse (Danmarks Statistik) kræver ikke samtykke.

Forældremyndighedsindehavere kan til enhver tid bede om indsigt i alle de oplysninger, som skolen har registreret om barnet. Skolen må ikke udlevere oplysninger, der vedrører private forhold om andre end den, der har anmodet og barnet selv. Såfremt der findes oplysninger, som eleven ikke ønsker videregivet, foretager skolen en individuel, konkret vurdering i forhold til barnets tarv.

Forældre uden forældremyndighed har ikke ret til indsigt men ret til en orientering om barnets forhold. Papforældre kan få ret til indsigt efter udtrykkeligt samtykke fra forældremyndighedsindehavere og barnet selv.

Den skærpede underretningspligt påvirkes ikke af Persondataforordningen, den har fortrinsret fremfor den/de registreredes rettigheder. Forældrene skal i overensstemmelse med lovgivningen orienteres om underretningen.

Ud af skolen

Når eleven forlader skolen i forbindelse med skoleskift eller afsluttet skolegang, tømmes elevmappen og indholdet makuleres. Elever og forældre slettes i de respektive systemer, når der ikke længere er et sagligt behov for databehandling. Regnskabsmæssigt materiale slettes jf. lovgivningen først efter 5 år. Afgangsbeviser og udtalelser gemmes til ”tid og evighed” i henhold til lovgivning om offentlige arkivalier. Elevbesvarelser og eksaminators notater skal gemmes i et år efter bedømmelsen.

Sikkerhedspolitik

Indledning

Vendsyssel Friskoles er i forhold til persondataloven dataansvarlig for de oplysninger, som skolen kommer i besiddelse af. Sikkerhedspolitikken skal derfor sikre, at skolens håndtering af personoplysninger til hver en tid sker på en betrykkende og tillidsvækkende måde, der er i overensstemmelse med gældende lovgivning. Alle medarbejdere og bestyrelsesmedlemmer har pligt til at sætte sig ind i de til enhver tid gældende regler og retningslinjer for datasikkerhed.

Sikkerhedsansvarlige

Bestyrelsen har det overordnede ansvar for skolens sikkerhedspolitik, og skal mindst en gang om året revurdere den. Sikkerhedspolitikken godkendes, sammen med de øvrige dokumenter i persondatamappen, ved at den samlede bestyrelse sætter dato og underskrift på arket ”bestyrelsens stillingtagen”.

Skolens leder har ansvaret for opbevaring af persondata, indhentelse af databehandleraftaler og adgangs- styring. Det er ligeledes skolelederens ansvar at introducere sikkerhedspolitikken for nye ansatte, og holde tilsyn med at sikkerhedsforanstaltningerne overholdes.

Samarbejde med andre

 I et vist omfang løses skolens opgaver i fællesskab med eksterne databehandlere, som har fået tilladelse til at behandle skolens data. Den dataansvarlige skal, før iværksættelse af et samarbejde med en ekstern partner, sikre sig at databehandleren opfylder Persondatalovens krav med hensyn til de tekniske organisatoriske sikkerhedsforanstaltninger. Skolen overlader kun behandling af skolens data til en samarbejdspartner, hvor der foreligger en skriftlig aftale. I persondatamappen (fane 10) findes der en oversigt over skolens samarbejdspartnere og de indgåede databehandleraftaler.

Videregivelse af persondata til andre institutioner og myndigheder sker kun efter skriftligt samtykke fra den registrerede. Videregivelse af persondata i forbindelse med den skærpede underretningspligt kræver ikke samtykke, men den registrerede skal orienteres herom. Der indgås ikke databehandleraftaler med offentlige myndigheder. I det øjeblik, hvor en myndighed modtager data fra skolen, er de dataansvarlige og ikke databehandlere.

Adgang til persondata

Skolen benytter unikke adgangskoder på alt IT-udstyr, som kan give adgang til persondata. Når IT-udstyr efterlades skal kodelås være aktiveret eller udstyret være låst inde. De administrative maskiner er beskyttet med skærmlås, der automatisk logger af. IT-udstyr må aldrig efterlades, hvor andre end skolens medarbejdere har adgang til det. Skolens leder opretter og sletter medarbejdernes adgangsrettigheder til digitale systemer, og foretager kontrol af rettighederne hvert halve år. Den enkelte medarbejder må ikke autoriseres til adgange, som de ikke har behov for. Adgangskoderne må ikke videregives til andre eller nedskrives hvor andre kan se dem.

Opbevaring af persondata

Papirbaseret persondata opbevares på skolens kontor i aflåste skabe. Skabene efterlades aldrig i uaflåst tilstand. Skabene kan kun låses op af skolens leder, souschef og sekretær. Øvrige medarbejdere henvender sig til en af dem, hvis de har brug for nogle data til at løse deres arbejdsopgave. Papirbaseret persondata må aldrig efterlades uden opsyn.

Når der ikke længere er et sagligt behov for opbevaring af papirbaseret persondata, skal de tilintetgøres. Dette sker ved makulering.

Reparation/bortskaffelse af IT-udstyr

Reparation af IT-udstyr med mulighed for lagring af data sker kun efter at det er sikret, at der ikke forefindes persondata eller efterlades mulighed for genskabelse af persondata på den pågældende enhed.

Bortskaffelse af IT-udstyr med mulighed for lagring af data sker efter forudgående fysisk destruktion.

Sikring af IT

Alle skolens computere har en opdateret firewall og et antivirusprogram installeret. Der foretages sikkerhedskopi af skolens server af ekstern samarbejdspartner en gang i døgnet.

Post

Al post som indeholder persondata skal sendes pr brev eller en sikker mailforbindelse hvor alle data krypteres. Hvis der modtages personoplysninger, som er tilsendt med ikke sikker mail, skal disse hurtigst muligt overføres til en sikker opbevaringsmetode og mailen slettes.

Sikkerhedsbrud

Sker der et brud på persondatasikkerheden, så følger skolen de retningslinjer som datatilsynet har nedskrevet.

https://www.datatilsynet.dk/media/6558/haandtering-af-brud-paa-persondatasikkerheden.pdf

Brud på datasikkerheden kan lettest anmeldes via den fælles hjemmeside, som Virk har oprettet til formålet:

https://indberet.integration.virk.dk/myndigheder/stat/ERST/Indberetning_af_brud_paa_sikkerhed

Ved mistanke om brud og eventuel anmeldelse til Datatilsynet – se Flowchart => Flowchart