Akkurat som enhver bedrift, må skoler og utdanningsorganer overholde oppdateringene til databeskyttelsesloven som kommer i mai.
Vi vet at databeskyttelseslovene, slik vi kjenner dem i dag, er i endring. De Generell databeskyttelsesforordning (GDPR) trer i kraft 25. mai i år, og de aller fleste organisasjoner, uansett størrelse, må være klare for disse endringene.
Skoler vil behandle personopplysningene til lærere, elever og deres familier. I mange tilfeller vil de bruke markedsføring for å forbedre inntaket eller for å samle inn penger. Skoler har CCTV, bruk skyprogramvare – alle områdene som GDPR berører. Så la oss ta en titt på noen av områdene som skolene må vurdere når de skal tilfredsstille det nye regelverket, og hvordan du kan komme i gang.
Økosystemet for personopplysninger er et begrep som brukes av Avdeling for utdanning, for å beskrive hvordan data lagres og sammenkoblingen av systemer som de bruker til å lagre dem i. Disse systemene inkluderer:
Skoler vil ofte bli pålagt å sende disse personopplysningene til andre instanser, inkludert helse- og sosialomsorg, lokale myndigheter og utdanningsdepartementet selv.
Å se på dataene på denne måten hjelper deg med å planlegge eventuelle endringer du må gjøre for GDPR.
Så vi nevnte tidligere at det ikke bare er personopplysningene til elever du skal håndtere som skole – det kan også være data om foreldrene eller omsorgspersonene og alle som er ansatt av deg. Dette inkluderer nåværende og tidligere ansatte samt personer som har søkt arbeid i din organisasjon. Skoler må identifisere alle personopplysninger og spesialdata de har.
Se tilbake til økosystemet for personopplysninger – Deler du data med andre organisasjoner?
Som de fleste aspekter av GDPR, trenger du retningslinjer for å beskrive hvordan du skal håndtere data. Her må du se på systemets retningslinjer for dataoppbevaring og spørre deg selv om det stemmer overens med retningslinjene for dataoppbevaring. Gir det deg mulighet til å oppfylle dine skoleoppgaver og er det inkludert i kontrakter med leverandører?
Hvis en person ber om å se hvilke data du har om vedkommende, må du oppgi denne informasjonen. Dette kalles Subject Access Requests, eller SAR. Du må være trygg på at du kan få tilgang til denne informasjonen og være i stand til å gi emnet dette innen den angitte tidsrammen.
Ethvert system du lagrer personopplysningene i må være sikkert. Du vil bli forventet å beskrive trinnene du har på plass for å beskytte den. Overholder du noen anerkjente standarder, som ISO 27001 for styringssystemer for informasjonssikkerhet?
En skreddersydd praktisk økt basert på dine behov og mål
Kom den 25. mai i år, er du sikker på at leverandøren som gir skolen din systemer vil være klar for endringene i databeskyttelsesloven? Har de beskrevet og demonstrert trinnene sine til GDPR?
Når du utnevner en personvernombud, eller DPO, anbefaler Utdanningsavdelingen at du ikke velger en IT-sjef eller rektor. De foreslår en person som ikke er involvert i å ta avgjørelser rundt teknologi eller prosessering.
Det er også verdt å merke seg at databeskyttelsesansvarlige kan jobbe for en rekke organisasjoner. Dette betyr at du kan dele en DPO med en annen skole.
Informasjonskommissærens kontor, sammen med DfE, vil fortsette å oppdatere sine veiledninger i de kommende ukene. ISMS.online vil holde deg oppdatert.