Institutmødet 9. marts 2020
- Tak for de mange indmeldinger ift. situationer, hvor vi på instituttet behandler personoplysninger. Næste skridt bliver at vurdere risikoen ved de enkelte situationer ift. sandsynligheden for databrud.
Institutmødet 12. februar 2020
- I foråret kommer vi til at skulle lave risikovurderinger med henblik på at kunne fastlægge passende sikkerhedsforanstaltninger ift. håndtering af personoplysninger. Det hænger sammen med forordningens krav om ansvarlighed, og kravet indebærer, at vi skal kunne dokumentere, at vi overholder reglerne. Det er ikke nok, at vi gør det – vi skal også kunne dokumentere det. Tilsynsmyndighedernes udgangspunkt er, at hvis vi ikke kan dokumentere, at reglerne er overholdt, så er de det ikke.
- For at kunne afgøre, hvad der er passende foranstaltninger for en given procedure, skal der foretages en risikovurdering af de enkelte procedurer og aktiviteter. En forudsætning for at kunne lave risikovurderinger er, at vi har et overblik over de af vores opgaveprocesser, hvori der indgår personoplysninger.
- Camilla har den 13. februar sendt mail ud og bedt om medarbejdernes input til listen over opgaver. Deadline på input er den 28. februar.
Institutmødet 9. december 2019
- Til foråret kommer vi til at skulle forholde os nærmere til de såkaldte risikovurderinger. Et af de centrale krav i databeskyttelsesforordningen er, at vi skal sikre integritet og fortrolighed, når vi behandler personoplysninger. Det medfører blandt andet et krav om, at vi skal have passende sikkerhedsforanstaltninger. For at kunne afgøre, hvad der er passende foranstaltninger for en given procedure, skal der foretages en risikovurdering af de enkelte procedurer. Dette kommer til at foregå i foråret 2020.
Institutmødet 27. november 2019
- Oprydning i eksamensnoter (De skal gemmes i et år, og er de i papirform, skal de opbevares i skuffe eller skab på jeres kontor. Efter hver eksamensperiode sender Louise reminder om, at noter ældre end et år skal destrueres eller afleveres i papirform til sekretariatet. Er noterne digitale, skal de gemmes på et af de sikre drev). Se bilag.
- Det er stadig ikke klarlagt, hvordan eksterne undervisere skal destruere deres eksamensnoter.
Institutmødet 23. oktober 2019
- Der er fra centralt hold udarbejdet en række procesbeskrivelser til hhv. forskning og uddannelse, der beskriver, hvilke GDPR-opmærksomhedspunkter der er i forskellige sammenhænge/situationer, og hvordan man skal forholde sig til disse.
- Står man med/i en sådan situation, skal man konsultere den relevante procesbeskrivelse, der findes her
Institutmødet 8. oktober 2019
- På SDU-niveau er der udarbejdet en lang række vejledninger, retningslinjer og procedurebeskrivelser ift. diverse aktiviteter. Det er vigtigt, at vi alle sammen er bekendt med disse vejledninger/beskrivelser og agerer efter dem. Man har fra centralt hold besluttet, at alle disse procedurebeskrivelser skal være implementeret ude i miljøerne senest ved udgangen af 2019.
- Alle disse vejledninger og procedurebeskrivelser kan findes på den Sharepoint-portal, som alle modtog et link til den 7. oktober. Bodil og Camilla forsøger løbende at screene portalen for forhold, som, de vurderer, er relevante for instituttet.
- Dagens GDPR-”lektie”
- Se PowerPoint-præsentation
- Personoplysninger til forskningsbrug
- Samtykke
- Oplysningspligt
Institutmødet 2. september 2019
Sletning af personoplysninger
- Hvis der ikke længere er et formål med at gemme oplysningerne, har man pligt til at slette dem (gælder også forskningsdata!)
- Den person, om hvem der er registreret oplysninger, kan også selv anmode om at få slettet de data, vi har gemt om vedkommende. I så tilfælde skal vi sende anmodningen til Juridisk Kontor. Så laver de vurderingen af, om anmodningen skal imødekommes, dvs. sletningen skal ske.
Håndtering af personoplysninger i det offentlige rum
- Hvis man sidder i fly, tog, på banegården og andre offentlige steder, bør man ikke behandle følsomme personoplysninger i papirform. Er der tale om følsomme data på tlf., pc etc., så undgå for så VIDT muligt at behandle dem i det offentlige rum. Få evt. sat et såkaldt privacy filter på ipad, pc og tlf. (få evt. hjælp af Jan Pedersen i SFEO)
Institutmødet 19. august 2019
- Der er over sommeren opsat diverse plancher på toiletterne 😊 Den største udfordring ved det øgede fokus på GDPR-reglerne er, at vi skal have ændret nogle vaner. Det er svært, men nødvendigt. Plancherne på toilettet er et forsøg på hele tiden at minde folk om, hvad de skal gøre for at overholde reglerne.
- Camilla opfordrede til, at man kontakter hende, hvis der er GDPR-emner, som man gerne vil have taget op på et institutmøde.
- Ulrike fortalte, at evalueringsskemaerne er blevet designet, så underviserne ikke kan se hinandens evalueringsresultater. Hun har bedt om, at instruktorerne også får deres eget felt.
Institutmødet 18. juni 2019
Hvor må jeg gemme personoplysninger?
Følsomme og fortrolige personoplysninger må gemmes følgende steder:
- M-drev
- Fællesdrev (N-drev, S-drev)
- Sharepoint
- Onedrive
- OneNote
- NextCloud
Følsomme og fortrolige personoplysninger må ikke gemmes følgende steder:
- Computerens skrivebord eller lokale drev
- Ekstern harddisk (må alene anvendes til at flytte data. Slet data efter flytning)
- USB-pen (må alene anvendes til at flytte data. Slet data efter flytning)
- Outlook (kun i 30 dage)
Hvordan skal jeg gemme personoplysninger?
Hvor længe må/skal jeg gemme personoplysninger?
- Alle personoplysninger må gemmes i op til 30 dage.
- Opbevaring af personoplysninger i mere end 30 dage forudsætter, at der er et formål hermed.
- Eksamensnoter skal opbevares i et år og herefter bør de slettes (se særskilt notat).
Opfyldelse af forordningens regler om oplysningspligt og indsigtsret forudsætter:
- Systematisk opbevaring af personoplysninger
- Angiv personnavn i filnavnet (anvend ikke følsomme eller fortrolige persondata) el.
- Anvend metadatafil (metadatafilen skal gemmes et andet sted end de filer, som den referer til).
- Indhold af metadatafil: 1) kolonne m. filnavn, 2) kolonne m. filplacering, 3) kolonne m. mappenavn, 4) kolonne med personer nævnt i filen.
Institutmødet 3. juni 2019
3 gode råd til håndtering af mails
1. Tjek at du sender til den rigtige mailmodtager
- Pas på autoudfyldelse af mailadressen
2. Minimér personoplysninger i mails
- Slet tidligere mailtråde inden svar/videresendelse
- Undlad at vedhæfte filer m. følsomme eller fortrolige persondata. Gem i stedet filen på et sikkert drev og send link hertil.
3. Slet eller ryd løbende op i mails (husk også mapperne sendt post og slettet post)
- Anvend automatisk sletning (funktionen ”Tildel politik”)
- Anvend automatisk flytning (funktionen ”Opret regel”)
- Anvend CPR-scanner
- Anvend ”Shift” + ”Delete” for at slette mails permanent
FAQ ift. håndtering af e-mails
Hvad må jeg sende fra min email?
- Til interne SDU-mailadresser: alle typer af personoplysninger
- Til eksterne mailadresser: kun almindelige personoplysninger
Hvad skal jeg gøre, hvis jeg ikke er rette modtager af en mail?
- Videresend til rette modtager (hvis åbenlyst)
- Orientér afsender
- Slet mailen
Må jeg videresende SDU-mails til min private postkasse?
- Nej
6 bud i forbindelse med håndtering af papir
- Lås altid din dør, når du forlader dit kontor.
- Opbevar følsomme persondata i aflåste skabe/skuffer.
- Undlad at behandle følsomme og fortrolige persondata i det offentlige rum, fx i toget eller på flyet.
- Ryd løbende op i dine dokumenter og undlad at gemme papirer med persondata, hvis der ikke er et formål hermed. Send følsomme og fortrolige persondata til makulering.
- Undlad at distribuere følsomme og fortrolige persondata via cirkulationskuverter og/eller dueslag.
- Bliv ved printeren, når du udskriver materiale indeholdende persondata og annullér udprintningen, hvis du oplever papirstop i printeren.
Institutmødet 14. maj 2019
- Camilla orienterede om brochure vedr. behandling af persondata, som er lagt i alles dueslag.
- Brochuren indeholder 11 bud om databeskyttelse.
- Camilla fremhævede nr. 11, som omhandler sikkerhedsbrud hvis 1) computer eller taske bliver stjålet, 2) hvis man kommer til at klikke på mistænkelige links i en mail, 3) hvis man fejlagtigt kommer til at lække følsomme eller fortrolige personoplysninger, eller 4) glemmer papirer med følsomme eller fortrolige persondata i printeren.
- Hvis/når der sker sikkerhedsbrud, skal det indberettes til den IT-sikkerhedsansvarlige så snart bruddet opdages. Se nærmere herom i den omdelte brochure.
Institutmødet 1. april 2019
- Camilla mindede om, at der skal ryddes op i gammelt materiale (fysiske og digitale dokumenter, mails) med personoplysninger
- Der bliver arrangeret en oprydningsdag i løbet foråret.
- Oprydning i og opbevaring af eksamensnoter
- Eksamensnoter skal opbevares i et år, hvorefter de skal destrueres.
- Ulrike har udarbejdet en tidligere rundsendt procedure for dette, som rundsendes igen sammen med dette referat.
- 2 gange om året (marts og september) sender sekretariatet en reminder ud om, at den foregående eksamensperiodes noter skal opbevares på et sikkert drev (hvis digitale) eller i en aflåst skuffe på ens eget kontor eller afleveres hos sekretariatet med henblik på opbevaring (hvis fysiske).
- Samtidig mindes om, at eksamensnoter, der på det tidspunkt er mere end 1 år gamle skal slettes/smides ud.
- Sletning af mails med følsomme personoplysninger
- Mails med personoplysninger må højst opbevares i Outlook i 30 dage.
- Det er muligt at installere en funktion i Outlook, som automatisk kan søge alle e-mails frem, der indeholder CPR numre.
- Fremover vil alle hver den 1. i måneden modtage en opgaveanmodning i indbakken, hvoraf det fremgår, at man skal slette de mails indeholdende følsomme personoplysninger, der på dette tidspunkt er mere end 1 måned gamle, eller gemme dem på et sikkert drev. Mails med følsomme personoplysninger må kun gemmes med henblik på opfyldelse af et konkret formål, og så længe de er nødvendige for at opfylde dette formål.
- Fast punkt på institutmøder
- GDRP indføres som et fast punkt på alle institutmøder fremover for at sikre et konstant og løbende fokus på forordningens regler. Dette vil blandt andet indebære introduktion til procedurebeskrivelser udarbejdet af SDU.