Konsekvenser for skolen
Personopplysningsloven får konsekvenser for alle som jobber i skolen. Her får du vite det mest grunnleggende.
Skolens ansatte er vant til å forholde seg til taushetsbelagt informasjon. All taushetsbelagt informasjon er personopplysninger, men ikke alle personopplysninger er taushetsbelagte.
Både skolen og hver enkelt ansatt må sørge for å ha gode rutiner knyttet til personopplysninger.
Skolens interne opplysninger om elever
- Sikkert arkiv: Sensitive personopplysninger knyttet til blant annet helse og sosiale forhold skal lagres i et sikkert arkiv. Fra og med 2024 har DELKs skoler brukt Therefore til dette. Dette er særlig aktuelt når flere ansatte trenger tilgang til opplysninger om den samme eleven.
- Passordbeskytte filer: Om filer med taushetsbelagt innhold – for eksempel vurderingsopplysninger – lagres i personlig lagringsområde, skal filene passordbeskyttes (se veiledning på dinside.no).
- Sletting: Filer med personopplysninger skal slettes når eleven ikke lenger er elev ved skolen. Alle ansatte må ha egne sletterutiner som ivaretar dette. Arkivloven gir skolen både plikt til og rett til å oppbevare enkelte opplysninger lenger. Det kan for eksempel dreie seg om dokumentasjon på individuelt tilrettelagt opplæring og andre forhold av juridisk interesse.
- IOP: Individuelle opplæringsplaner (IOP), skrives i Samspill på individplan.no, som er en egen modul i Visma-pakken.
- Kommentarer til samtaletimer med foresatte skrives som internnotater i Visma Flyt Skole > Elev > Vurdering.
- Tofaktorpålogging: Alle skolens ansatte som jobber med personopplysninger, skal ha tofaktorpålogging for både e-postkontoen/Office 365-kontoen og Feide-ressurser med taushetsbelagt innhold.
E-post
E-post er uegnet som lagringsverktøy for sensitive personopplysninger. Når vi mottar e-postmeldinger med slikt innhold, bør de slettes etter at opplysningene eventuelt har blitt overført til et sikkert lagringssted.
Bruk av initialer eller andre løsninger som unngår navn, vil kunne redusere skadevirkningene hvis e-posten kommer på avveie.
Alle ansatte bør ha egne sletterutiner for slike e-postmeldinger. Husk også å slette Slettede elementer.
Digitale ressurser vi ber elever bruke
Nettsider og apper samler inn personopplysninger i ulik grad. Hvis den digitale ressursen krever pålogging, må skolen ha databehandleravtale (DBA) med leverandøren. Hvis den ikke krever pålogging, kan den sannsynligvis brukes uten DBA. Dreier det seg om en app, bør man likevel sjekke om appen samler inn informasjon om brukeren.
Skolen må også ha databehandleravtale for ressurser som krever Feide-pålogging. Skolens administrasjon eller IKT-ansvarlig skaffer dette via malene som finnes for hver tjenesteleverandør på Feides kundeportal.