Skip til hoved indholdet
    Hjem Styrelsesvedtægtens bilag og underbilag Bilag 3: Undervisningens ordning, almenområdet GDPR og databeskyttelse

GDPR og databeskyttelse

Skoleafdelingen og Silkeborg Kommunes skoler behandler forældres, børns og medarbejderes personoplysninger efter Databeskyttelsesforordningen og dansk lov på området

Lovgrundlag: Databeskyttelsesforordningen 2016/679 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.

Formålet med lovgivning og regler om persondata er at beskytte alle borgere mod, at deres personoplysninger misbruges. Den enkelte borger ejer sine oplysninger. Databeskyttelsesforordningen trådte i kraft den 25. maj 2018.

Læs det til enhver tid gældende oplysningsbrev til forældre om, hvordan vi behandler oplysningerne, på hjemmesiden med oplysningsbreve (kan printes herfra). Der er tilføjet tekst om Google som databehandler i oplysningsbrevet.

Læs Silkeborg Kommunes hjemmeside med alt generelt vedr. databeskyttelse.

Læs om de digitale læremidler, som der er indgået aftale om - både de generelle aftaler og de aftaler, der kun gælder udvalgte skoler - samt om Skoleafdelingens databehandleraftaler.

Beskyttelse af personoplysninger for medarbejdere og ledere på folkeskolerne

Skolernes medarbejdere og ledere har brug for en lang række data til at skabe optimal læring og trivsel for eleverne, og til at sikre et konstruktivt samarbejde med forældrene. Så derfor: Brug den sunde fornuft, når der skal indhentes, behandles og gemmes data om elever og forældre.

En personoplysning er enhver form for information, der kan henføres til en bestemt person, også selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger. Personoplysninger kan for eksempel være et navn, et personnummer, et billede, et fingeraftryk eller en stemme, når det i praksis er muligt at identificere en person ud fra oplysningerne eller i kombination med andre.

Din mulighed for at behandle oplysninger afhænger af, hvilken type oplysning, der er tale om. Fx er mulighederne mere restriktive for helbredsoplysninger end for elevernes navne.

Man opdeler typisk personoplysninger i 4 forskellige kategorier:

Almindelige personoplysninger

  • omfatter alle oplysninger, der ikke er følsomme personoplysninger. Det kan for eksempel være navn og adresse, billeder af børn, forældre eller personale på skolen, oplysninger om forældrenes økonomi, antal sygedage, familieforhold mv.

Fortrolige oplysninger

  • er egentlig almindelige personoplysninger, hvor der er særlige beskyttelsesbehov. Det afgørende for, om en oplysning skal anses for fortrolig, vil være en vurdering af, om oplysningen efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab. Som eksempel kan nævnes personnummer, længerevarende arbejdsløshed, familiestridigheder eller tvangsfjernelser.

Følsomme oplysninger

  • er oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Kun disse oplysninger er følsomme oplysninger.

  • Inden for skoleområdet vil der primært være tale om helbredsoplysninger – herunder også trivsel (fx ”jeg har ofte ondt i maven”), specialundervisningsbehov (fx diagnoser) – samt race og etnisk oprindelse.

Oplysninger om straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger

  • Denne type oplysninger findes – om end sjældent – også på skolerne. Fx kan det i et dokument fremgå, at ”far sidder i fængsel”.

Databeskyttelsesreglerne finder anvendelse, når man “behandler” personoplysninger. Du behandler personoplysninger, når du modtager oplysninger – uanset om du har bedt om dem eller får dem uopfordret – når du opbevarer/gemmer oplysninger, når du bruger oplysninger, når du fortæller oplysningerne til andre, eller når du sletter oplysningerne.

Det betyder for eksempel, at du behandler personoplysninger, når du laver et referat fra et møde, eller når du fortæller skolelederen, at et barn i klassen har været fraværende i længere tid.

Helt generelt må du gerne behandle personoplysninger, hvis det er nødvendigt for, at du kan udføre dit arbejde. Det skyldes, at der som udgangspunkt er hjemmel til at behandle de personoplysninger, som er nødvendige for, at du kan udføre dit arbejde som ansat på skolen.

Er der tale om følsomme oplysninger, må du dog alene behandle oplysningerne, når

  • behandlingen er nødvendig for at overholde lovgivning og forpligtelser (er oftest tilfældet), eller
  • der er indhentet eksplicit og udtrykkeligt samtykke hos personen/forældremyndighedsindehaver

Vær dog opmærksom på, at du aldrig må behandle flere oplysninger end nødvendigt. Det betyder med andre ord, at du skal skelne mellem ”need to know-oplysninger”- som du gerne må behandle - og ”nice to know-oplysninger” – som du ikke må behandle.

Der er krav om, at den person man behandler personoplysninger om skal kunne gennemskue, hvad oplysningerne bruges til. Det er derfor et krav, at vi oplyser om, hvilke oplysninger vi behandler, hvorfor vi behandler oplysningerne, hvor længe vi behandler oplysningerne og en række andre ting.

På skoleområdet bliver forældre orienteret, når de bruger den digitale indskrivning. Her afgives samtykke til foto og bibliotekslånekort. Modtager skolen et barn udenom den digitale indskrivning, skal I på skolen selv sørge for, at forældremyndighedsindehaver får besked om, at vi behandler oplysninger om dem. Forældrene afgiver i øvrigt samtykker, når de kommer i Aula.

Link til dette oplysningsbrev skal formidle til forældremyndighedsindehaver ved skolestart og efter behov.

Billeder af fx elever og lærere er også personoplysninger.

Læs Silkeborg Kommunes regler om databeskyttelse, find boksen Vores brug af fotos og video.

Læs mere om reglerne for samtykke og billeder pr. august 2022 på datatilsynet.dk

Datatilsynet har udgivet en "Tjekliste til skoler ved brug af billeder og video" i januar 2023

Læs desuden i Skolehåndbogen, boksen Samtykker til fotos, billeder og filmoptagelser udenfor AULA

Billeder (gælder også videoer) med personer i Aula og i andre tilfælde

Billeder har fokus på aktiviteten, ikke børnene

Billeder er en god måde til at fortælle om hverdagen og børnenes læring i dagtilbud og skoler.

Som medarbejder skal du vurdere, hvad det enkelte billede skal vise din målgruppe. Anvend de billeder, som bedst illustrerer aktiviteten og det tilhørende pædagogiske formål. Det anbefales at have fokus på at udvælge de bedst egnede billeder, så kommunikationen bliver så enkel og målrettet som muligt.

Vær opmærksom på, at der skal foreligge en helhedsvurdering, der beskriver formålet med billedet/optagelsen samt, hvorfor billede/optagelse lægges på Aula. En helhedsvurdering kan fx være, at I som skole ønsker at dokumentere elevernes hverdag og læring, samt at give forældrene et indblik i elevernes oplevelser, og at inddrage forældre i deres barns hverdag på skolen osv. "Skabelon - helhedsvurdering af billeder" kan findes på intranettet Siko.

Herudover kan der være andre situationer, hvor vi kun må tage billeder/lave optagelser, hvis vi har samtykke til det. En specifik tilladelse kan indhentes via Aula.

Vi bruger billeder med omtanke

Hvis vi tager billeder af dit barn, har vi altid vurderet, om billedet er relevant at dele.

Billederne håndteres sådan:

  • Skolen skal undgå billeder, der udstiller børnene (eller medarbejderne).
  • Medarbejderne skal bruge skolens udstyr til at tage billeder, så der ikke ligger billeder af børnene på fx private telefoner. Dog kan private telefoner anvendes, hvis billeder tages via Aula-App.
  • Skolen skal sætte nogle tidsfrister for sletning af billederne, som giver mening i forhold til formålet med billederne. Aula sletter ikke automatisk billeder.

Hvis du ønsker et billede slettet

Ønsker om sletning af et enkelt billede fra enten forældre, elev eller medarbejder bør som udgangspunkt imødekommes med det samme ved at slette billedet, med mindre særlige grunde taler imod.

Ønsker forældre eller elever at bruge ”Retten til at blive glemt” eller få slettet flere billeder med sig selv på, så henvis dem til din leder, da der skal ske en vurdering af, om billederne har arkivmæssig værdi.

15. september 2022, revideret 31. januar og 10. oktober 2023/Besluttet af Skolechefen

Personoplysninger skal altid opbevares et sikkert sted, og som udgangspunkt skal de alene opbevares ét sted – man må altså ikke kopiere personoplysningerne og gemme dem flere forskellige steder. Herudover må man ikke opbevare personoplysningerne længere tid end højst nødvendigt.

Hovedreglerne betyder, at:

  • du ikke må gemme personoplysninger på din egen pc, på kommunale serverdrev, usb-nøgler m.v.
  • du skal slette gamle mails, da du ikke må gemme personoplysninger i vores mailsystemer. Har du brug for at gemme gamle mails, skal de arkiveres i GO.
  • du skal slette personoplysninger om tidligere børn/elever/forældre minimum en gang om året. Eventuelle nødvendige oplysninger gemmes i sikkert system, som udgangspunkt i GO.

Du kan i skemaet nedenfor se, hvilke systemer du kan anvende til at gemme de personoplysninger, som indgår i dit arbejde.

Overblik IT-systemer
Opfylder de generelle sikkerhedskravMå anvendes til opbevaring af almindelige personoplysninger (1.)Må anvendes til opbevaring af følsomme personoplysninger (2.)Må anvendes til arkivering af følsomme personoplysninger (3.)
ESDH (Acadre) OKOKOKOK
IST Elevadm. (Tabulex)OKOKOKOK
MeeBookOKOKOKIkke OK
AulaOK OKOKOK - men også i GO
E-mail silkeborg.dkOKOKOKIkke OK
E-mail silkeskole.dkOKOKIkke OKIkke OK
Google Workspace for Education - silkeskole.dkOKOKIkke OKIkke OK
OneDrive, Google, Dropbox mv.Ikke OKIkke OKIkke OKIkke OK
Facebook, Snapchat, Youtube mv.Ikke OKIkke OKIkke OKIkke OK
gmail.com, yahoo.dk, hotmail.com mv.Må ikke bruges i arbejdsmæssig sammenhængMå ikke bruges i arbejdsmæssig sammenhængMå ikke bruges i arbejdsmæssig sammenhængMå ikke bruges i arbejdsmæssig sammenhæng
Generelt om personoplysninger: Læs under overskriften "Hvilken type af personoplysninger findes der".
  1. Almindelige personoplysninger - f.eks. navn, adresse og cpr.nr.
  2. Opbevaring af følsomme personoplysninger/data. Man må sende mail via sikre mail, men ikke opbevare dem længere end nødvendigt (højst 30 dage eller 3 måneder for igangværende sager).
  3. Kommunens ESDH (Acadre) og elevadministrationssystem (IST Tabulex) er sikre systemer, hvor der kan arkiveres fortrolige og følsomme oplysninger.

Hovedreglen er, at de statslige og kommunale it-systemer er sikre – men på forskellig vis – mens private eller webbaserede systemer sjældent er det. Der skal foreligge en databehandleraftale på systemerne, og der skal være procedurer, der sikrer, at data fx ikke opbevares længere end de må, og at kun de relevante personer har adgang til data. Ansvaret for dette påhviler den enkelte skoleledelse.

Alle skoler har udarbejdet retningslinjer for, hvad der skal gemmes i ESDH-systemet, og hvad der ikke skal, på baggrund af undervisning i notat- og journaliseringspligt i sommeren 2019.

  • ESDH-systemet (Acadre) opfylder generelt sikkerhedskravene, hvis de forskellige sikkerheds- og procedureregler bliver fulgt.
  • Børne- og elevadministrative systemer som Tabulex TEA opfylder de tekniske sikkerhedskrav, men der skal være procedureregler for, hvem der må se og bruge hvilke oplysninger. Den lokale skoleledelse har ansvaret.
  • Pædagogiske platforme som Aula og Meebook opfylder de tekniske sikkerhedskrav, men der skal være procedureregler for, hvem der må se og bruge hvilke oplysninger. Den lokale skoleledelse har ansvaret.
  • Kommunale, serverbaserede emailsystemer opfylder som hovedregel sikkerhedskravene, mens web-baserede emailsystemer som hotmail, gmail, jubii, Outlook via Office365 mv. ikke gør det. E-boks er den sikreste måde at kommunikere digitalt med forældrene på. I Silkeborg er silkeborg.dk-mail en sikker mail. Office365-mail er ikke sikker til personfølsomme oplysninger, bla. fordi det er muligt at viderestille.
  • Sociale medier som Facebook, Twitter, Snapchat, Youtube m.v. opfylder generelt ikke sikkerhedskravene og må derfor ikke anvendes til personoplysninger. Dette gælder både tekst og billeder, med mindre der er indhentet konkret skriftlig tilladelse.
  • OneDrive og Google Suite for Education (silkeskole.dk) er sikre i forhold til backup m.v., men opfylder ikke krav i øvrigt. Følsomme personoplysninger må ikke opbevares her.
  • Webbaserede fildelingssystemer (office365, dropbox m.v.) opfylder generelt ikke sikkerhedskravene og må derfor ikke anvendes til følsomme personoplysninger. Kun Google Suite for Education (silkeskole.dk) anvendes til andre typer af oplysninger som f.eks. undervisningsplaner og -materialer.

  1. Sund fornuft = følg retningslinjerne
    Brug din sunde fornuft og tag rimelige forholdsregler - men husk, at det er svært som medarbejder at vurdere risiko og sandsynlighed for, at der kan ske brud på databeskyttelsen, så man undgår, at oplysningerne kommer til uvedkommendes kendskab. Følg derfor retningslinjerne nøje!
  2. Lovlighed, rimelighed og gennemsigtighed
    Borgerne ejer deres egne oplysninger, og det offentlige må kun have oplysningerne liggende og arbejde med dem, hvis der er et lovligt og rimeligt formål hermed, og hvis borgerne er informerede om, at det sker.
  3. Kun til saglige formål
    Behandlingen af personoplysninger skal ske ud fra saglige og legitime formål. Hvis borgeren har givet tilladelse til behandling til et bestemt formål, gælder tilladelsen alene til dette specifikke formål.
  4. Begrænsning
    Man må kun indsamle, gemme og arbejde med personoplysninger, som er tilstrækkelige, relevante og begrænsede til det, der er nødvendigt. Det vil sige ”need to know” og ikke ”nice to know”.

  5. Korrekte oplysninger
    Personoplysninger skal være korrekte og ajourførte. Urigtige oplysninger skal slettes eller rettes.

  6. Ikke længere end nødvendigt
    Personoplysninger skal slettes eller anonymiseres, når man ikke længere har behov for at behandle dem. Det skal derfor konkret afgøres, i hvor lang tid personoplysninger skal gemmes og må behandles. Den enkelte skoleledelse har et ansvar for, at der er udarbejdet en slettepolitik og sletteprocedure, der sikrer dette.

  7. Fortrolighed
    Personoplysninger må kun opbevares og behandles i systemer, som giver den nødvendige sikkerhed. Du kan i skemaet under ”Hvilke IT-systemer må anvendes til at gemme data” se, hvilke systemer du kan anvende til hvilke opgaver.

Hvis du er usikker på, om du - i en konkret situation - må behandle oplysninger om en elev eller dennes forældre, kan du altid kontakte Jurateamet via jurateam@silkeborg.dk.

Hvis du er usikker på, hvor du må gemme oplysninger om en elev eller dennes forældre, kan du altid kontakte Skoleafdelingen v/Steen Demuth, sde@silkeborg.dk.

Hvis du er usikker på, om uvedkommende måske har fået kendskab til oplysninger om en elev eller dennes forældre, kan du altid kontakte kommunes DPO via DPO@silkeborg.dk.

Brud på persondatasikkerheden (sikkerhedsbrud) foreligger for eksempel hvis:

  • du sender en mail med fortrolige personoplysninger til den forkerte modtager, eller hvis en mail til en forælder indeholder andre forældres fortrolige personoplysninger
  • du lader papirer med personoplysninger ligge uden opsyn et sted, hvor andre – elever, kollegaer eller forældre – har adgang til dem.

I tilfælde af brud på persondatasikkerheden skal du straks kontakte din leder, som herefter kontakter kommunens databeskyttelsesrådgiver (DPO). Det er vigtigt at tage sikkerhedsbrud alvorligt, da kommunen kan risikere at få en bøde.

Skoleafdelingen - Sekretariatet, Team Kvalitet og Myndighed

skoleudvikling@silkeborg.dk (webmaster)

skole@silkeborg.dk (konkrete henvendelser)

Tilgængelighedserklæring