GDPR

FGU-sektoren står sammen om GDPR-arbejdet. Her kan du læse mere om, hvordan arbejdet er struktureret

FGU-sektoren står sammen om GDPR-arbejdet. Her kan du læse mere om, hvordan GDPR-arbejdet er struktureret på tværs af FGU-institutionerne.

GDPR-implementeringsprojekt

FGU Danmark indgik i foråret 2020 aftale med revisionsfirmaet BDO om rådgivning og assistance i forbindelse med implementering af de i EU-persondataforordningen anførte krav til persondatabeskyttelse på de 27 FGU-institutioner.

GDPR-kravene er de samme til hver enkelt FGU-institution uanset valg af systemer, fx office-platformen, hvor nogle benytter Google og andre Microsoft og de studieadministrative systemer Uddata+ og FGU Planer. På den baggrund blev der etableret en central projektgruppe med repræsentanter for FGU-institutioner på tværs af landet bestående af følgende personer:

  • Maria Moeslund Madsen fra FGU Nordvest
  • Stine Johanne Kierkegaard fra FGU Skolen HLSS
  • Inge Rasmussen fra FGU Hovedstaden
  • Klaus Gunnar Jensen fra FGU Hovedstaden
  • Kent Rose fra FGU Midt- og Østsjælland
  • Dennis Kristian Gravgaard fra FGU Sydøstjylland
  • Ivan Sommer fra BDO Revisionsselskab

Resultatet af projektgruppens arbejde består af et generisk sæt masterdokumenter, der er den nødvendige dokumentation for, hvordan den enkelte institution overholder kravene i databeskyttelsesforordningen. Materialerne er generiske, så hver enkelt institution nemt har kunnet tilpasse dokumentet i forhold til dagligdagen i den enkelte institution.

Samlingen af masterdokumenter består af:

  • Fortegnelser over behandlingsaktiviteter i forbindelse med elever
  • Fortegnelser over behandlingsaktiviteter i forbindelse med medarbejdere
  • Risikovurderinger af de anvendte systemer. I de tilfælde, hvor flere systemer dækker de samme behandlingsaktiviteter, er der lavet en fælles risikovurdering og institutionen skal blot slette det ikke relevante.
  • Procedurebeskrivelse til dokumentation af, hvordan medarbejderne udfører de daglige arbejdsprocesser i forbindelse med persondatabehandlingerne.
  • Politikker for hhv. databeskyttelse og underretning om indsamling af data, samt it-politik, mailpolitik, privatlivspolitik samt slettepolitik.

Awarenes-kurser

Som led i forankringen af implementeringsarbejdet bliver alle FGU-medarbejdere uddannet inden for GDPR og Cyber-sikkerhed gennem digitale awarenes-kurser for at understøtte de organisatoriske sikkerhedsforanstaltninger, der er et krav i forordningen.

Fælles databeskyttelsesrådgiver (DPO)

Ifølge databeskyttelseslovgivningen skal en FGU-institution have en databeskyttelsesrådgiver (DPO).

26 af de 27 FGU-institutioner er gået sammen om det fælles GDPR-arbejde, herunder en DPO, som er ansat pr. 1. juni 2021 for en 3-årig periode. Den fælles DPO er forankret i FGU Danmarks sekretariat og skal understøtte, rådgive, vejlede og overvåge, at den dataansvarlige (FGU-institutionen) overholder reglerne i databeskyttelsesforordningen, samt er denne kontaktled til og skal samarbejde med Datatilsynet.

DPO’ens arbejde indebærer bl.a. følgende opgaver:

  • Underrette og rådgive institutionerne og de ansatte om databeskyttelse
    • Konkret rådgivning om beskyttelse af personoplysninger i institutionerne samt overvejelser og beslutninger om, hvordan compliance sikres ifm.
      • Institutionernes indkøb af nye it-systemer
      • Kravspecifikationer til leverandører
      • Udarbejdelse af institutionernes data-politikker
      • Iværksættelse af behandling af personoplysninger
      • Overvejelser om, hvorvidt en given behandling af personoplysninger overholder de generelle behandlingsregler
    • Stå til rådighed for ansatte samt ledelsen i institutionerne vedrørende spørgsmål om databeskyttelse
    • Rådgivning ifm. udarbejdelse af institutionernes konsekvensanalyser
    • Modtage underretning om og rådgive institutionerne ifm. brud på persondatasikkerheden
  • Overvåge overholdelsen af de databeskyttelsesretlige regler i institutionerne
    • Overvåge institutionernes politikker og databeskyttelse, uddannelse af personale i databeskyttelse, oplysningskampagner, fordeling af ansvar og revisioner
  • Rådgivning ifm. udarbejdelse af institutionernes konsekvensanalyser
  • Samarbejde med Datatilsynet på vegne af institutionerne
  • Være kontaktpunkt for Datatilsynet angående spørgsmål om behandling af personoplysninger for de personer, der behandles oplysninger om

Herunder kan du læse en DPO-rapport for FGU Danmark og FGU-institutionerne for perioden maj 2020 til maj 2021.

Plan for 2021

I resten af 2021 vil der være følgende fokusområder for DPO’en:

  • Besøg på institutionerne, hvor DPO’en sammen med ledelsen og den lokale GDPR-ansvarlige vil gennemgå status for implementeringen af det generiske mastermateriale og identificere ønsker til den videre uddannelse af de lokale GDPR-ansvarlige, samt indsamle information om, hvad der især ønskes støtte til. I den forbindelse indsamles indgåede databehandleraftaler, for efterfølgende at kunne iværksætte udførelse af tilsynsopgaven på institutionernes vegne.
  • Etablering af et vidensbibliotek omkring GDPR-forhold, der skal være tilgængelig for alle de institutioner, der er med i samarbejdet om den fælles DPO- funktion.                                                                                                                                        
  • Iværksættelse af en Phishing kampagne blandt alle ansatte på FGU-institutionerne.
  • Opbygning af et DPA-team (GDPR-ansvarlige) bestående af relevante medarbejdere på institutionerne, hvor deltagerne i samarbejde med DPO’en lægger planen for, hvordan uddannelse, støtte, hjælp, bidrag mv. bedst opfylder behovet og sikrer at den enkelte DPA bliver klædt på med de nødvendige kompetencer. Målet er at have en DPA på hver enkelt institution og indenfor en 3 årig periode at få opbygget et egentligt DPO team, der kan sikre personuafhængighed ved f.eks. sygdom, ferie og andet fravær i forhold til håndtering af sikkerhedsbrud og således sikre, at der altid er en DPO klar til at spille bolden i enhver krisesituation.
  • Etablering af en DPO mailboks, hvortil man kan sende alt vedr. GDPR. Denne mailboks tænkes at blive administreret af alle deltagerne i DPA-teamet.
  • De ovenstående opgaver vil indgå i et årshjul, der synliggør hvornår de enkelte områder er i fokus og dette årshjul kommer til at ligger tilgængeligt sekretariatets webside.
  • DPO’en indgår i relevante netværk

Herunder kan du finde et foreløbigt årshjul for DPO’ens arbejde.

Kontakt