Embed Size (px)
DESCRIPTION
Citation preview
www.4ben.dk
DATASIKKERHED i folkeskolen
Malene Erkmann
FOTO: Rishi B, Flickr: Religious Bling
www.4ben.dk
2 overordnede områder
Håndtering af egne dataEn administrativ opgaveFx i SkoleIntra, mellem skole og forvaltning, i det fysiske rum
Elevernes håndtering af dataEn pædagogisk opgaveFx foto og video, kommentarer og andre bidrag i sociale netværk – ”the net will not forget!”
It-vejlederens opgave?
www.4ben.dk
Sikkerhedsbekendtgørelsen
§ 6. Den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. Medarbejderne skal herunder gøres bekendt med de regler, der er fastsat i medfør af § 5.
§ 5. Den dataansvarlige myndighed skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinier for myndighedens tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden.
Stk. 2. De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden.
www.4ben.dk
Dagens opgave
Skriftlig aftale mellem skolen og den it-ansvarlige?
www.4ben.dk
Persondataloven
Persondataloven gælder for behandling af persondata, som foretages af offentlige myndigheder og af private virksomheder, foreninger og lignende.
Med "behandling" menes enhver form for håndtering af oplysninger om personer på, fx
indsamling, registrering, systematisering, opbevaring, brug, videregivelse, samkøring og sletning.
www.4ben.dk
Den dataansvarliges opgaver
Den dataansvarlige, dvs. den, der registrerer og behandler persondata, skal altid have et udtrykkeligt angivet og sagligt formål:
Man må kun registrere de persondata, der er nødvendige for at opfylde formålene, og man må kun gemme persondata, så længe de er nødvendige. Persondata skal altid være ajourførte, og man må f.eks. ikke registrere vildledende eller urigtige persondata.
www.4ben.dk
Vigtige overvejelser
Hvilke data behandles? Følsomme, fortrolige eller blot almindelige? Hvorfor - hvad er formålet, og er det sagligt? Er der i persondataloven en særlig hjemmel til den konkrete behandling? Er de registrerede tilstrækkeligt informeret? Er institutionen i stand til at imødekomme indsigtsbegæringer? Hvor længe gemmes persondataene? Hvem har adgang til persondataene? Er sikkerhedskravene opfyldt? Ligger persondataene "hjemme" hos institutionen, eller hos en databehandler? Er der styr på de juridiske krav dertil? Sker der videregivelse - og er den lovlig? Skal der ske anmeldelse til Datatilsynet? Eller evt. forudgående godkendelse inden ibrugtagning af systemet?
www.4ben.dk
Hvilke data behandles?
Følsomme, private eller blot almindelige?
www.4ben.dk
3 slags data
Følsomme data er data om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Her er kravene til behandling ret restriktive.F.eks. stilles der skærpede krav om it-sikkerhed og logning i it-systemerne.
Private data - er bl.a. strafbare forhold, væsentlige sociale problemer, CPR-numre, portrætfotos og andre rent private forhold. Her skal man også være særligt opmærksom, da der stilles skærpede krav, dog ikke altid lige så strikte som ved behandlingen af følsomme data.
De almindelige data er så alle de andre persondata, der ikke er omfattet af de to førnævnte kategorier. Det er f.eks. navn, adresse, stilling, telefonnummer etc.
www.4ben.dk
Datatilsynets praksis vedrørende billeder på nettet
Situationsbilleder defineres i denne sammenhæng som billeder, hvor en aktivitet eller en situation er det egentlige formål med billedet. Det kunne f.eks. være gæster til en rockkoncert, legende børn i en skolegård eller besøgende i en zoologisk have.
Modsætningen hertil er portrætbilleder, hvor formålet er at afbilde en eller flere bestemte personer, jf. mere herom nedenfor.
www.4ben.dk
Situationsbilleder
Situationsbilleder kan offentliggøres uden samtykke med hjemmel i interesseafvejningsreglen i persondatalovens § 6, stk. 1, nr. 7.
..under skyldig hensyntagen til karakteren af billedet: sammenhæng, formålet, ikke kunne føle sig udstillet, udnyttet eller krænket, f.eks. i markedsførings eller andet kommercielt øjemed. Billederne skal således være harmløse.
Eksempler på situationsbilleder :• Billeder optaget under en fritidsklubs udfoldelse af aktiviteter• Billeder optaget af unges ophold på en efterskole eller anden privat skole• Billeder optaget ved en kommunal skoles juleafslutning
www.4ben.dk
Undtagelser
Billeder kan virke krænkende for de afbildede. Dette kunne f.eks. være hvis to genkendelige personer afbildes i intime situationer.
Følgende situationsbilleder vil normalt ikke kunne offentliggøres uden samtykke:
• Billeder af ansatte på arbejde i en virksomhed eller offentlig myndighed• Billeder af kunder i en forretning, i banken, på posthuset m.v.• Besøgende på en bar, natklub, diskotek eller lignende
www.4ben.dk
Portrætbilleder
Som altovervejende udgangspunkt kræver det et samtykke at offentliggøre portrætbilleder på internet.
Hvis en skole f.eks. ønsker at offentliggøre portrætbilleder eller klassebilleder af eleverne på sin hjemmeside, må det kun ske, hvis der inden offentliggørelsen indhentes et udtrykkeligt samtykke fra hver enkelt elev, eller dennes forældre afhængig af elevens alder.
www.4ben.dk
Logning af aktiviteter er personlige data
Reglerne gælder også overvågning af medarbejderes og elevers it-anvendelse. Dvs. websurfing, der logger på serverne, e-mail-konti, der nærliggende kan blive gennemgået, hvis der er "problemer" med medarbejdere eller elever, de digitale overvågningskameraer i aulaen og så videre.
www.4ben.dk
Hvad er et sagligt formål?
Når data indsamles, fx i SkoleIntra, for at
Udbygge og forbedre nogle indlæringsmæssige, undervisningsmæssige, faglige og pædagogiske elementer i institutionens aktiviteter over for den enkelte elev.
Det handler om nuancering, evaluering og yderligere muligheder for at planlægge elevernes uddannelsesforløb på et mere detaljeret og individuelt niveau end før.
www.4ben.dk
Information til eleverne
De registrerede - eleverne - skal på en eller anden vis være bekendt med behandlingen. Man skelner mellem: sædvanlig pædagogisk/faglig aktivitet på institutionen, som finder sted i de "almindelige" elev-administrative systemer, som eleverne ved eksisterer og anvendes, og andre former for brug. Ved andre former må institutionen overveje, om eleverne skal orienteres særskilt om det pågældende system.
www.4ben.dk
Elevernes indsigt
Skolen skal til enhver tid være parat til at imødekomme elevers anmodninger om indsigt i behandlingerne af persondata. Den skal med andre ord have tjek på, hvad der sker i systemet, hvem der har adgang, hvorfor etc. Og skal kunne lave udtræk/redegørelse om databehandling over for den elev, der anmoder om indsigt.
www.4ben.dk
Hvem må behandle data?
Lovens regler om behandlingssikkerhed - og princippet om god databehandlingsskik - siger, at det kun er relevante medarbejdere, der må have adgang til persondata. Ydermere skal systemet kunne logge brugeraktiviteter og afviste adgangsforsøg, hvis det indeholder fortrolige eller følsomme persondata om eleverne.
www.4ben.dk
Sikkerhedsbekendtgørelsen
Autorisation og adgangskontrol § 11. Kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles. Stk. 2. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. Stk. 3. Der må endvidere autoriseres personer, for hvem adgang til oplysninger er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver. § 12. Der skal træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til.
www.4ben.dk
Sikkerhed
Hvis følsomme persondata skal al transmission over internettet være stærkt krypteret.Hvis fortrolige persondata i systemet, skal forbindelsen være krypteret.
institutionens aftale med databehandleren (leverandøren) skal indeholde regulering af persondataforhold. Behandlingen ved en databehandler kræver, at der indgås en skriftlig aftale imellem den dataansvarlige og databehandleren.
yderligere elementer, fx: Det ny system skal evt. anmeldes og forudgående godkendes af Datatilsynet, inden det tages i brug. Det skal det som regel, hvis det indeholder fortrolige og/eller følsomme persondata.
www.4ben.dk
Datatilsynets gode råd om privacy og databeskyttelse
Skab om muligt adgang til brug af oplysnings-tjenester anonymt eller under pseudonym
Lad ikke transparens over for omverdenen ske på bekostning af de personer, som indgår i sagerne
Hvordan sikrer vi vores elevers anonymitet: [email protected]?
www.4ben.dk
Datatilsynets gode råd om privacy og databeskyttelse
Få overblik over persondata og håndter dem på en struktureret måde
Kontroller adgangen – kun de, som har behov
Beskyt information
www.4ben.dk
Persondata – det pædagogiske projekt
The net will not forget
1,5 mia. computere i internet4 mia. mobiltelefoner
The silence of the chips – the internet of thingsThe right to be forgottenAutentifikation og identifikationDesigning privacyPrivacy is a human right
www.4ben.dk
RFID – the silence of chips
Radio Frequency Identification (RFID) er en automatisk identificeringsmetode, som fungerer ved opbevaring og fjernmodtagelse af data ved brug af anordninger kaldet RFID tags eller transponders. Et RFID tag er et objekt som kan påsættes eller inkorporeres i et produkt, dyr eller en person for senere at kunne bruges til identificering via radiobølger. Chip-baserede RFID tags indeholder siliciumchips og radioantenner. Passive tags kræver ingen intern strømforsyning, mens aktive tags kræver en elektricitetskilde.
Aktive og passiv RFID. Foto: Teknologisk, Duckling!, Flickr og IL Kortsystemer
www.4ben.dk
Datasikkerhed i computere-i-alting – the internet of things
Du er, hvad du gør
Privacy:
retten til ikke at blive observeret eller forstyrret af andre
www.4ben.dk
RFIDs dilemma – security og privacy
RFID-teknologien er en af de vigtigste teknologier på vejen mod ”the Internet of Things”. Vores fremtidige verden, hvor ting kan kommunikere med hinanden over Internettet.
Udbredt konsensus: hvis ikke en RFID-tag kan kontrolleres af ejeren af produktet (forbrugeren), så skal den deaktiveres, inden produktet forlader butikken.
Men det ville betyde et farvel til alle de muligheder, som teknologien åbner for. Fx: Øget patientsikkerhed, tryg medicinering i hjemmet, forhindring af arbejdsskader, intelligente hjælpemidler til handicappede, tyverisikring af værdigenstande, det intelligente hjem, forbedret forbrugeroplysning
www.4ben.dk
Ulemperne
Overvågning overaltKrænkelse af privatlivets fred – dyneløfteri i supermarkedet og i
skraldespandenSamkøring med identitetSamkøring af data ved ændret lovgivningOverflow af målrettet markedsføringDrive-by tyveri Miljømæssige konsekvenserSamfundets resurser til kontrol af misbrug eksploderer
Foto
: Kau
stav
Bha
ttac
hary
a, F
lickr
www.4ben.dk
LIFETAGS
Det er svært at beskytte vores digitale kropLife-logging er mere interessant end identifikation
LIFETAG Din sundheds ID – indeholder informationer om fx allergi, astma, Alzheimers, diabetes, epilepsi, pacemaker, transplanter etc.
www.4ben.dk
The right to be forgotten
Datatilsynet, 24. september 2009:
3 aktuelle problemer:1. Flere eksempler på personlige data, der offentliggøres på nettet2. Offentliggørelse af personlige data har ført til misbrug af/tyveri af ID3. Myndigheder skaffer sig adgang til data i nye digitale løsninger
www.4ben.dk
Autentifikation og identifikation
Autentifikation, programmet spørger: ”Er du en, der må komme ind?” … kan du det hemmelige kodeord?…
Identifikation, programmet spørger: ”Hvem er du?” … jeg kender dig nemlig! …
www.4ben.dk
Datasikkerhed i sociale netværk
You are, who you say you are
Dine og andres billederDine og andres kommentarer
www.4ben.dk
Designing privacy - forslag til datasikkert design
Vi opbevarer ikke brugernes data, de bringer dem med sig (fx USB, eller betalingssystemer i bil, hvor bilen betaler i stedet for at sende data)
Vi laver en teknisk løsning, som betyder, at kun modtageren kan samle og forstå data
Vi skaber forståelig standard for privacy policies
www.4ben.dk
Privacy is a human right
3 problemer med privacy:
Tekniske problemer:Manglende privacy som følge af dårligt designManglende privacy som følge af manglende design
Politiske problemer:Manglende privacy som følge af bevidst design
www.4ben.dk
5-fingerplan – krav til vores elevers it-kompetencer
Evnen til at handle æstetiskEvnen til at organisere sine vennerEvnen til at netværkeEvnen til at være kildekritiskEvnen til at være redaktør
