Håndtering af GDPR i organisationen – kortlægning af systemer

Skrevet af Camilla Bjørn, Svendborg Gymnasium.

Man skal gøre sig nogle overvejelser om hvilke og hvor mange ressourcer ens organisation har i arbejdet med GDPR, men det er ikke en lille forbigående opgave og den har også en vis værdi overfor vores elever (og ansatte) – da det er deres data, vi behandler.

Vores erfaring har vist os, at det har været en stor fordel, at vi var flere om at løfte den tunge GDPR-kasse i starten. Det hjalp os med, at det ikke krævede lige så mange ressourcer. Det håndgribelige at tale om her er, at det motiverer ofte at løfte sammen. Det ubevidste der sker i en arbejdsgruppe (frem for at stå alene) er, at der skabes et energi niveau, som ikke opstår på egen hånd.

For at projektet kunne køre og arbejdsgruppen kunne holde overblikket, kommunikere og arbejde sammen, oprettede vi en fælles mappe i vores interne drev, så vi alle kunne tilgå alle de dokumenter, vi med tiden oprettede. Vi lavede en struktur, hvor alle retningslinjer lå for sig, alle skabeloner blev gemt, alle interne notater lå, vores politiker for alle arbejdsområder lå – så hele gruppen hele tiden kunne tilgå dem. 

I mappen lå også et Excel ark, der kunne skabe et overblik over, hvilke dokumenter vi rent faktisk arbejder med, hvem arbejder med dem og hvor gemmer vi dem. Det blev udgangspunktet for os, at få det tydeliggjort, hvor mange steder vi arbejder – og hvilke data ligger så også de steder? Når det kommer til persondata, så har vi dokumenter liggende i administrationen, hos lærerne, i ledelsen, ved HR, i økonomi, i teknisk afdeling – uden man måske lige tænker over det. Og gemmes de lokalt, på privat drev, på et fælles intra, i O365, i et ESDH-system, og mange andre steder? Det er grundlæggende for at vi kan arbejde med projektet.

I en del tilfælde blev vi nødt til at spørge ud i organisationen, hvor underviserne f.eks. i praksis gemmer deres noter om eleverne, om de gemmer karaktererne på deres skrivebord, om de har deres evalueringer liggende i papirform hjemme på spisebordet osv. Vi introducerede og spurgte først i plenum på et PR møde og efterfølgende kom samme spørgsmål på mail, så ingen blev overset.

Da vi vidste hvilke dokumenter (og dermed også hvilke steder og systemer) vi anvendte rundt i organisationen, gav det en god grobund for at lave et nyt overblik (eller en ekstra kolonne), der kunne hjælpe os på vejen mod at få indgået de rette databehandler aftaler.

Sideløbende med at indgå disse aftaler og holde et overblik over det, så var der andre i arbejdsgruppen, der arbejdede på eksempelvis politiker for behandling af data, samtykke erklæringer, hjemmesideregler, m.m. 

Det hele blev hver gang samlet i vores fælles arbejdsdokument på adskilte faner. For hver gang et system ”dukkede op”, havde vi enten først kontakt til DPO eller med udbyderen. Og med tiden fik vi indsamlet de aftaler, vi vidste, vi skulle have.

Håber mit indlæg har givet dig inspiration til det videre arbejde med persondata på din skole.