Databeskyttelsesregler og GDPR godkendte systemer

Det Strategiske Uddannelsesråds anvisninger om brug af systemer og digitale platforme

Aalborg Universitet har i perioden, hvor universiteterne har været lukket ned grundet Covid-19 situationen, i al hast måttet omstille undervisningen til online eller delvis online. Derfor kan det være svært at sikre, at du som underviser overholder reglerne om GDPR, når undervisningen pludselig flyttes online. I forbindelse med Covid-19, er der udvist stor fleksibilitet både fra undervisere, studerende samt supportpersonale, og mange forskellige løsninger er bragt i anvendelse til gavn for undervisningen på Aalborg Universitet. Det har været en spændende og lærerig proces, men hvis vi som universitet skal kunne understøtte digital undervisning og læring på en kvalificeret måde, herunder i forhold til at stille sikre og forsvarlige løsninger til rådighed for undervisningen. I forhold til reglerne om GDPR, er det nødvendigt, at vi reducerer antallet af forskellige systemer og platforme, som vi benytter. Der er derfor udarbejdet en liste over de systemer og platforme, som anbefales til online undervisning på Aalborg Universitet i forhold til at sikre overholdelse af reglerne for GDPR.

Det Strategiske Uddannelsesråd (DSUR), 31-03-2020

Se listen over hvilke systemer AAU har godkendt til online undervisning nedenfor: 

  • +

    Hvilke systemer er GDPR godkendt til online undervisning på AAU?

    Nedenstående systemer er godkendt i forhold til reglerne for GDPR, og disse må derfor gerne benyttes til online undervising, vejledning og møder:

    • Moodle

    • Panopto

    • Office 365 (herunder Teams m.fl.)

    • Zoom

    Desuden en række systemer, som ikke supporteres af ITS, men som stadig er GDPR godkendte: 

    • Adobe Connect (Support kan fås gennem DeiC)

    • EdWord

    • Kahoot (gratis version)

    • Peergrade (databehandleraftale omfatter kun licenser på HUM og ikke gratisversionen af Peergrade)


    OBS: Det er vigtigt at være opmærksom på, at ovenstående systemer kun er godkendt til anvendelse af almindelige personoplysninger. Systemerne er ikke godkendt til anvendelse af følsomme personoplysninger. Mere information om anvendelse af personoplysninger findes i ovenstående artikel  'Guide til anvendelse af personoplysninger' .

    Yderligere systemer er under afdækning i forhold til GDPR og der forventes løbende opdatering af listen over systemer, der kan anvendes.

Guide til anvendelse af personoplysninger i online undervisning

Der gælder i princippet de samme GDPR-regler uanset om du står i undervisningslokalet eller gennemføre undervisningen online. Hvis du måtte bruge oplysningerne i undervisningslokalet, kan du derfor som udgangspunkt også benytte dem ved den online undervisning. Du skal blot anvende de IT-systemer CDUL anbefaler, da vilkårene for disse systemer er godkendte ift. de krav, som stilles om GDPR og it-sikkerhed. Du kan læse mere om hvilke systemer der anbefales og vejledningerne hertil her

De platforme, som anbefales til online undervisning, er godkendt til anvendelse af almindelige personoplysninger. Platformene er ikke godkendt til anvendelse af følsomme personoplysninger. Men hvad indebærer det i forhold til GDPR?

Personoplysninger er relevant information i forhold til reglerne om GDPR. Anvendelse af personoplysninger indebærer, at du lader information om personer indgå i din undervisning. Enten fordi du omtaler personerne direkte, eller fordi du bruger personer i cases og eksempler. Hvis der er tale om fuldstændig opdigtede personer og cases, er dette naturligvis uproblematisk. Men hvis der er tale om personer, der findes i virkeligheden, skal du være opmærksom på følgende:

Eksempler på almindelige personoplysninger, som du gerne må inkludere IFT: GDPR:

  • Stamoplysninger som navne, adresse, e-mail og telefonnummer

  • Stilling, uddannelse, alder og civilstatus

  • Billeder eller videoer af almindelige situationer, hvor det ikke er personen, som er i fokus.

Eksempler på fortrolige eller følsomme personoplysninger, som du ikke MÅ inkludere IFT GDPR:

  • Helbred, religion, seksualitet, politisk overbevisning, fagforening o. l.

  • Strafbare forhold eller væsentlige sociale problemstillinger

  • Cpr.nr.

  • Billeder eller video som afslører noget privat

Hvad hvis der er tale om anonymiserede oplysninger?

I forhold til reglerne for GDPR, er det tilladt frit at anvendte fuldstændigt anonyme oplysninger. Dog kræver det, at hverken du, personen selv eller andre kan finde tilbage til vedkommendes identitet. Du skal fjerne navn/identitet, hvor det er muligt, men det er ikke altid tilstrækkeligt til at opfylde kravene til anonymisering.

Eksempler på oplysninger, som ikke er anonymiseret IFT. GDPR:

  • Du beskriver en case med interview af person X med citater om vedkommendes svære kræftsygdom.  Oplysningerne stammer fra dine egne forskningsdata, hvor du stadig har interview med den navngivne person, Malene Pedersen.

  • Du har slettet rådata, men citaterne er så specifikke, at Malene Pedersen eller hendes pårørende kunne genkende dem, hvis de deltog i undervisningen.

I disse tilfælde vil der være tale om pseudo-anonymiserede oplysninger, og det er ikke nok.

 
MÅ jeg bruge personoplysninger fra nyheder eller sociale medier IFT. GDPR?

Reglerne for GDPR siger, at du kun må bruge disse personoplysninger, hvis vedkommende selv har offentliggjort oplysningerne. Du kan for eksempel godt omtale eller give et link til en helt åben profil på sociale medier eller i en nyhedshistorie, hvor vedkommende selv har udtalt sig og stadig overholde reglerne for GDPR.

Ikke supporterede værtøjer (Anbefales til den erfarne bruger af værktøjet. Brug ellers anbefalede værktøjer)

Fandt du ikke svar?

Du er altid velkommen til at kontakte os:

 cdul@aau.dk
 

Ved tekniske spørgsmål henvises til: ITS support