Anpassningar till GDPR i NyA och Ladok 2018-10-02 Rasmus Lilja Sophia Hansson Ridman Charlotta Beijron Gunnar Råhlén Anpassningar till GDPR i NyA och Ladok  

Det här kommer vi att presentera idag! Inledning – GDPR och personuppgifter generellt Utveckling i antagningssystemet och antagningsverksamheten Utveckling i Ladok Idag övergripande – djupare information på speciella träffar längre fram i höst

Kort om personuppgifter, GDPR och ansvar

General Data Protection Regulation - GDPR I Sverige – dataskyddsförordningen  (EU) 2016/679  Med syfte att öka individers kontroll över sina personuppgifter i digitala sammanhang och skapa enhetlighet inom EU

Vad är en personuppgift? All information som handlar om fysiska personer som kan identifieras är personuppgifter Uppenbara personuppgifter: namn, personnummer, adress, e-postadress, passnummer, etc. Men också: bilder av dig, reg.nr på bilen du äger, IP-adress när du surfar, ljudinspelning med din röst, kakor Känsliga personuppgifter: uppgift om en persons etniskt ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i en fackförening, hälsa, genetiska uppgifter etc.

Hanteringen ska vila på ”rättslig grund” Samtycke Avtal Intresseavvägning Rättslig förpliktelse Myndighetsutövning och uppgift om allmänt intresse Grundläggande intresse

Specifika och berättigade ändamål Måste finnas klart syfte med behandlingen av personuppgifter Specifika och konkreta ändamål – får inte vara luddiga och otydliga! Sätter ramarna för vad vi får och inte får göra, vilka personuppgifter vi får behandla och hur länge vi får spara dem. Inte behandla fler personuppgifter än vad som behövs för ändamålen!

Personuppgifterna ska vara riktiga och uppdaterade Felaktiga personuppgifter ska rättas eller raderas Ska finnas rutiner för detta

Gallring, radering och arkivering av personuppgifter När personuppgifterna inte längre behövs för ändamålet ska de raderas eller avidentifieras Rutiner för gallring ska finnas Får sparas för arkivändamål av allmänt intresse, vetenskapliga och historiska forskningsändamål eller statiska ändamål.

Skydda personuppgifterna! Förhindra att obehöriga kommer åt uppgifterna Inte används på ett otillåtet sätt Se till att personuppgifterna inte förloras eller blir förstörda genom exempelvis olyckshändelser Både tekniska och organisatoriska säkerhetsåtgärder Brandväggar Kryptering Säkerhetskopiering Interna rutiner, instruktioner och riktlinjer

Ansvarsskyldighet Vi måste kunna visa att vi lever upp till dataskyddsförordningen, exempelvis genom att: Dokumentera behandlingar av personuppgifter inom organisationen Dataskyddspolicy och utbildning av personal Inbyggt dataskydd i IT-system Utse dataskyddsombud Tydlig information till registrerade personer

Vem är ansvarig? Personuppgiftsansvarig Personuppgiftsbiträde den organisation (till exempel aktiebolag, stiftelse, förening eller myndighet) som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till Personuppgiftsbiträde den som behandlar personuppgifter för en personuppgiftsansvarigs räkning finns alltid utanför den personuppgiftsansvariges organisation kan vara en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ Dataskyddsombud övervakar att organisationen följer dataskyddsförordningen samlar in information om hur organisationen behandlar personuppgifter kontrollerar att organisationen följer bestämmelser och interna styrdokument informerar och ger råd inom organisationen.

Likheter och skillnader – olika förutsättningar Ladok Ladokkonsortiet är personuppgiftsbiträde Ingen gallring av uppgifter NyA UHR är personuppgiftsansvariga Gallring sker enligt arkivlagen

Vad betyder egentligen GDPR för NyA?

De viktigaste reglerna för NyA - kortversion Uppdraget att bistå lärosätena med antagning till högskolan ger rättslig grund Syftet med att samla in och behandla personuppgifter är att kunna genomföra behörighets- och meritvärdering för att fullfölja korrekt och objektiv antagning

De viktigaste reglerna för NyA - kortversion Personuppgifter får inte användas i andra syften än de syften som motiverade insamlingen av uppgifterna. Den registrerade måste få klar och tydlig information om sina rättigheter samt vilka uppgifter som behandlas och varför (ges på antagning.se och universityadmissions.se)

De viktigaste reglerna för NyA - kortversion Medarbetare får bara ha tillgång till de uppgifter som den behöver för sitt arbete Systemen måste ha tekniska begränsningar som begränsar åtkomsten till person- uppgifter, så långt som är praktiskt möjligt Systemen måste ha funktioner för att övervaka och avslöja ”personuppgifts- incidenter” inkl. bl.a. obehörig åtkomst

De viktigaste kraven för NyA NyA måste fortsatt kunna användas för att effektivt genomföra och handlägga antagning av studenter till svenska universitet och högskolor Lärosäten måste fortsättningsvis kunna ingå tillfälliga och permanenta handläggningssamarbeten SOFIA TAR ÖVER

De viktigaste kraven för NyA Handläggningen inom VO måste fortsatt fungera UHR måste kunna stötta lärosätena på ett effektivt sätt Ingen ska behöva drunkna i administrativa åtgärder

Utveckling i antagningssystemet Förändringar i funktioner och processer

Aktuella förändringar Endast kunna söka fram personer på eget lärosäte (klient och webb) Begränsa utsökning i NyA Open till användarens eget lärosäte Personliga användarkonton i NyA Open Loggning i NyA Open Avidentifierat och produktionslikt testdata

Endast kunna söka fram sökande till eget lärosäte Användare kan inte längre söka fram samtliga personer i NyA Åtkomst till uppgifter om sökande i NyA blir beroende av 1. sökandes anmälningar 2. användarens behörighet Gäller även ex. batchar, ärendeköer, sökandelistor, visa-webben

Eget lärosäte ”den organisation jag är behörig i” Användare har behörighet att ta del av personuppgifter för Personer i NyA som har ett befintligt sökalternativ Personer i NyA som har ett raderat sökalternativ i en icke-avslutad antagningsomgång Personer i NyA som ingår i programunderlag för den eller de organisationer den är behörig att handlägga för UHR har behörighet till samtliga uppgifter

Begränsa NyA Open till användarens eget lärosäte Uppgifter som direkt identifierar en fysisk person Maskering sker för övriga användare (****) UHR får se alla uppgifter Samtliga ”ej personuppgifter” kan vara åtkomliga för statistisk bearbetning Utredning och förankring pågår Inte klar med denna bild …

Övrig utveckling Personliga konton i NyA Open ersätter dagens kollektiva konton Gäller troligen även integrerade system Inloggning sker med unika användarnamn och lösenord Loggning i NyA Open Funktioner för att kontrollera anvädningen För att spåra och upptäcka incidenter Översyn av testdata och –testmiljöer Kartlägga behovet av produktionslik men avidentifierad data ex För utveckling, olika tester och utbildning ex.