Your SlideShare is downloading. ×
0
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Datasikkerhed i folkeskolen
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Datasikkerhed i folkeskolen

737

Published on

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
737
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. FOTO: Rishi B, Flickr: ReligiousBling<br />Malene Erkmann<br />DATASIKKERHED i folkeskolen<br />
  • 2. 2 overordnede områder<br />Håndtering af egne data<br /> En administrativ opgave<br /> Fx i SkoleIntra, mellem skole og forvaltning, i det fysiske rum<br />Elevernes håndtering af data<br /> En pædagogisk opgave<br /> Fx foto og video, kommentarer og andre bidrag i sociale netværk – ”the net will not forget!”<br />It-vejlederens opgave?<br />
  • 3. Sikkerhedsbekendtgørelsen<br />§ 6. Den dataansvarlige myndighed skal give den fornødne instruktion til de medarbejdere, som behandler personoplysningerne. Medarbejderne skal herunder gøres bekendt med de regler, der er fastsat i medfør af § 5.<br />§ 5. Den dataansvarlige myndighed skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelserne skal navnlig omfatte organisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinier for myndighedens tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden.<br />    Stk. 2. De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden.<br />
  • 4. Dagens opgave<br />Skriftlig aftale mellem skolen og den it-ansvarlige?<br />
  • 5. Persondataloven<br />Persondataloven gælder for behandling af persondata, som foretages af offentlige myndigheder og af private virksomheder, foreninger og lignende. <br />Med &quot;behandling&quot; menes enhver form for håndtering af oplysninger om personer på, fx <br />indsamling, registrering, systematisering, opbevaring, brug, <br />videregivelse, samkøring og sletning.<br />
  • 6. Den dataansvarliges opgaver<br />Den dataansvarlige, dvs. den, der registrerer og behandler persondata, skal altid have et udtrykkeligt angivet ogsagligt formål: <br /> Man må kun registrere de persondata, der er nødvendige for at opfylde formålene, og man må kun gemme persondata, så længe de er nødvendige. <br /> Persondata skal altid være ajourførte, og man må f.eks. ikke registrere vildledende eller urigtige persondata.<br />
  • 7. Vigtige overvejelser<br />Hvilke data behandles? Følsomme, fortrolige eller blot almindelige? <br />Hvorfor - hvad er formålet, og er det sagligt? <br />Er der i persondataloven en særlig hjemmel til den konkrete behandling? <br />Er de registrerede tilstrækkeligt informeret? <br />Er institutionen i stand til at imødekomme indsigtsbegæringer? <br />Hvor længe gemmes persondataene? <br />Hvem har adgang til persondataene? <br />Er sikkerhedskravene opfyldt? <br />Ligger persondataene &quot;hjemme&quot; hos institutionen, eller hos en databehandler? Er der styr på de juridiske krav dertil? <br />Sker der videregivelse - og er den lovlig? <br />Skal der ske anmeldelse til Datatilsynet? Eller evt. forudgående godkendelse inden ibrugtagning af systemet? <br />
  • 8. Hvilke data behandles? <br />Følsomme, private eller blot almindelige? <br />
  • 9. 3 slags data<br />Følsomme data er data om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold. Her er kravene til behandling ret restriktive.F.eks. stilles der skærpede krav om it-sikkerhed og logning i it-systemerne.<br />Private data - er bl.a. strafbare forhold, væsentlige sociale problemer, CPR-numre, portrætfotos og andre rent private forhold. Her skal man også være særligt opmærksom, da der stilles skærpede krav, dog ikke altid lige så strikte som ved behandlingen af følsomme data.<br />De almindelige data er så alle de andre persondata, der ikke er omfattet af de to førnævnte kategorier. Det er f.eks. navn, adresse, stilling, telefonnummer etc.<br />
  • 10. Datatilsynets praksis vedrørende billeder på nettet<br />Situationsbilleder defineres i denne sammenhæng som billeder, hvor en aktivitet eller en situation er det egentlige formål med billedet. Det kunne f.eks. være gæster til en rockkoncert, legende børn i en skolegård eller besøgende i en zoologisk have. <br />Modsætningen hertil er portrætbilleder, hvor formålet er at afbilde en eller flere bestemte personer, jf. mere herom nedenfor. <br />
  • 11. Situationsbilleder<br />Situationsbilleder kan offentliggøres uden samtykke med hjemmel i interesseafvejningsreglen i persondatalovens § 6, stk. 1, nr. 7. <br />..under skyldig hensyntagen til karakteren af billedet: sammenhæng, formålet, ikke kunne føle sig udstillet, udnyttet eller krænket, f.eks. i markedsførings eller andet kommercielt øjemed. Billederne skal således være harmløse. <br />Eksempler på situationsbilleder :<br /><ul><li> Billeder optaget under en fritidsklubs udfoldelse af aktiviteter
  • 12. Billeder optaget af unges ophold på en efterskole eller anden privat skole
  • 13. Billeder optaget ved en kommunal skoles juleafslutning</li></li></ul><li>Undtagelser<br />Billeder kan virke krænkende for de afbildede. Dette kunne f.eks. være hvis to genkendelige personer afbildes i intime situationer. <br />Følgende situationsbilleder vil normalt ikke kunne offentliggøres uden samtykke:<br /><ul><li> Billeder af ansatte på arbejde i en virksomhed eller offentlig myndighed
  • 14. Billeder af kunder i en forretning, i banken, på posthuset m.v.
  • 15. Besøgende på en bar, natklub, diskotek eller lignende</li></li></ul><li>Portrætbilleder<br />Som altovervejende udgangspunkt kræver det et samtykke at offentliggøre portrætbilleder på internet. <br />Hvis en skole f.eks. ønsker at offentliggøre portrætbilleder eller klassebilleder af eleverne på sin hjemmeside, må det kun ske, hvis der inden offentliggørelsen indhentes et udtrykkeligt samtykke fra hver enkelt elev, eller dennes forældre afhængig af elevens alder.<br />
  • 16. Logning af aktiviteter er personlige data<br />Reglerne gælder også overvågning af medarbejderes og elevers it-anvendelse. Dvs. websurfing, der logger på serverne, e-mail-konti, der nærliggende kan blive gennemgået, hvis der er &quot;problemer&quot; med medarbejdere eller elever, de digitale overvågningskameraer i aulaen og så videre. <br />
  • 17. Hvad er et sagligt formål?<br />Når data indsamles, fx i SkoleIntra, for at <br />Udbygge og forbedre nogle indlæringsmæssige, undervisningsmæssige, faglige og pædagogiske elementer i institutionens aktiviteter over for den enkelte elev. <br />Det handler om nuancering, evaluering og yderligere muligheder for at planlægge elevernes uddannelsesforløb på et mere detaljeret og individuelt niveau end før.<br />
  • 18. Information til eleverne<br />De registrerede - eleverne - skal på en eller anden vis være bekendt med behandlingen. <br />Man skelner mellem: sædvanlig pædagogisk/faglig aktivitet på institutionen, som finder sted i de &quot;almindelige&quot; elev-administrative systemer, som eleverne ved eksisterer og anvendes, og andre former for brug. <br />Ved andre former må institutionen overveje, om eleverne skal orienteres særskilt om det pågældende system.<br />
  • 19. Elevernes indsigt<br />Skolen skal til enhver tid være parat til at imødekomme elevers anmodninger om indsigt i behandlingerne af persondata. <br />Den skal med andre ord have tjek på, hvad der sker i systemet, hvem der har adgang, hvorfor etc. Og skal kunne lave udtræk/redegørelse om databehandling over for den elev, der anmoder om indsigt.<br />
  • 20. Hvem må behandle data?<br />Lovens regler om behandlingssikkerhed - og princippet om god databehandlingsskik - siger, at det kun er relevante medarbejdere, der må have adgang til persondata. <br />Ydermere skal systemet kunne logge brugeraktiviteter og afviste adgangsforsøg, hvis det indeholder fortrolige eller følsomme persondata om eleverne.<br />
  • 21. Sikkerhedsbekendtgørelsen<br />Autorisation og adgangskontrol    § 11. Kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles.    Stk. 2. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for.    Stk. 3. Der må endvidere autoriseres personer, for hvem adgang til oplysninger er nødvendig med henblik på revision eller drifts- og systemtekniske opgaver.    § 12. Der skal træffes foranstaltninger for at sikre, at kun autoriserede brugere kan få adgang, og at disse kun kan få adgang til de personoplysninger og anvendelser, som de er autoriserede til.<br />
  • 22. Sikkerhed<br />Hvis følsomme persondata skal al transmission over internettet være stærkt krypteret.<br />Hvis fortrolige persondata i systemet, skal forbindelsen være krypteret.<br />institutionens aftale med databehandleren (leverandøren) skal indeholde regulering af persondataforhold. Behandlingen ved en databehandler kræver, at der indgås en skriftlig aftale imellem den dataansvarlige og databehandleren.<br />yderligere elementer, fx: Det ny system skal evt. anmeldes og forudgående godkendes af Datatilsynet, inden det tages i brug. Det skal det som regel, hvis det indeholder fortrolige og/eller følsomme persondata.<br />
  • 23. Datatilsynets gode råd om privacy og databeskyttelse<br /> Skab om muligt adgang til brug af oplysnings-tjenester anonymt eller under pseudonym<br /> Lad ikke transparens over for omverdenen ske på bekostning af de personer, som indgår i sagerne<br />Hvordan sikrer vi vores elevers anonymitet: malene.erkmann@skolekom.dk?<br />
  • 24. Datatilsynets gode råd om privacy og databeskyttelse<br /> Få overblik over persondata og håndter dem på en struktureret måde<br /> Kontroller adgangen – kun de, som har behov<br /> Beskyt information<br />
  • 25. Persondata – det pædagogiske projekt<br />The net will not forget<br />1,5 mia. computere i internet<br />4 mia. mobiltelefoner<br />The silence of the chips – the internet of things<br />The right to beforgotten<br />Autentifikation og identifikation<br />Designingprivacy<br />Privacy is a human right<br />
  • 26. RFID – the silence of chips<br />Radio FrequencyIdentification (RFID) er en automatisk identificeringsmetode, som fungerer ved opbevaring og fjernmodtagelse af data ved brug af anordninger kaldet RFID tags eller transponders. Et RFID tag er et objekt som kan påsættes eller inkorporeres i et produkt, dyr eller en person for senere at kunne bruges til identificering via radiobølger. Chip-baserede RFID tags indeholder siliciumchips og radioantenner. Passive tags kræver ingen intern strømforsyning, mens aktive tags kræver en elektricitetskilde.<br />Aktive og passiv RFID. <br />Foto: Teknologisk, Duckling!, Flickr og IL Kortsystemer<br />
  • 27. Datasikkerhed i computere-i-alting – the internet of things<br />Du er, hvad du gør<br />Privacy: <br />retten til ikke at blive observeret eller forstyrret af andre<br />
  • 28. RFIDs dilemma – security og privacy<br />RFID-teknologien er en af de vigtigste teknologier på vejen mod ”the Internet of Things”. Vores fremtidige verden, hvor ting kan kommunikere med hinanden over Internettet.<br />Udbredt konsensus: hvis ikke en RFID-tag kan kontrolleres af ejeren af produktet (forbrugeren), så skal den deaktiveres, inden produktet forlader butikken. <br />Men det ville betyde et farvel til alle de muligheder, som teknologien åbner for. Fx: Øget patientsikkerhed, tryg medicinering i hjemmet, forhindring af arbejdsskader, intelligente hjælpemidler til handicappede, tyverisikring af værdigenstande, det intelligente hjem, forbedret forbrugeroplysning<br />
  • 29. Ulemperne <br />Overvågning overalt<br />Krænkelse af privatlivets fred – dyneløfteri i supermarkedet og i skraldespanden<br />Samkøring med identitet<br />Samkøring af data ved ændret lovgivning<br />Overflow af målrettet markedsføring<br />Drive-by tyveri <br />Miljømæssige konsekvenser<br />Samfundets resurser til kontrol af misbrug eksploderer<br />Foto: Kaustav Bhattacharya, Flickr<br />
  • 30. LIFETAGS<br />Det er svært at beskytte vores digitale krop<br />Life-logging er mere interessant end identifikation<br />LIFETAG<br />Din sundheds ID – indeholder informationer om fx allergi, astma, Alzheimers, diabetes, epilepsi, pacemaker, transplanter etc. <br />
  • 31. The right to beforgotten<br />Datatilsynet, 24. september 2009:<br />3 aktuelle problemer:<br />Flere eksempler på personlige data, der offentliggøres på nettet<br />Offentliggørelse af personlige data har ført til misbrug af/tyveri af ID<br />Myndigheder skaffer sig adgang til data i nye digitale løsninger<br />
  • 32. Autentifikation og identifikation<br />Autentifikation, programmet spørger: ”Er du en, der må komme ind?” <br />…kan du det hemmelige kodeord?…<br />Identifikation, programmet spørger: ”Hvem er du?” <br />… jeg kender dig nemlig! …<br />
  • 33. Datasikkerhed i sociale netværk<br />Youare, whoyousayyouare<br />Dine og andres billeder<br />Dine og andres kommentarer<br />
  • 34. Designingprivacy - forslag til datasikkert design<br />Vi opbevarer ikke brugernes data, de bringer dem med sig (fx USB, eller betalingssystemer i bil, hvor bilen betaler i stedet for at sende data)<br />Vi laver en teknisk løsning, som betyder, at kun modtageren kan samle og forstå data<br />Vi skaber forståelig standard for privacypolicies<br />
  • 35. Privacy is a human right<br />3 problemer med privacy:<br />Tekniske problemer:<br />Manglende privacy som følge af dårligt design<br />Manglende privacy som følge af manglende design<br />Politiske problemer:<br />Manglende privacy som følge af bevidst design <br />
  • 36. 5-fingerplan – krav til vores elevers it-kompetencer<br />Evnen til at handle æstetisk<br />Evnen til at organisere sine venner<br />Evnen til at netværke<br />Evnen til at være kildekritisk<br />Evnen til at være redaktør<br />

×