Precis som alla företag måste skolor och utbildningsorgan följa uppdateringarna av dataskyddslagen som kommer i maj.
Vi vet att dataskyddslagarna, som vi känner dem idag, håller på att förändras. De Allmänna dataskyddsförordningen (GDPR) träder i kraft den 25 maj i år, och de allra flesta organisationer, oavsett storlek, måste vara redo för dessa förändringar.
Skolor kommer att behandla personliga uppgifter om lärare, elever och deras familjer. I många fall kommer de att använda marknadsföring för att förbättra intaget eller för att samla in pengar. Skolor har CCTV, använd molnprogramvara – alla områden som GDPR berör. Så låt oss ta en titt på några av de områden som skolor måste tänka på när de uppfyller de nya reglerna, och hur du kan komma igång.
Ekosystemet för personuppgifter är en term som används av Institutionen för utbildning, för att beskriva hur data lagras och sammanlänkningen av system som de använder för att lagra dem i. Dessa system inkluderar:
Skolor kommer ofta att behöva skicka dessa personuppgifter till andra myndigheter inklusive hälso- och sjukvård, lokala myndigheter och utbildningsdepartementet själv.
Att titta på data på detta sätt hjälper dig att planera alla ändringar du behöver göra för GDPR.
Så vi nämnde tidigare att det inte bara är elevernas personuppgifter som du kommer att hantera som skola – det kan också vara uppgifter om föräldrarna eller vårdnadshavarna och alla som är anställda av dig. Detta inkluderar nuvarande och tidigare anställda samt personer som har sökt arbete i din organisation. Skolor måste identifiera alla personuppgifter och specialdata som de har.
Se ekosystemet för personuppgifter – delar du data med andra organisationer?
Liksom de flesta aspekter av GDPR, kommer du att behöva införa policyer för att beskriva hur du kommer att hantera data. Här måste du titta på din systemdatalagringspolicy och fråga dig själv om den överensstämmer med din datalagringspolicy. Ger det dig möjlighet att fullgöra dina skoluppgifter och ingår det i avtal med leverantörer?
Om en person ber att få se vilka uppgifter du har om dem måste du lämna denna information. Detta kallas Subject Access Requests, eller SAR. Du måste vara säker på att du kan komma åt denna information och kunna förse ämnet med denna inom den angivna tidsramen.
Alla system som du lagrar personuppgifterna i måste vara säkra. Du kommer att förväntas beskriva de åtgärder du har vidtagit för att skydda den. Följer du några erkända standarder, som ISO 27001 för ledningssystem för informationssäkerhet?
En skräddarsydd praktisk session utifrån dina behov och mål
Kom den 25 maj i år, är du säker på att leverantören som förser din skola med dina system kommer att vara redo för ändringarna av dataskyddslagen? Har de beskrivit och demonstrerat sina steg till GDPR?
När du utser en dataskyddsombud, eller DPO, rekommenderar utbildningsdepartementet att du inte väljer en IT-chef eller rektor. De föreslår en individ som inte är involverad i att fatta beslut kring teknik eller bearbetning.
Det är också värt att notera att dataskyddsombud kan arbeta för ett antal organisationer. Det betyder att du kan dela en DPO med en annan skola.
Informationskommissionärens kontor, tillsammans med DfE, kommer att fortsätta att uppdatera sina riktlinjer under de kommande veckorna. ISMS.online kommer att hålla dig uppdaterad.
