Vad betyder Schrems II-domen och GDPR för användandet av digitala verktyg i skolan?

7 min read

Den 16 juli 2020 ogiltigförklarade EU-domstolen det tidigare Privacy Shield-avtalet som grund att överföra personuppgifter till USA. Det innebär att personuppgiftsansvariga än mer medvetet behöver arbeta med sina dataskyddsfrågor.

Den europeiska dataskyddslagstiftningen och den amerikanska lagstiftningen har grundläggande inkompatibiliteter gällande integritetsområdet. Alexandra Ståhl som är biträdande jurist vid Engström & Hellman Advokatbyrå AB förklarar att anledningen till att Privacy Shield ogiltigförklarades som grund för dataöverföring är att det inte bedöms ge ett tillräckligt skydd av personuppgifter.

– USA:s lagstiftning ger inte ett tillräckligt skydd av personuppgifter i förhållande till europeisk rätt. I USA har staten bland annat rätt att utan att ange skäl begära ut personuppgifter från företag och organisationer. Det inskränker EU-medborgarnas GDPR-rätt. När en personuppgiftsansvarig i EU överför uppgifter till ett tredjeland åligger det därmed denna att säkerställa att samma skydd ges där som vi har inom EU.

Användandet av digitala system och tjänster i skolorna har ökat markant de senaste åren. Och användandet kommer att fortsätta öka. Vi lever i en alltmer digitaliserad värld.

– Den digitala utvecklingen kommer att fortsätta. Vi måste därmed skapa strukturer och rutiner som säkerställer att vi följer gällande lagstiftning. Lagstiftningen finns för att skydda oss. Barns personuppgifter är dessutom extra skyddsvärda.

Vänta inte med att agera

Alexandra förklarar att många personuppgiftsansvariga inte riktigt har landat i det digitala landskap vi numera har att förhålla oss till. Hon stöter ofta på strategin “vi gör inget nu, vi inväntar nya rättsutlåtanden där de sannolikt lättar upp lagstiftningen”.

– Den “strategin” kan jag inte rekommendera. Dels agerar man i strid med dataskyddsförordningen, dels öppnar man upp för att bli tilldömd rejäla viten. Men det kanske mest allvarliga är att man faktiskt agerar orätt mot de vars personuppgifter man hanterar. Och det finns inget som tyder på att det kommer någon förändring som “lättar upp” lagstiftningen. Sannolikt blir lagstiftningen tvärtom strängare.

En ytterligare frågeställning Alexandra har ställts inför är skolhuvudmän som har leverantörer som använder amerikanska molnleverantörer, men som säger sig lagra all data inom EU. Kan man då lugnt luta sig tillbaka?

– Det är ett misstag att tänkta att “vi har alla servrar i EU så det är ingen fara”. Det finns fortfarande en risk att molnleverantörer träffas av amerikansk lagstiftning och kan därmed åläggas att lämna ut personuppgifter till amerikanska myndigheter, vilket innebär att personuppgifter då överförs till USA. Många leverantörer ger även amerikanska medarbetare tillgång till personuppgifter som lagras inom EU och även tillgång är viss typ av överföring. Det åligger dig som personuppgiftsansvarig att säkerställa hur det ligger till, vidta lämpliga åtgärder och att säkerställa att otillåten tredjelandsöverföring inte sker. Du kan aldrig ta företagets ord som garanti. Läs igenom avtal och säkerställ läget. Det behövs fördjupande analyser av om leverantörerna har gett tillräckliga garantier om att vidta sådana lämpliga åtgärder som krävs för att säkerställa att de uppfyller kraven i dataskyddsförordningen och att de registrerades rättigheter skyddas.

Säkerställ ett fullgott skydd av personuppgifter

Alexandra rekommenderar att skolhuvudmän och personuppgiftsansvariga skapar en strategi och gör en total genomkörning av alla sina system där det gås igenom vad som gäller för varje nuvarande leverantör. Vidare är det lämpligt att skapa en rutin för hur varje ny leverantör ska hanteras.

– Tydliga rutiner som anger vad skolhuvudmannen ska tänka på vid tecknande av nytt avtal avseende digitala tjänster bör upprättas. När en leverantör är lämplig eller möjlig att använda är nästan omöjligt att ge ett enkelt, allmängiltigt svar på. Det handlar om den sammantagna bilden. Vad ska den digitala tjänsten användas till? Vilka personuppgifter kommer att behandlas? Är det särskilt känsliga uppgifter?

Beroende på hur situationen med en leverantör ser ut finns det vissa skyddsåtgärder som kan vidtas för att kunna anlita en leverantör.

– Pseudonymisering är ett exempel på en mycket bra kompletterande skyddsåtgärd att använda sig av, tillsammans med andra skyddsåtgärder, såsom åtkomstbegränsningar.

Lägg ner tid och tanke – det är mödan värt

Alexandra återkommer till att ett bra grundarbete är mödan värt. Då kan man vila i att man har säkerställt de digitala verktyg som används och att man kan luta sig mot en tydlig rutin vid införskaffande av nya verktyg. Då blir arbetet betydligt enklare.

– Det kan vara värt att ta hjälp av en jurist i det första initiala arbetet och i upprättandet av tydliga rutiner. Underskatta inte att lägga tid på ett sådant här arbete. Vi lever i en digital tid. GDPR är en relativt ny lagstiftning och de domar som kommer ger vägledning i hur vi bör agera. Schrems II är en sådan vägledande dom. Lägger vi tid på att säkerställa rutiner för att skydda personuppgifter kommer det bli bra i slutändan, avslutar Alexandra.

Funktionsnyhet: ett säkrare digitalt lärande med hjälp av pseudonymisering

Pseudonymisering är ett av alternativen i European Data Protection Boards rekommendationer och som hjälper skolhuvudmän att säkerställa att personuppgifter inte överförs till tredje land.

Nu finns funktionen tillgänglig i Skolons plattform. Pseudonymiseringsfunktionen säkerställer att personuppgifter stannar hos Skolon och berörd leverantör får pseudonymiserad data som inte går att härleda tillbaka till elever eller lärare. Det innebär ett ännu säkrare digitalt lärande för skolor och skolhuvudmän.

Vill du veta mer om pseudonymisering och vad funktionen kan möjliggöra för just er skola, kommun eller koncern?
Kontakta oss här, så hjälper vi dig gärna!

Skolons funktioner för att som skolhuvudman leva upp till GDPR rörande digitala verktyg

Med Skolons datavisualiseringsverktyg får du kontrollen – med tydlig översikt över vilken data som finns i vilket verktyg kan skolan på egen hand hantera, exportera, stoppa och radera data.

Med hjälp av funktionsnyheten pseudonymisering, som är ett av alternativen i European Data Protection Boards rekommendationer, säkerställs att personuppgifter inte överförs till tredje land.

Dessutom använder vi på Skolon bara heleuropeiska molntjänstleverantörer. För oss, precis som för er, är datasäkerhet A och O.

Mer information om våra funktioner rörande datasäkerhet och GDPR hittar du här.

Detta är Skolon – vi samlar Sveriges bästa digitala skolverktyg och får dem att fungera i klassrummet

Skolon är en oberoende samlingsplats för digitala skolverktyg och lärresurser, skapad för både lärare och elever. Med Skolon är det enkelt att komma åt och använda sina digitala skolverktyg – säkerheten ökar, administrationen minskar och det blir mer tid för lärandet.

De digitala skolverktygen kommer från både små och stora leverantörer som alla har en sak gemensamt – de skapar digitala skolverktyg som är bra för skolans värld. I biblioteket finns närmare 3400 digitala verktyg och läromedel!

Information

7 min read

Dela detta inlägg?

Prenumerera

Den 16 juli 2020 ogiltigförklarade EU-domstolen det tidigare Privacy Shield-avtalet som grund att överföra personuppgifter till USA. Det innebär att personuppgiftsansvariga än mer medvetet behöver arbeta med sina dataskyddsfrågor.

Den europeiska dataskyddslagstiftningen och den amerikanska lagstiftningen har grundläggande inkompatibiliteter gällande integritetsområdet. Alexandra Ståhl som är biträdande jurist vid Engström & Hellman Advokatbyrå AB förklarar att anledningen till att Privacy Shield ogiltigförklarades som grund för dataöverföring är att det inte bedöms ge ett tillräckligt skydd av personuppgifter.

– USA:s lagstiftning ger inte ett tillräckligt skydd av personuppgifter i förhållande till europeisk rätt. I USA har staten bland annat rätt att utan att ange skäl begära ut personuppgifter från företag och organisationer. Det inskränker EU-medborgarnas GDPR-rätt. När en personuppgiftsansvarig i EU överför uppgifter till ett tredjeland åligger det därmed denna att säkerställa att samma skydd ges där som vi har inom EU.

Användandet av digitala system och tjänster i skolorna har ökat markant de senaste åren. Och användandet kommer att fortsätta öka. Vi lever i en alltmer digitaliserad värld.

– Den digitala utvecklingen kommer att fortsätta. Vi måste därmed skapa strukturer och rutiner som säkerställer att vi följer gällande lagstiftning. Lagstiftningen finns för att skydda oss. Barns personuppgifter är dessutom extra skyddsvärda.

Vänta inte med att agera

Alexandra förklarar att många personuppgiftsansvariga inte riktigt har landat i det digitala landskap vi numera har att förhålla oss till. Hon stöter ofta på strategin “vi gör inget nu, vi inväntar nya rättsutlåtanden där de sannolikt lättar upp lagstiftningen”.

– Den “strategin” kan jag inte rekommendera. Dels agerar man i strid med dataskyddsförordningen, dels öppnar man upp för att bli tilldömd rejäla viten. Men det kanske mest allvarliga är att man faktiskt agerar orätt mot de vars personuppgifter man hanterar. Och det finns inget som tyder på att det kommer någon förändring som “lättar upp” lagstiftningen. Sannolikt blir lagstiftningen tvärtom strängare.

En ytterligare frågeställning Alexandra har ställts inför är skolhuvudmän som har leverantörer som använder amerikanska molnleverantörer, men som säger sig lagra all data inom EU. Kan man då lugnt luta sig tillbaka?

– Det är ett misstag att tänkta att “vi har alla servrar i EU så det är ingen fara”. Det finns fortfarande en risk att molnleverantörer träffas av amerikansk lagstiftning och kan därmed åläggas att lämna ut personuppgifter till amerikanska myndigheter, vilket innebär att personuppgifter då överförs till USA. Många leverantörer ger även amerikanska medarbetare tillgång till personuppgifter som lagras inom EU och även tillgång är viss typ av överföring. Det åligger dig som personuppgiftsansvarig att säkerställa hur det ligger till, vidta lämpliga åtgärder och att säkerställa att otillåten tredjelandsöverföring inte sker. Du kan aldrig ta företagets ord som garanti. Läs igenom avtal och säkerställ läget. Det behövs fördjupande analyser av om leverantörerna har gett tillräckliga garantier om att vidta sådana lämpliga åtgärder som krävs för att säkerställa att de uppfyller kraven i dataskyddsförordningen och att de registrerades rättigheter skyddas.

Säkerställ ett fullgott skydd av personuppgifter

Alexandra rekommenderar att skolhuvudmän och personuppgiftsansvariga skapar en strategi och gör en total genomkörning av alla sina system där det gås igenom vad som gäller för varje nuvarande leverantör. Vidare är det lämpligt att skapa en rutin för hur varje ny leverantör ska hanteras.

– Tydliga rutiner som anger vad skolhuvudmannen ska tänka på vid tecknande av nytt avtal avseende digitala tjänster bör upprättas. När en leverantör är lämplig eller möjlig att använda är nästan omöjligt att ge ett enkelt, allmängiltigt svar på. Det handlar om den sammantagna bilden. Vad ska den digitala tjänsten användas till? Vilka personuppgifter kommer att behandlas? Är det särskilt känsliga uppgifter?

Beroende på hur situationen med en leverantör ser ut finns det vissa skyddsåtgärder som kan vidtas för att kunna anlita en leverantör.

– Pseudonymisering är ett exempel på en mycket bra kompletterande skyddsåtgärd att använda sig av, tillsammans med andra skyddsåtgärder, såsom åtkomstbegränsningar.

Lägg ner tid och tanke – det är mödan värt

Alexandra återkommer till att ett bra grundarbete är mödan värt. Då kan man vila i att man har säkerställt de digitala verktyg som används och att man kan luta sig mot en tydlig rutin vid införskaffande av nya verktyg. Då blir arbetet betydligt enklare.

– Det kan vara värt att ta hjälp av en jurist i det första initiala arbetet och i upprättandet av tydliga rutiner. Underskatta inte att lägga tid på ett sådant här arbete. Vi lever i en digital tid. GDPR är en relativt ny lagstiftning och de domar som kommer ger vägledning i hur vi bör agera. Schrems II är en sådan vägledande dom. Lägger vi tid på att säkerställa rutiner för att skydda personuppgifter kommer det bli bra i slutändan, avslutar Alexandra.

Funktionsnyhet: ett säkrare digitalt lärande med hjälp av pseudonymisering

Pseudonymisering är ett av alternativen i European Data Protection Boards rekommendationer och som hjälper skolhuvudmän att säkerställa att personuppgifter inte överförs till tredje land.

Nu finns funktionen tillgänglig i Skolons plattform. Pseudonymiseringsfunktionen säkerställer att personuppgifter stannar hos Skolon och berörd leverantör får pseudonymiserad data som inte går att härleda tillbaka till elever eller lärare. Det innebär ett ännu säkrare digitalt lärande för skolor och skolhuvudmän.

Vill du veta mer om pseudonymisering och vad funktionen kan möjliggöra för just er skola, kommun eller koncern?
Kontakta oss här, så hjälper vi dig gärna!

Skolons funktioner för att som skolhuvudman leva upp till GDPR rörande digitala verktyg

Med Skolons datavisualiseringsverktyg får du kontrollen – med tydlig översikt över vilken data som finns i vilket verktyg kan skolan på egen hand hantera, exportera, stoppa och radera data.

Med hjälp av funktionsnyheten pseudonymisering, som är ett av alternativen i European Data Protection Boards rekommendationer, säkerställs att personuppgifter inte överförs till tredje land.

Dessutom använder vi på Skolon bara heleuropeiska molntjänstleverantörer. För oss, precis som för er, är datasäkerhet A och O.

Mer information om våra funktioner rörande datasäkerhet och GDPR hittar du här.

Detta är Skolon – vi samlar Sveriges bästa digitala skolverktyg och får dem att fungera i klassrummet

Skolon är en oberoende samlingsplats för digitala skolverktyg och lärresurser, skapad för både lärare och elever. Med Skolon är det enkelt att komma åt och använda sina digitala skolverktyg – säkerheten ökar, administrationen minskar och det blir mer tid för lärandet.

De digitala skolverktygen kommer från både små och stora leverantörer som alla har en sak gemensamt – de skapar digitala skolverktyg som är bra för skolans värld. I biblioteket finns närmare 3400 digitala verktyg och läromedel!

Dela detta inlägg?

Prenumerera

Fler artiklar vi tror du tycker om

Vill du veta mer?

Kom igång med Skolon idag!

Vill du veta mer om hur ni kan arbeta smart digitalt med Skolon på er skola eller prova kostnadsfritt hur plattformen fungerar? Gör som hundratusentals lärare och elever och kom igång med Skolon för att samla alla digitala skolverktyg och läromedel på ett ställe.