Policy för hantering av personuppgifter för verksamheter inom AcadeMedia-koncernen

Transkript

1 Stockholm Policy för hantering av personuppgifter för verksamheter inom AcadeMedia-koncernen Personuppgiftslagen (PuL) innehåller en rad bestämmelser som är viktiga att känna till för verksamheter som använder sig av IT-stöd. Riktlinjerna nedan har till syfte dels att säkerställa att barns/elevers/deltagares och vårdnadshavares integritet respekteras i de system som används genom att tydliggöra hur PuL ska efterlevas, dels att kvalitetssäkra genom att ge all personal en gemensam utgångspunkt för hur systemen ska användas. För att AcadeMedias verksamheter ska ha en juridiskt korrekt och enhetlig hantering av personuppgifter har AcadeMedia beslutat att fastställa bifogade interna riktlinjer. Det är viktigt att känna till att det finns många andra lagar som reglerar användning av IT, ex tryckfrihetsförordningen, offentlighets- och sekretesslagen och lagen om upphovsrätt. Denna policy behandlar endast PuL. Riktlinjerna har tagits fram av AcadeMedias jurist Heidi Westman, projektledare Maja Cassel och Jonas Österlöf IT. Martin Sandgren Operativ chef Academedia AB Mats Påhlson CFO Academedia AB

2 Innehåll 1. PersonuppgiftsLagen (PuL) 2. Viktiga begrepp a. Personuppgifter b. Personuppgiftsbehandling c. Känsliga uppgifter d. Integritetskänsliga uppgifter e. Personuppgiftsansvarig f. Personuppgiftsombud g. Personuppgiftsbiträde h. Samtycke - Att utforma ett samtycke - Återkallande av samtycke i. IT-säkerhet - Säker inloggning för känsliga uppgifter j. Skyddade personuppgifter 3. Specifika regler a. Extern behandling av personuppgifter ex Molntjänster b. Sociala Medier Bloggar, Twitter, Facebook c. Hemsidor d. Elevhälsosystem e. Kameraövervakning 4. Verksamhetens Policy för systemet a. Syfte och främsta användningsområden b. Personalens behörighet c. Fritextfält d. Registrering av frånvaro e. Registrering av integritetskänsliga uppgifter och åtgärdsprogram f. Personer med skyddad identitet g. Information vid registrering h. Gallring i. Personuppgiftsbiträdesavtal Bilaga 1 Bilaga 2 Kameraövervakning Mall: Personuppgiftsbiträdesavtal 2

3 1. Personuppgiftslagen (PuL) Personuppgiftslagen (PuL) har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas (observera att personuppgifter inte är synonymt med känsliga uppgifter). Begreppet "behandlas" är brett, det omfattar insamling, registrering, lagring, bearbetning, spridning, utplåning, med mera. Syftet med denna policy är att den ska användas som stöd i hantering av PuL i elektroniska system samt angränsande frågor. PuL gäller för både manuell och elektronisk hantering av uppgifter så längs som uppgifterna är sökbara. Vilka regler i PuL som gäller beror på om personuppgifterna som publiceras är strukturerade. Om personuppgifterna lagras i en databas eller annan typ av register anses uppgifterna vara strukturerade. Även strukturerad information i vanliga dokument eller på internet kan falla inom ramen, om de är tillräckligt strukturerade och sökbara. Om personuppgifterna återfinns i löpande text, t.ex. i e-post, anses uppgifterna däremot vara ostrukturerade. Observera dock att offentlighets- och sekretesslagen och andra lagar fortfarande kan vara tillämpliga. Känsliga uppgifter ska alltid hanteras med stor försiktighet. 2. Viktiga begrepp a. Personuppgifter All slags information som direkt eller indirekt kan knytas till en person som är i livet. Även bild- och ljuduppgifter om en person räknas som personuppgifter, även om inga namn nämns. Krypterade eller kodade uppgifter är också personuppgifter om någon har en nyckel som kan koppla dem till en person. b. Personuppgiftsbehandling Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. c. Känsliga uppgifter Uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt sådana personuppgifter som rör hälsa eller sexualliv. Huvudregeln är att det är förbjudet att, utan uttryckligt samtycke från den registrerade, behandla känsliga uppgifter. Personnummer är inte en känslig uppgift men bör inte exponeras i onödan. Paragraf 13 i PuL definierar känsliga uppgifter. 3

4 d. Integritetskänsliga uppgifter Med integritetskänsliga uppgifter avses både känsliga uppgifter enligt ovan, men även uppgifter som omfattas av sekretess eller rör den enskildes personliga förhållanden. Till det sistnämnda räknas bl.a. uppgifter om ekonomi och familjeförhållanden, samt relation till vuxna och kamrater. Hit hör även uppgifter som är vanligt förekommande i individuella utvecklingsplaner och kunskapsomdömen, t.ex. uppgifter om ansvarstagande och förhållningssätt till lärande i skolan. e. Personuppgiftsansvarig Den som ensam eller tillsammans med andra bestämmer ändamålen, det vill säga syftet med, och medlen för, behandlingen av personuppgifter. Personuppgiftsansvarig är nästan alltid en juridisk person, ett företag eller en organisation. Beträffande AcadeMedia är respektive juridisk person/bolag personuppgiftsansvarig. f. Personuppgiftsombud En fysisk person som, efter att ha utsetts av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt. Inom AcadeMedia är det verksamhetens controller som är personuppgiftsombud. Ombudet måste anmälas till Datainspektionen med denna blankett: Det rekommenderas att personuppgiftsombudet går Datainspektionens grundkurs för ombud. Kursen ges i Stockholm, flera gånger om året: g. Personuppgiftsbiträde En fysisk- eller juridisk person, utanför den egna personuppgiftsansvariga organisationen, som behandlar personuppgifter för den personuppgiftsansvariges räkning. I praktiken är detta vanligen en systemleverantör, t.ex. SchoolSoft. h. Samtycke I PuL definieras samtycke som varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Behandling av personuppgifter kräver i princip samtycke. Flera undantag finns dock och man bör inte inhämta samtycke för säkerhets skull, utan bara om det faktiskt krävs. Datainspektionen anser att den behandling som normalt sett krävs för att bedriva skolverksamhet kan göras utan samtycke, med hänvisning till PuL 10 d: 4

5 10 Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att [...] d) en arbetsuppgift av allmänt intresse skall kunna utföras Samtycke behövs alltså inte för t.ex. elevregister, frånvarosystem (om ej uppgift om sjukdom), lärplattformar (om ej känsliga uppgifter), digital IUP eller skolhälsovårdsystem (om ej känsliga uppgifter). Skolhälsovårdssystem regleras även i patientdatalagen. Samtycke krävs dock för uppgift om hälsa utanför skolhälsovården, eller annan känslig uppgift enligt 13 i PuL. Vill man t.ex. notera allergier i elevregistret så krävs alltså samtycke för detta. Registrering av uppgifter som inte kan anses tillhöra skolverksamhet i allmänhet, t.ex. uppgifter som är motiverade av en särskild pedagogisk profil (t.ex. bilddokumentation i portfoliopedagogik), kräver också samtycke. Att utforma ett samtycke Ett samtycke behöver inte vara skriftligt. Det måste dock vara en otvetydig viljeyttring. Ett samtycke kan dessutom alltid återkallas. Man måste alltså noga hålla reda på vem som samtyckt till vad och det är därför ändå lämpligt med skriftliga samtycken. Ett samtycke ska vara individuellt, särskilt och frivilligt. Att det är individuellt innebär att man bara kan samtycka till behandling av sina egna uppgifter. För att samtycke ska kunna ges krävs dock att den registrerade förstår innebörden. Datainspektionen menar att elever över 15 år i allmänhet kan lämna samtycke själva. Innan dess kan vårdnadshavaren samtycka i barnets ställe. Gränsen är dock endast en tumregel. Att ett samtycke ska vara särskilt innebär att vad som behandlas och ändamålet med behandlingen måste preciseras. Det är inte godtagbart med generella formuleringar som NN samtycker till registrering i de olika system som används på skolan. Man kan alltså vara tvungen att inhämta flera olika samtycken från samma vårdnadshavare/elev. Flera samtycken kan inhämtas i samma blankett, men måste beskrivas, motiveras och kunna ges samtycke separat, t.ex. med hjälp av kryssrutor. Att ett samtycke ska vara frivilligt innebär att man i praktiken måste ha ett fritt val att avgöra om uppgifterna får behandlas. Man kan t.ex. inte kräva samtycke för att en elev ska kunna antas till en skola. (Den nödvändiga behandlingen bör dock i detta fall kunna göras utan samtycke med hänvisning till 10 d.) Se vidare punkt 4 g om information vid registrering. Återkallande av samtycke Om den registrerade återkallar ett samtycke får ytterligare uppgifter inte behandlas. 5

6 Det är alltså inte möjligt för den registrerade att stoppa behandling av uppgifter som tidigare samlats in med stöd av samtycke. De uppgifter som behandlas måste dock hållas aktuella. Detta innebär att personuppgifter normalt inte kan behandlas någon längre tid efter att ett samtycke återkallats. i. IT-säkerhet Enligt PuL krävs "lämpliga tekniska säkerhetsåtgärder" för att skydda personuppgifter, t.ex. brandväggar, kryptering och anti-virus. PuL kräver också att identiteten säkerställs hos den som loggar in på ett system där personuppgifter hanteras. Den ställer också krav på att den inloggade användaren endast kan komma åt de personuppgifter som användaren behöver för att utföra sina arbetsuppgifter. Man får t.ex. inte låta en lärare komma åt en elevs kunskapsomdömen, om läraren inte arbetar med eleven (betygskatalogen är dock offentlig). Ju känsligare och ju fler uppgifter som hanteras, desto mer omfattande åtgärder krävs. Eftersom det finns många olika sätt att genomföra dessa åtgärder och vad som är lämpligt beror av sammanhanget, så är det viktigt att rådgöra med verksamhetens ITansvarige i ett tidigt skede, vid upphandling av nya system. Säker inloggning för känsliga uppgifter Säker inloggning används för att garantera identiteten hos den som loggar in i ett system. Vanliga metoder för säker inloggning är e-legitimation, engångslösenord via mobil eller skraplott, eller säkerhetsdosor av olika slag. Om känsliga eller integritetskänsliga uppgifter behandlas måste säker inloggning användas. Det är upp till respektive verksamhet att bedöma huruvida deras bruk av olika system motiverar säker inloggning eller ej. Elevhälsosystem innehåller dock per definition alltid känsliga uppgifter och måste därför använda säker inloggning. Se vidare om elevhälsosystem under punkt 3 d. Datainspektionens uppfattning är också att alla former av skriftliga omdömen och utvecklingsplaner riskerar att innehålla integritetskänsliga uppgifter och att de därför bör skyddas med säker inloggning. Koncernen har upphandlat en gemensam lösning för säker inloggning, som kan användas med alla system. Om systemet även omfattar vårdnadshavare och elev måste samma säkerhetskrav ställas i samband med deras inloggning. Kontakta verksamhetens IT-ansvarige om behov föreligger. j. Hantera skyddade personuppgifter Personer med skyddad identitet ska aldrig registreras i system med sin rätta identitet verksamheten måste kontakta verksamhetens IT-ansvarige för att få ett fiktivt 6

7 personnummer om ni väljer att registrera en fiktiv identitet. Personen måste inte registreras i systemet. Kontakta koncernens jurist om du vill veta mera. 3. Specifika Regler a. Extern bearbetning av personuppgifter ex Molntjänster En molntjänst är en tjänst som levereras över internet av extern leverantör exempelvis SchoolSoft och GoogleApps. Den som använder en molntjänst för sin personuppgiftsbehandling är personuppgiftsansvarig för behandlingen även om den utförs av molntjänstleverantören. Det är den personuppgiftsansvarige som ansvarar för att PuL och andra lagar följs. Innan en molntjänst tas i bruk måste den personuppgiftsansvarige bedöma om den personuppgiftsbehandling som man vill låta molntjänstleverantören utföra kommer att vara tillåten enligt PuL och följa verksamhetens PuL-policy. Då vi använder molntjänster så är vi också beroende av molntjänstleverantörens villkor och den personuppgiftsansvarige måste därför kontrollera dessa villkor. Den personuppgiftsansvarige måste bland annat: ta ställning till om det finns risk för att personuppgifter kan komma att behandlas för andra ändamål än de ursprungliga ta ställning till om molntjänstleverantören kan komma att lämna över personuppgifter till ett så kallat tredje land, det vill säga ett land utanför EU/EES, och om den överföringen i så fall har stöd i personuppgiftslagen bedöma vilka säkerhetsåtgärder som måste vidtas för att skydda de personuppgifter som behandlas se till att ett personuppgiftsbiträdesavtal upprättas med molnleverantören samt beakta annan lagstiftning, till exempel sekretesslagstiftning. Beroende på hur verksamheten väljer att utnyttja en tjänst, så kan flera vanliga tjänster bryta mot ovan nämnda krav, t.ex. GoogleApps och Facebook. b. Sociala Medier Bloggar, Twitter, Facebook När en organisation använder sig av sociala medier så är behandlingen av personuppgifterna normalt sett inte strukturerade och då blir färre av PUL-reglerna tillämpliga. För ostrukturerade uppgifter så är publiceringen tillåten så länge uppgifterna inte är kränkande eller bryter mot sekretessbestämmelser. Om man publicerar strukturerade uppgifter inom ramen för social medier så blir dock PUL åter tillämplig med full kraft. 7

8 Ansvaret för behandling av personuppgifter via sociala medier kan delas in i ansvaret för organisationens egna inlägg och publiceringar och ansvaret för inlägg som publiceras av besökare. Några exempel: Facebook och bloggar Verksamheten är ansvarig för personuppgifter som publiceras på dess Facebook-sida och/eller blogg. Ansvaret omfattar både personuppgifter som vi själva publicerar och personuppgifter som publiceras av andra i till exempel en kommentar på sidan. Även den besökare som skrivit en kommentar kan ha ett ansvar för vad den själv skrivit. Twitter Verksamheten ansvarar endast för personuppgifter som verksamheten själv publicerat, inte personuppgifter som andra twittrande lämnar. Det beror på att organisationen inte kan påverka publiceringen av andras twitter-inlägg. Verksamheten får inte publicera kränkande personuppgifter ska hålla uppsikt över besökares kommentarer för att upptäcka kränkande personuppgifter ska ta bort kränkande personuppgifter kan bli skadeståndsskyldig för kränkande personuppgifter. måste informera om syftet med Facebook-sidan, bloggen eller liknande samt för vilka ändamål kommentarsfunktionen är tänkt att användas, vilka typer av kommentarer som inte får förekomma och vad som kan hända om enskilda inte följer anvisningarna. bör uppmana besökare att rapportera kränkande innehåll och ha rutiner för att hantera klagomål. Om det är lämpligt kan verksamheten även hänvisa till exempelvis Facebooks eller bloggverktygets egen klagomålsfunktion. c. Hemsidor Hemsidan får inte innehålla kränkande- eller integritetskänsliga uppgifter. Bilder och löpande text med elevers personuppgifter får publiceras, så länge de är i ostrukturerad form. Datainspektionen rekommenderar dock att skolan/verksamheten ändå frågar eleverna/deltagarna eller deras vårdnadshavare om lov innan man publicerar bilder eller personuppgifter. Om uppgifterna eller bilderna publiceras i en strukturerad form krävs samtycke. 8

9 d. Elevhälsosystem Inom skolhälsovården gäller mycket stränga krav på att bara den som deltar i vården av eleven eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården ska kunna ta del av uppgifter om en patient. Skolan har ansvaret för att det inte finns möjlighet för obehöriga att ta del av uppgifter i skolhälsovårdens elektroniska journalsystem. Exempelvis får det inte vara möjligt för en skolsköterska att ta del av uppgifter om en elev vid en annan skola (även om skolan hör till samma huvudman), om sköterskan inte är inblandad i vården av eleven. Även om ovan är uppfyllt så måste verksamheten alltid använda sig av ett system som är framtaget för att användas just för syftet skolhälsovård. Systemet måste skyddas med säker inloggning. Observera att bruket av elevhälsosystem även regleras i Patientdatalagen. e. Kameraövervakning Det finns två lagar som reglerar användningen av kameraövervakning: lagen om allmän kameraövervakning (LAK) och PuL. Enligt lagen om allmän kameraövervakning krävs det vanligtvis tillstånd från länsstyrelsen för att få sätta upp en kamera som registrerar en plats dit allmänheten har tillträde, t.ex. skolgård. På platser dit allmänheten inte har tillträde, som exempelvis i skolor, gäller PuL. Enligt PuL krävs inget tillstånd, däremot måste lagen följas. Datainspektionen förbjuder inte all kameraövervakning inomhus. För kameraövervakning på kvällar och helger, utanför ordinarie skoltid/öppettid, är det enligt Datainspektionens praxis i normala fall tillåtet att använda kameraövervakning. Upprepad skadegörelse, våldsbrott och stölder är rimliga motiv för att överväga kameraövervakning även dagtid. För att avgöra om det är lagligt eller inte måste skolan/verksamheten göra en samlad bedömning, se bilagd checklista. 4. Verksamhetens Policy för system Nedan ska användas som utgångspunkt för verksamhetens registerpolicy. a. Syfte och främsta användningsområden Verksamheten behöver en policy och riktlinjerna i denna ska ha till syfte dels att säkerställa att de registrerades integritet respekteras i systemet genom att tydliggöra 9

10 hur PuL ska efterlevas, dels att kvalitetssäkra genom att ge all personal en gemensam utgångspunkt för hur systemet ska användas. Beskriv syfte och främsta användningsområde för systemet. Är syftet att öka kvaliteten i uppföljningen, förbättra kontakten mellan hem/skola? För att få detta att ske, hur tänker ni er att använda systemet? Tillgång till information dygnet runt, lättillgängligt, överblickbart? Policyn ska också beskriva de främsta användningsområdena. Generell information såsom nyheter, information om aktiviteter? Scheman? Hämtnings- och lämningstider på fritids och förskola? IUP? Ansökningar till utbildning? b. Personalens behörighet Det är viktigt att informationen i systemet skyddas mot obehörig åtkomst och att användare inte ges tillgång till mer information än vad som är nödvändigt. Kontrollera med er systemleverantör att begränsningar i läs- och skrivmöjligheter kan användas för att se till att bara den som behöver uppgifterna i sitt arbete ges möjlighet att ta del av dem. Tekniska behörigheter i systemet ska alltid stämma överens med den funktion och det uppdrag som den anställda personen har. Behörigheterna för en individ ska beslutas av ledningsgruppen på verksamheten som bär ansvaret för medarbetarnas behörigheter. Personal ska hantera sina inloggningsuppgifter till systemet konfidentiellt och får inte vidarebefordra inloggningsuppgifterna till utomstående eller på annat sätt ge utomstående tillgång till informationen i systemet. c. Fritextfält Det är viktigt att verksamheten är medveten om vilka fritextfält som finns i systemet, samt vilken målgrupp de exponeras för. De främsta fritextfälten bör listas i policyn, vad syftet med dem är och att de inte får användas för att registrera andra uppgifter än vad de är till för. Verksamheten måste tydliggöra att vid användande av fritextfunktioner ska personal utrycka sig professionellt, sakligt, i relation till den specifika frågan, rättvist och i övrigt överensstämmande med Likabehandlingsplanen, god etik, samt gällande lagar och förordningar. Integritetskänsliga uppgifter samt kränkande uttalanden får inte förekomma. De registrerade ska informeras om vikten av att använda funktionerna till deras avsedda bruk. d. Registrering av frånvaro Uppgifter om sjukdom eller hälsotillstånd får inte registreras annat än i system för skolhälsovård. I system för att hantera frånvaro får alltså inte begrepp som sjukfrånvaro förekomma. Istället bör mer allmänna begrepp användas, som anmäld/giltig frånvaro eller oanmäld/ogiltig frånvaro. Det är en stark rekommendation att begränsa närvarorapportering till i systemet fördefinierade begrepp och att inte använda sig av fritextfält för närvarorapportering. e. Registrering av känsliga uppgifter, skolhälsovård och åtgärdsprogram 10

11 Känsliga uppgifter (såsom uppgifter som avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv) får endast registreras i systemet om samtycke inhämtats, om säker inloggning används och åtkomsten är begränsad till de som verkligen behöver ha tillgång för att utföra sitt arbete. Systemet måste dessutom noggrant logga alla förändringar av uppgifter i systemet. I praktiken innebär det att t.ex. skolhälsovård och vissa underlag till åtgärdsprogram endast får registreras i system som är avsedda för detta exempelvis PMO. f. Personer med skyddad identitet Vänligen se 2j ovan. g. Information vid registrering När personuppgifter registreras i ett system (exempelvis vid skolstart, kursstart eller när man ställer sig i kö) så måste de som registreras informeras om hur deras uppgifter hanteras i systemet, samt att de har rätt att begära ut uppgifter och begära rättelse av felaktiga uppgifter. Om uppgifterna som samlas in kräver samtycke, ska detta inhämtas i samband med registreringen, t.ex. genom att den registrerade måste bocka i en kryssruta för att godkänna att uppgifterna registreras. Informationen som ska lämnas ska vara tydlig och begriplig och omfatta: uppgifter om den som är personuppgiftsansvarig, till exempel namn, adress, telefonnummer och i förekommande fall organisationsnummer och e- postadress ändamålen med behandlingen, det vill säga varför personuppgifterna registreras och hur de ska användas med stöd av vilken paragraf i PuL eller annan lagtext som behandlingen är laglig övrig information som den registrerade behöver känna till, som exempelvis: o vilka typer av uppgifter som ska behandlas o till vilka företag eller andra organisationer (eller typer av dessa) som uppgifterna kan komma att lämnas ut o om det är frivilligt för den registrerade att lämna uppgifter att den registrerade har rätt att begära ett registerutdrag för att kunna kontrollera vilken information som finns registrerad om honom eller henne o att den personuppgiftsansvarige är skyldig att på begäran av den registrerade rätta uppgifter som är felaktiga, ofullständiga eller missvisande Informationen lämnas enklast på samma sätt som insamlandet sker, t.ex. i samma blankett eller på samma webbsida. 11

12 h. Gallring Datainspektionen anger att personuppgifter om barn/elever/deltagare/vårdnadshavare i skolor med enskild huvudman bör tas bort senast sex månader efter att den registrerade slutat på skolan. Detta gäller uppgifter som behövs för att administrera till exempel klass- och gruppindelningar, skolskjuts, praktik, skolmåltider, lärares minnesanteckningar eller underlag för utvecklingssamtal med elever/deltagare och deras vårdnadshavare eller kuratorers och psykologers anteckningar i deras verksamhet. Man kan dock åberopa PuL 10 f för att spara uppgifter längre, om särskilda skäl finns. Ett exempel kan vara om en rättsprocess som rör den registrerade och verksamheten pågår, eller kan förväntas inledas. Varje verksamhet måste göra en bedömning avseende vilket material som måste sparas under en längre tid. Materialet bör skrivas ut och bevaras i pärm. 10 Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att f) ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. Det är varje verksamhets ansvar att upprätta rutiner för gallring i de system man använder, t.ex. elevregister och lärplattformar. Det är också viktigt att man meddelar ITsupporten vilka personer som ska gallras, så att gallring kan ske även i centralt administrerade system. När man gör detta ska Verksamhet, Skola/Kontor, Förnamn, Efternamn och fullständigt personnummer anges. Detta gäller även om kontogenereringen sker automatiskt ( synkas ). i. Personuppgiftsbiträdesavtal I avtal med systemleverantörer anges leverantören vara s.k. personuppgiftsbiträde. Det innebär att leverantören får behandla personuppgifter bara i enlighet med instruktioner ifrån verksamheten och att leverantören är skyldig att upprätthålla god IT-säkerhet och följa PuL. Det är viktigt att verksamheten också instruerar leverantören om hur personuppgifterna får behandlas, instruktionen kan exempelvis vara bolagets egen policy. 12

13 För mer information, kontakta gärna Heidi Westman, Jonas Österlöf eller Maja Cassel. 13