1. juni 2018 - mail til alle ledere og nøglemedarbejdere

Kære alle

Tak for jeres indsats frem mod d. 25. maj, hvor persondataforordningen trådte i kraft.

Vi er nået rigtig langt, men vi har også et stykke vej foran os endnu. Vi har i projektgruppen en stor opgave i fortsat at udvikle de rigtige værktøjer og processer tilpasset AAU, og til implementeringen af disse har vi enormt stort behov for jeres fortsatte hjælp til at kommunikere budskaberne videre ud til jeres medarbejdere.

Mere information på vej - på både dansk og engelsk

I har det sidste stykke tid modtaget rigtig mange informationer, og jeg kan forstå, hvis ”informations-boomet” kan føles overvældende. Alle de emner, jeg har sendt til jer i disse GDPR-nyhedsmails vil også blive kategoriseret og lagt på hjemmesiden i en FAQ på både dansk og engelsk. På den måde bliver informationen tilgængelig for alle medarbejdere på AAU, men som ledere og nøglemedarbejdere har I en meget vigtig ambassadør-rolle, der består i at sende signal ud i jeres egen enhed om, at det her er rigtig vigtigt, og hjælpe jeres medarbejdere på vej til at finde yderligere information, der sætter dem i stand til at håndtere personoplysninger på rette vis.

I har alle fået tilsendt en tryksag på dansk, som vi håber, I har fordelt blandt jeres medarbejdere. En udgave på engelsk er lige nu i trykken. I er meget velkomne til at bestille flere på både dansk og engelsk, send en mail med leveringsadresse og antal til mfw@its.aau.dk. Samtidig gælder, at hvis I har modtaget flere tryksager, end I skal bruge, så må I gerne returnere dem til projektets kommunikationsmedarbejder Marianne.

Registrerede skal henvises til AAU’s Privacy Policy

Der er udarbejdet en Privacy Policy, som dækker den generelle oplysningspligt, AAU har.
I nogle tilfælde skal der laves noget særligt for at opfylde oplysningspligten. GDPR-projektgruppen er i gang med at udarbejde skabeloner til dette, men har I spørgsmål eller behov for vejledning allerede nu, kan i kontakte Teia på dpo@aau.dk.

Samtykke

Når AAU foretager behandling af personoplysninger, skal dette ske i overensstemmelse med behandlingsreglerne i databeskyttelsesforordningen. Samtykke er en af flere mulige lovhjemler, der kan anvendes som retligt grundlag for en lovlig behandling af personoplysninger. Hjemmesiden er nu opdateret med yderligere information samt skabelon til samtykke.

Indsigtsret

Fra og med i fredags har den registrerede også muligheden for at søge indsigtsret, og vi har allerede modtaget den første anmodning. Vi vil gerne opfordre til, at ansatte ikke søger indsigt, blot fordi man nu kan, da det lægger et unødvendigt pres på alle de kolleger, som ”bag linjerne” i forvejen løber stærkt for at implementere en ny procedure og udvikle de nødvendige redskaber og arbejdsgange hertil. Overvej gerne en ekstra gang, om det er nødvendigt at søge indsigt - og om det evt. kan vente, til organisationen er mere moden til opgaven end lige nu.

Databehandleraftaler

Vi får lige nu også en del spørgsmål til databehandleraftaler, som går på, hvem disse skal indgås med. Her gælder det, at der skal indgås databehandleraftale med alle eksterne parter, der behandler personoplysninger for AAU. Dette gælder også, hvis de ”blot” har adgang til dem. Læs mere om databehandleraftale inden for administration her og databehandleraftale inden for forskning her

”Slettepolitik”/opbevaringspolitik

Mange af jer spørger, om der kommer en officiel ”slettepolitik” med retningslinjer for, hvilke data der skal slettes og hvornår. Det gør der ikke. Det skyldes, at vores behandling af personoplysninger også er underlagt andre lovgivninger, som gør sig gældende i relation til den behandling, vi foretager, som vil være forskellig fra sag til sag. I mange tilfælde er vi fx underlagt anden lovgivning der stiller krav om, at vi netop skal opbevare persondataene i længere tid. Vi arbejder lige nu på en model for at indkredse AAU i en række områder, som der kan gives meningsfulde og korrekte beskrivelser for i relation til, hvordan data her skal hhv. bevares og/eller slettes. I øjeblikket er det vigtigt, at I ikke hovedkulds om end i bedste mening går i gang med at slette en masse. Vi vil vende tilbage til jer, når vi har nyt på området.

Eksterne censorer

I disse eksamenstider kommer der mange spørgsmål til, hvad man må vedr. de eksterne censorer. Man må gerne sende eksamenslister ud til den enkelte censor vedr. hans/hendes eksamener, tidspunkt, lokale, underviser mm. Man må dog ikke sende en samlet liste ud til alle censorerne, hvor de kan se hinandens studerende mm. Hvis der ligger en liste offentlig med oversigt over de censorer, man bruger, så skal der indhentes samtykke fra den enkelte til at udstille disse oplysninger.

Sikker mail til udlandet

Vedhæftet er et forslag til vejledning, som forklarer baggrunden for samt krav til at etablere en sikker mailforbindelse mellem en sikker mail på AAU og en kontakt i udlandet, som I kan sende til vedkommende i udlandet. Vi kan desværre ikke hjælpe med nærmere information vedr. anskaffelse og installation af certifikat, da det vil være meget forskelligt fra land til land.

E-learningskurset

Mere end 3100 ansatte har allerede gennemført kurset, og jeg sendte i mandags jer hver især en oversigt over gennemførte medarbejdere i netop jeres enhed. Kan I se, at I endnu har medarbejdere, der ikke har gennemført, så hjælp dem endelig på vej med en kraftig opfordring. I kan sagtens have nogle, der er tilknyttet jeres enhed, som ikke er ansat - men har de et AAU-login, kan de tilgå kurset, og I må meget gerne opfordre dem til også at gennemføre. Der kommer en ny status i næste uge.

GAP-analyser - vi kommer til jer

Arbejdet med fortegnelser er fortsat i gang, og som nævnt på kick-off-mødet i starten af maj, vil Dorthe og Nana sende jer invitationer til møder, hvor de gerne vil komme forbi og hjælpe jer. Dorthe og Nana kan ikke løse opgaven for jer, men er der for at hjælpe jer med at gøre opgaven mindre.

Som altid er I velkomne til at vende tilbage til mig, hvis I har spørgsmål til projektet. Nu hvor vores databeskyttelsesrådgiver er trådt ind i sin rolle, må I meget gerne sende henvendelser omkring rettigheder og behandling af personoplysninger til Teia på dpo@aau.dk.

-----------------------------

Dear all,

Thank you for your efforts towards the implementation of the General Data Protection Regulation which came into effect on 25 May.

We have come a very long way but we still have work to do. One of the major tasks of the project group is now to develop tools and processes adapted to AAU, and in the implementation of these tools and processes, we will need your help in communicating this to your staff members and colleagues.

More information is on the way - in both Danish and English

For a while now, you have received a great deal of information on this topic, and I understand if this ‘information boom’ may seem overwhelming. The topics of these GDPR newsletters will be categorised and made available in an FAQ published on the AAU website in both Danish and English. This way, we make the information available to all AAU staff members. However, in your roles as managers and key staff members we need you to act as ‘GDPR ambassadors’; this involves sending a clear signal to your department or unit that the GDPR is a highly important issue, and it also involves assisting your staff members and colleagues in finding the information that will help them handle personal data in accordance with the new regulation.

We have sent you a leaflet in Danish, and we hope that you have distributed this leaflet among your staff members and colleagues. We are currently printing an English version of this leaflet. You are very welcome to order more leaflets in both Danish and English by sending an email to mfw@its.aau.dk, remember to specify where you’d like us to deliver the leaflets. Also, if you have received more leaflets than you actually need, please return any extra leaflets to our GDPR communications officer Marianne.

Data subjects must be referred to AAU’s Privacy Policy

We have prepared a Privacy Policy (in Danish) covering AAU’s general duty of disclosure.
In some cases, we may need to make special preparations in complying with our duty of disclosure. The GDPR project group is currently preparing templates, but if you have any questions or need guidance on this, please don’t hesitate to contact Teia at dpo@aau.dk.

Consent

AAU must always process personal data in accordance with the GDPR. Consent is one of the lawful bases required in order to process personal data. We have now updated the website with more information on consent and we have made a consent form template available (in Danish).

The right of access

As of last Friday, data subjects have the right to obtain access to their personal data, and we have already received our first request. We would like to urge all staff members to refrain from requesting right of access to their personal data merely because they now have the opportunity to do so. We urge staff members not to do so because this would put their colleagues through unnecessary pressure at a time when they are already busy implementing a new procedure and developing new tools and workflows. Therefore, if you wish to obtain access to your personal data, please consider whether you need to do so now or whether it can wait until the organisation has grown more accustomed to this new situation.

Data processing agreements

Right now we receive many questions on data processing agreements and on who we need to enter into data processing agreements with. As a general rule, we must sign data processing agreements with all external parties that process personal data on behalf of AAU. This also applies when the external parties ‘merely’ have access to personal data.

You’ll find more information on data processing agreements for administrative purposes here (in Danish) and data processing agreement for research here

Data deletion and storage policies

Many of you have requested that we prepare an official data deletion policy and provide guidelines on which data to delete and when to do so. However, since the way we process personal data is also subject to other regulations and since these may differ from case to case, we will not prepare such a policy. In many cases, we need to comply with other legislation which may require us to store personal data for longer periods. We are currently preparing a model for AAU which will provide meaningful and correct descriptions on how to store and/or delete data within a number of specific areas. For now, it’s essential that you don’t just start deleting a bunch of data though you may be doing so with the best of intentions. We’ll get back to you on this when we have more information.

External co-examiners

Because of the ongoing and upcoming examinations, we have received many questions on the dos and don’ts in relation to external co-examiners.

You may send lists of candidates for examinations to co-examiners when these refer to their examinations and include information such as time and date, location, lecturer etc. However, you may not send lists of student names to co-examiners if these include the names of students being examined by other co-examiners. If you need to publish a list of your co-examiners, you must obtain consent from each co-examiner beforehand.

Encrypted email connection abroad

Attached you will find a proposal for a text explaining the reason and requirements for establishing an encrypted email connection to a person abroad. We are unfortunately not able to help with further instructions regarding how to obtain and install the certificate, as this is very different from one country to another.

E-learning course

More than 3,100 staff members have already completed the online AAU GDPR course, and Monday, I sent you a list of the staff members in your unit who have completed the course. If some of your staff members or colleagues have not yet completed the GDPR course, please encourage them to do so as soon as possible. Those affiliated with your department or unit who are not AAU staff members but who have an AAU account may access the course, and you’re welcome to encourage them to complete the course as well. You will receive an updated list next week.

GAP analyses - we’ll approach you

We are still preparing records of processing activities, and as we mentioned at the kick-off meeting in the beginning of May, Dorthe and Nana will send out invitations for meetings during which they may assist you. Dorthe and Nana will not be able to solve the task for you, but they will be able to help you in making the task easier.

As always, you’re welcome to contact me if you have any questions about the project. AAU now has a data protection officer, and you’re welcome to send enquiries relating to rights and the processing of personal data to Teia at dpo@aau.dk.

 

Med venlig hilsen

Sabine

GDPR-projektgruppen

 

Sabine Jensen Jåtog                                                                             

 

GDPR-projektgruppen

Se mere om databeskyttelse på AAU: www.persondata.aau.dk

Email: sjj@its.aau.dk |  Web: www.its.aau.dk |

Telefon: (+45) 9940 7396 | Mobil (+45) 2533 4831 |

Aalborg Universitet | Niels Jernes Vej 12 | Aalborg Øst