16. marts 2018 - Information om status på GDPR til ledere

Kære ledere på AAU

GDPR-projektgruppen arbejder i disse måneder på højtryk for at få implementeret databeskyttelsesforordningen på AAU. Med 10 uger til, at den nye lov træder i kraft, er medarbejderne i resten af organisationen også optagede af opgaven, og projektgruppen modtager en del henvendelser med spørgsmål og bekymringer bl.a. ift. sletning af data.

Disse vil projektgruppen gerne besvare og derfor bede Jer informere Jeres medarbejdere om følgende:

Slettepolitik

Sikkerhedsrådgiver Teia Melvej Stennevad (AAU’s kommende Data Protection Officer) vurderer, at slettepolitik er det område, hvor AAU er mest udfordrede ift. databeskyttelse. Det er en omfattende proces at få afklaret hele det retslige grundlag for sletning (herunder særlovgivningen) og udarbejdet en overordnet slettepolitik. Derfor ligger opgaven med at slette de personoplysninger, der skal slettes, først efter 25. maj 2018.

Det er vigtigt, at medarbejderne ikke går i gang med at slette data allerede nu, da AAU også har pligt til at gemme bestemte personoplysninger. Ifølge Teia Melvej Stennevad har AAU behandlingshjemmel til størstedelen af de data, vi behandler. Dette er set i lyset af AAU’s omfattende journaliseringspligt.

Henvendelser om databeskyttelse

GDPR-projektgruppen modtager en del spørgsmål om bl.a. databeskyttelsesforordningens betydning for medarbejdernes arbejdsgange. Projektgruppen har ikke tid til at besvare alle henvendelserne og vil derfor gerne henvise medarbejderne til hjemmesiden www.persondata.aau.dk, som indeholder information om databeskyttelse på AAU og opdateres, hver gang der er nye aktiviteter og oplysninger.

Teia Melvej Stennevad er endnu ikke officiel kontaktperson ift. databeskyttelse på AAU, da hun først tiltræder som Data Protection Officer (DPO) d. 25. maj 2018.

Behandlingsaktiviteter og GAP-analyse

Nøglemedarbejderne på GDPR-projektet har ydet et stort stykke arbejde med beskrivelse af fortegnelser over behandlingsaktiviteterne. Alle indleverede fortegnelser er ved at gennemgå et kvalitetstjek, så de er klar til den efterfølgende GAP-analyse.

Projektgruppen har besluttet at løfte en større del af arbejdet med GAP-analysen, da det giver en tidsmæssig fordel. Derfor udføres det første arbejde med GAP-analyserne centralt, og nøglemedarbejderne vil derefter blive involveret i det afsluttende arbejde. Når vi kommer dertil, vil GDPR-projektgruppen mødes med nøglemedarbejderne og sætte dem ind i, hvad der skal laves.

Tidsplan og information

Vedhæftet er en tidsplan for implementeringen af databeskyttelse på AAU, som også er udsendt til nøglemedarbejderne. Det er ikke muligt at bestemme tidspunkterne for alle kommende aktiviteter angående de tekniske løsninger, da de stadig er under udvikling. Tidsplanen opdateres løbende på www.persondata.aau.dk – også med de opgaver, som først ligger efter 25. maj 2018.

GDPR-projektgruppen vil fremover løbende orientere ledelsen om, hvad der sker på projektet, og når der sker væsentlige ændringer på hjemmesiden.

 

Med venlig hilsen

Rasmus Antoft

Dekan |  Det Samfundsvidenskabelige Fakultet