GDPR på Musikterapiuddannelsen

GDPR på Musikterapiuddannelsen

Som studerende på Musikterapiuddannelsen skal du lære at håndtere personfølsomme data korrekt.
Ifølge lovgivningen om GDPR (General Data Protection Regulation) skal alle virksomheder efterleve persondataforordningen samt kunne dokumentere, at personoplysninger behandles efter reglerne. Dette gælder Aalborg Universitet, men selvfølgelig også ALLE institutioner, der varetager sårbare borgeres behov, dvs. alle praktiksteder. Derfor er korrekt håndtering af personfølsomme data en del af din uddannelse som musikterapeut.
GDPR-reglerne betyder bl.a., at der er særlige regler for OM og evt. HVORDAN du må tilgå personfølsomme data fra din egen computer. Læs derfor denne hjemmeside nøje og hold dig løbende opdateret ift. nye eller ændrede regler.
NB. Lige nu er vi i en overgangsfase på Musikterapiuddannelsen, så alle løsninger er ikke på plads for alle semestre endnu. Derfor vil du finde [tekst i firkantede rammer], der indikerer, at vi arbejder på en løsning.
De fire datatyper
På Aalborg Universitet klassificeres data i fire typer:
Niveau 0 – offentlige informationer
Niveau 1 – interne informationer
Niveau 2 – fortrolige informationer
Niveau 3 – følsomme informationer
Denne, og de følgende sider, handler om indsamling og behandling af fortrolige og følsomme data (niveau 2 og 3), men læs her om alle fire typer på følgende side, så du ved, hvornår du skal være særlig opmærksom: https://www.sikkerhed.aau.dk/dataklassifikation
Hvad er fortrolige og følsomme data?
Fortrolige oplysninger (niveau 2) er enhver form for information, der kan henføres til en bestemt person. Det kan være et navn, et CPR-nummer, et privat telefonnummer, et foto/video, en auditiv optagelse af en stemme, men også sociale oplysninger om skilsmisse, adoptionsforhold eller familieforhold.
Personfølsomme data (niveau 3) kan være helbredsoplysninger som fx diagnoser, oplysninger fra lægejournaler eller biologisk materiale, men også etnisk oprindelse, seksuel orientering, samt politisk eller religiøs overbevisning.
Så snart du skal håndtere disse to typer data, kræver det et samtykke (se særskilt side om ’Databehandling og samtykke’).
Du skal være opmærksom på, at der kan være tale om en fortrolig personoplysning, selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger. Alder eller køn kán således være fortrolige oplysninge, for hvis fx alder kobles sammen med en anden oplysning som institution, diagnose, borgerens særlige kendetegn eller forældrenes arbejde, er der risiko for, at man kan identificere en person indirekte. Man siger her, at oplysningerne er 'personhenførbare' eller 'indirekte indentificérbare'.
Oplysninger fra Musikterapiuddannelsens tre praktikperioder (2., 6., 9. sem.), fra Interterapi (8. sem.) samt i projekter, hvor eksterne personer indgår (fx et interview på 4. sem) vil ofte indeholde begge typer data, og derfor er det vigtigt, at du nøje overvejer hvilke informationer, det er nødvendige at videregive og til hvem. En supervisor vil typisk have brug for flere følsomme og fortrolige oplysninger end en vejleder, men også en vejleder kán have brug for udvalgte følsomme og fortrolige oplysninger, for at kunne hjælpe dig med at fokusere projektet. Her kan I dog sammen finde ud af, hvor mange af disse oplysninger, der reelt er brug for at beskrive i projektet/specialet og hvordan du slører dem (se pseudonymisering nedenfor).
Du skal også overveje, hvordan du videregiver evt. fortrolige og/eller følsomme oplysninger. Er du i tvivl om, hvordan du skal inddrage og sløre evt. personhenførbare data i et projekt, kan du starte med at inddrage din vejleder mundtligt i et lukket rum. Hvis oplysningerne skal videregives skriftligt, fx i form af et behandlingsoplæg til supervision, er det afgørende, at du sikrer afsender-computerens sikkerhed, bruger 'Fileshare' og din studentmail og sletter mails efter max en måned (læs mere om dette på de følgende sider).
Forskel mellem anonymisering og pseudonymisering
For at undgå, at en person kan genkendes, skal du sløre identiteten i projekter/specialet. I 2. semesters projektrapporter vil man ofte kunne identificere en person, hvis du både opgiver institutionens navn, observationsmusikterapeutens navn, og særlige kendetegn ved den borger, som du observerer. Derfor skal du sløre nogle af disse oplysninger ved fx at skrive: En borger ”A” i 50’erne, indlagt på et dansk hospice, som modtager musikterapi med musikterapeuten ”B” - både A og B er ændrede navne.
I daglig tale kalder man det for anonymisering, når man på denne måde skjuler navn og institutionens navn, så andre ikke kan regne ud, hvem der er tale om. Juridisk set er der dog tale om pseudonymisering, da DU kender vedkommendes identitet. Derfor er alt, hvad vi herefter beskriver, du skal gøre, for at undgå, at andre kan regne ud, hvem du skriver om, reelt pseudonymisering.
’7 eller flere’ - reglen
Indimellem kan der være flere personer med den samme kombination af personoplysninger, som gør det svært at identificere, hvem der er tale om. Ifølge Datatilsynet skal der som minimum være 7 personer. Eksempel: Hvis der er 7 eller flere yngre kvinder indlagt på hospice, som alle har den samme diagnose og alle har mindre børn, så kan man godt nævne disse fortrolige og følsomme oplysninger, uden at nogen kan regne ud, hvem den pågældende person er. Men diskuter dette nøje med din vejleder eller supervisor!
Mere info på Datatilsynets hjemmeside: https://www.datatilsynet.dk/regler-og-vejledning/grundlaeggende-begreber
Hvad betyder databehandling?
Ifølge databeskyttelsesforordningen omfatter databehandling enhver håndtering af personoplysninger, herunder indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.
Finder blot en af de nævnte former for håndtering af personoplysninger sted, laver du en databehandling, som er omfattet af databeskyttelsesreglerne.
- Du behandler fortrolige og følsomme oplysninger, når du beskriver klienter, deres baggrund og deres terapeutiske proces i en log-bog eller tilsvarende. Dette kræver samtykke.
- Du behandler fortrolige ogr følsomme oplysninger, når du optager audio eller video. Dette kræver samtykke.
- Du behandler (som oftest) fortrolige og følsomme oplysninger, når du formidler dit musikterapeutiske arbejde til andre. Dette kræver samtykke.
Se mere på Datatilsynets hjemmeside: https://www.datatilsynet.dk/regler-og-vejledning/grundlaeggende-begreber/hvornaar-behandler-du-personoplysninger
Samtykke
Et samtykke fra en klient (eller værge) forudsætter, at vedkommende er det man kalder fornuftshabil, dvs. har evnen til at forstå og kan overskue konsekvenserne af sin stillingtagen til medvirken.
Når en person skriver under på en samtykkeerklæring, er det et samtykke til at du som studerende på AAU må indsamle fortrolige og følsomme oplysninger og behandle dem som led i undervisningen på Musikterapiuddannelsen, AAU. (Om mundtlige samtykke, se nedenfor.)
Samtykkeerklæringen skal indeholde formuleringer vedrørende alt dét, som man ønsker at anvende oplysningerne til. Man siger, at samtykket er 'informeret'. Dvs. at underskriver er informeret om, hvilke data der indsamles og hvordan, hvad data skal bruges til, hvem der skal have adgang til dem (vejleder, supervisor, medstuderende, censor til formidlingseksamen eller specialeeksamen etc.), hvor længe de bliver opbevaret og hvornår de bliver slettet igen.
Underskriver har til ret til at trække samtykket tilbage, indtil den studerende har afleveret sit projekt/speciale og/eller har været til eksamen.
Vi har på Musikterapiuddannelsen udformet en række samtykkeerklæringer i samarbejde med AAUs databeskyttelsesrådgiver (DPO), så de lever op til GDPR lovgivningen. Når disse er underskrevet, skal de indsamles af praktikkoordinator og journaliseres i WorkZone.
Bemærk:
1: [Der skal også forelægge en tavshedserklæring for dig og andre personer, der behandler person(følsomme) oplysninger.]
2: Som studerende er det dit ansvar at få slettet alle filer, så snart samtykket til at anvende de fortrolige og følsomme data ophører – typisk ifm. afslutningen af et semester.
3: Hvis der er mulighed for at data er kommet til uvedkommendes kendskab, skal det anmeldes til AAU som en sikkerhedshændelse.
Samtykkeerklæringer
9. semester:
Samtykkeerklæring ifm praktiksupervision og formidlingseksamen
Information om mulighed for mundtligt samtykke
Skriftlig information, der skal udleveres ved mundtligt samtykke
10. semester:
Samtykkeerklæring ifm specialet
[følgende samtykkeerklæringer er under udarbejdelse]
Generel samtykke- og tavshedserklæring for studerende, der starter på henholdsvis Ba- og KA-uddannelserne
Samtykkeerklæring – 2. sem. praktik (inkl. evt. projekt)
Samtykkeerklæring – 6. sem. praktik (inkl. evt. bachelorprojekt)
Samtykkeerklæring – 8. sem. interterapi
Samtykke- og tavshedserklæring – div. projektarbejde, dels eksternt, dels internt i gruppen, hvis I laver undersøgelser, hvor I selv indgår
Din computer
Du SKAL som minimum opdatere din computers operativsystem, Windows/macOS/Linux etc. en gang om måneden. Softwareopdateringerne lukker de sikkerhedshuller, som hackere kan udnytte, og som gør din computer sårbar over for malware som virus, orme, ransomware, spyware, trojanske heste etc. Hvis din computer ikke er opdateret, er der en markant større risiko for, at personfølsomme data, inklusive dine egne personlige oplysninger, bliver stjålet, eller at din computer bliver kompromitteret.
Men selvom du opdaterer din computer (og mobilenheder) løbende, er det ikke nok til, at du kan behandle andre menneskers personfølsomme oplysninger på din computers harddisk eller skrivebord. Filer bliver synkroniseret eller gemt i ’skyen’, uden du tænker over det, og selvom du arbejder offline, vil der kunne opstå sikkerhedsbrud, så snart du går online. På mange offentlige arbejdspladser må ansatte ligeledes ikke behandler personfølsomme data på egen computer pga. GDPR, men skal arbejde fra deres arbejdscomputere.
NB. Selvom du på listen over software og licenser til studerende finder programmer som fx Filesender, Onedrive, TEAMs eller Word; https://www.studerende.aau.dk/praktisk/it/programmer, er de IKKE sikkerhedsgodkendt til niveau 2 og 3, ligesom Microsoft Office 365 ikke sikkerhedsgodkendt til personfølsomme data jf. denne oversigt: https://www.sikkerhed.aau.dk/dataklassifikation
Universitets win11 administrerede computere
Idet du ikke må oprette og arbejde med tekst, audio- eller videofiler med fortrolige eller følsomme oplysninger på din egen computers harddisk eller skrivebord, skal du anvende en af de AAU win11 administrerede computere, som er indkøbt specielt til Musikterapistuderende og står i 461, 463, 465. (Musiks computere i 443 er IKKE godkendte til behandling af personfølsomme data.)
Når du arbejder med fortrolige eller følsomme data, har du pligt til at arbejde for lukkede døre, så andre uden samtykke ikke kan høre eller se, hvad du arbejder med, ligesom du skal lukke filen, inden du holder pause eller fx henter et udprint. Sørg også for at være ved kopimaskinen, når du printer, så der ikke ligger fortrolige eller følsomme oplysninger i kopimaskinens udbakke.
Første gang du logger på en af de sikre AAU-computere, skal du slå OneDrive fra - ellers bliver dine data/dit arbejde synkroniseret til skyen/OneDrive, som ikke er sikkerhedsgodkendt til fortrolige eller følsomme data.
Du skal følge denne vejledning, som også ligger ved hver computer. Bagest i vejledningen er der en guide til genveje på en Windows computer.
Brug dit Fileshare drev (se nedenfor), eller anvend et krypteret USB-stik/ harddisk, hvor koden bliver opbevaret et andet sted end disken (se link til kryptering på siden ’Optagelse, transport og redigering’)
NB. Når du er i 9. semesters praktik, er det muligt, at du kan lave en aftale med dit praktiksted om at bruge deres computer(e) til behandling af fortrolige og/eller følsomme data. Dette kræver dog, at de kan garantere, at deres computere lever op til GDPR-kravene, hvilket danske regionale og større kommunale institutioner typisk gør.
Fileshare
Som studerende kan du få adgang et personligt Fileshare drev, hvor du sikkert kan opbevare fortrolige og følsomme data, som fx noter, log-bøger, audiofiler og videofiler fra praktikker eller interterapi og/eller læreterapifag. Ud over dit eget fileshare drev kan undervisere oprette et fælles fileshare drev, hvor det er muligt at dele tekstfiler som fx behandlingsoplæg til supervision.
Hvis du skal uploade filer med fortrolige eller følsomme data i dit Fileshare drev, skal du gøre det fra de sikre AAU-computere i Musikkens Hus. På din egen computer må du altså kun se/læse/skrive i dine filer i Fileshare – ikke oprette dem. Men selv dette kræver, at du har installeret de seneste sikkerhedsopdateringer på din computer, og at du IKKE downloader filerne til din egen computers harddisk eller skrivebord, men forbliver i dit Fileshare drev.
For at få adgang til dit personlige Fileshare drev, skal du:
- finde din Fileshare drev ved at bruge følgende sti og erstatte AB12CD med dit AAU brugernavn
Windows-brugere skal åbne stifinderen, klik på Denne PC og indsæt: \\student.aau.dk\Users\AB12CD
Mac-brugere skal ... : smb://student-dc01.student.aau.dk/Users/AB12CD - installere dit Fileshare drev ved at følge vejledningen for henholdsvis Windows og Mac-brugere her: https://www.its.aau.dk/vejledninger/fileshares
- installere VPN (Cisco) for at få adgang til dit Fileshare drev uden for campus ved at følge vejledningen her: https://www.its.aau.dk/vejledninger/vpn#3fbccb7e-be06-4617-a385-03d14cd7c0cf
Har du problemer kan du få hjælp hos IT-Service i Create eller på nettet.
Når du bruger Fileshare, bliver der automatisk lavet backup. Desuden bliver det automatisk logget, hvem der har tilgået et fileshare drev, så det kan kontrolleres.
Så snart samtykket til at anvende de fortrolige og følsomme data ophører, skal du slette disse i dit Fileshare – typisk ifm. afslutningen af et semester.
UCloud
UCloud er en HPC-platform (High-Performance Computering) med en række tilknyttede apps: https://hpc.aau.dk/ucloud/ og https://cloud.sdu.dk/app/sla
Nogle af disse apps er godkendt til, at du kan arbejde med person(følsomme) data:
https://hpc.aau.dk/ucloud/guides/getting-started/before-you-begin/
https://hpc.aau.dk/ucloud/guides/sensitive-data-on-ucloud/
UCloud fungerer som et samarbejde mellem de danske universiteter og kræver en ansøgning, for at du kan få adgang, ligesom underviser skal godkende ansøgningen: DeiC Interactive HPC (UCloud) Project Request Form
Du skal have opdateret din computer med de seneste sikkerhedsopdateringer, inden du må anvende UCloud. Ligesom i Fileshare, må du IKKE downloade filer fra UCloud til din egen computers harddisk eller skrivebord, men UCloud kan tilgås fra din egen computer, så længe du sørger for, at person(følsomme) data er blevet uploaded til UCloud fra en sikker AAU-computer.
Så snart, samtykket til at anvende de person(følsomme) data ophører, skal du slette disse i UCloud – typisk ifm. afslutningen af et semester.
NB. Hvis der er risiko for, at data er kommet til uvedkommendes kendskab, skal det anmeldes til AAU som en sikkerhedshændelse.
Audio- og videooptagelser
Audio- og videooptagelser skal ske med AAU-udstyr med SD-kort, og må under ingen omstændigheder ske fra din computer, Ipad eller mobil.
Husk at en auditiv optagelse af en stemme i sig selv er en fortrolig personoplysning (se siden med ’Personfølsomme data’).
AV-udstyr lånes fra Medielab i Create: https://www.kommunikation.aau.dk/om/klinikker-og-laboratorier/medialab
Overførsel og transport af data
Efter optagelse overføres data til et sikkert sted - se nedenfor - hvorefter data slettes fra SD kortet. Dette bør ske samme dag, som du har optaget. SD kortet må ikke ligge ulåst i kameraet!
Hvis du er i Musikkens Hus kan du overføre data fra dit SD kort til dit Fileshare via en sikker AAU-computer (du må ikke bruge din egen).
Hvis du fx et i praktik kan du i stedet overføre data fra dit SD kort til et krypteret USB-stik eller en ekstern harddisk, hvorefter filen slettes fra SD-kortet. Du kan bruge din egen computer til overførslen, hvis du IKKe gemmer filerne på harddisk eller skrivebord, men overfører dem direkte til den eksterne harddisk. Herefter kan du overføre filerne til Fileshare, når du er tilbage i Musikkens Hus og kan komme til at bruge en sikker AAU-computer.
Når du skal kryptere et USB-stik eller ekstern harddisk kan du følge denne vejledning eller bede Medielab hjælpe dig: https://danskedaginstitutioner.dk/faq/krypter-og-beskyt-usb-nogle-og-harddisk/
Fra sommeren 2025 kan kommende 9. semester låne eksterne harddiske i Medielab. Få dem til at kryptere og hjælpe jer med koden.
Husk, at hvis der er mulighed for at data er kommet til uvedkommendes kendskab, skal det anmeldes til AAU som en sikkerhedshændelse.
Redigering og analyse af data
Du skal bruge en sikker AAU-computer, når du uploader en fil til UCloud. I UCloud er der fx et annoteringsværktøj (app) til video- og billeder, CVAT, som til en vis grad kan anvendes https://docs.cloud.sdu.dk/Apps/cvat.html [Vi arbejder pt. på, om ELAN evt. kan godkendes og lægges på UCloud-platformen].
Når en audio- eller videofik er uploadet til CVAT fra en sikker AAU-computer, kan den efterfølgende annoteres via CVATs browser interface fra en studerendes computer. [mere info følger]
Mails
Du skal anvende din AAU-webmail / studentmail med VPN-multifaktorgenkendelse, hvis du skal sende eller modtage mails med personfølsomme oplysninger. Mails sendt på denne måde er sikre i 30 dage (jf. https://www.sikkerhed.aau.dk/dataklassifikation ), hvorefter du enten skal flytte indholdet til dit Fileshare drev eller slette det. Husk både at slette mailen og derefter tømme mailprogrammets papirkurv.
Onlinemøde med fortroligt indhold
Hvis du og dine medstuderende, vejleder eller supervisor skal holde onlinemøde eller eksamen, hvori der indgår personfølsomme informationer mundtligt eller skriftligt via delt skærm, skal I bruge Zoom, som du skal installere herfra: https://www.its.aau.dk/vejledninger/zoom-workplace
Vær opmærksom på, at du ikke må optage fortrolige møder på Zoom, da de automatisk gemmes på Panopto server, der ikke er sikkerhedsgodkendt.
NB. TEAMS er en del af Microsoft Office 365-pakken, som ikke sikkerhedsgodkendt til personfølsomme data.