GDPR på Musikterapiuddannelsen

GDPR på Musikterapiuddannelsen

Som studerende på Musikterapiuddannelsen skal du lære at håndtere personfølsomme data korrekt.
Ifølge lovgivningen om GDPR (General Data Protection Regulation) skal alle virksomheder efterleve persondataforordningen samt kunne dokumentere, at personoplysninger behandles efter reglerne. Dette gælder Aalborg Universitet, men selvfølgelig også ALLE institutioner, der varetager sårbare borgeres behov, dvs. alle praktiksteder. Derfor er korrekt håndtering af personfølsomme data en del af din uddannelse som musikterapeut.
GDPR-reglerne betyder bl.a., at der er særlige regler for OM og evt. HVORDAN du må tilgå personfølsomme data fra din egen computer. Læs derfor denne hjemmeside nøje og hold dig løbende opdateret ift. nye eller ændrede regler.
NB. Lige nu er vi i en overgangsfase på Musikterapiuddannelsen, så alle løsninger er ikke på plads for alle semestre endnu. Derfor vil du finde [tekst i firkantede rammer], der indikerer, at vi arbejder på en løsning.
De fire datatyper
På Aalborg Universitet klassificeres data i fire typer:
Niveau 0 – offentlige informationer
Niveau 1 – interne informationer
Niveau 2 – fortrolige informationer
Niveau 3 – følsomme informationer
Denne, og de følgende sider, handler om indsamling og behandling af fortrolige og følsomme data (niveau 2 og 3), men læs her om alle fire typer på følgende side, så du ved, hvornår du skal være særlig opmærksom: https://www.sikkerhed.aau.dk/dataklassifikation
Hvad er personoplysninger og følsomme data?
En personoplysning (niveau 2) er enhver form for information, der kan henføres til en bestemt person. Det kan være et navn, et CPR-nummer, et privat telefonnummer, et foto/video, en auditiv optagelse af en stemme, men også sociale oplysninger om skilsmisse, adoptionsforhold eller familieforhold.
Personfølsomme data (niveau 3) kan være helbredsoplysninger som fx diagnoser, oplysninger fra lægejournaler eller biologisk materiale, men også etnisk oprindelse, seksuel orientering, samt politisk eller religiøs overbevisning.
Så snart du skal håndtere disse to typer data, kræver det et samtykke (se særskilt side om ’Databehandling og samtykke’).
Du skal være opmærksom på, at der kan være tale om personoplysninger, selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger. Alder eller køn kan således være personoplysninger, for hvis fx alder kobles sammen med en anden oplysning som institution, diagnose, borgerens særlige kendetegn eller forældrenes arbejde, kan man i nogle tilfælde indirekte identificere en person. Man siger her, at oplysningerne er 'personhenførbare' eller 'indirekte indentificérbare'.
Oplysninger fra Musikterapiuddannelsens tre praktikperioder (2., 6., 9. sem.), fra Interterapi (8. sem.) samt i projekter, hvor eksterne personer indgår (fx et interview på 4. sem) vil ofte indeholde begge typer data, og derfor er det vigtigt, at du nøje overvejer hvilke informationer, det er nødvendige at videregive og til hvem. En supervisor vil typisk have brug for flere personfølsomme oplysninger end en vejleder, men også en vejleder kán have brug for udvalgte person(følsomme) oplysninger, for at kunne hjælpe dig med at fokusere projektet. Her kan I dog sammen finde ud af, hvor mange af disse oplysninger, der reelt er brug for at beskrive i projektet/specialet og hvordan du slører dem (se pseudonymisering nedenfor).
Du skal også overveje, hvordan du videregiver evt. person(følsomme) oplysninger. Er du i tvivl om, hvordan du skal inddrage og sløre evt. person(følsomme) data i et projekt, kan du starte med at inddrage din vejleder mundtligt i et lukket rum. Hvis oplysningerne skal videregives skriftligt, fx i form af et behandlingsoplæg til supervision, er det afgørende, at du sikrer afsender-computerens sikkerhed, bruger 'Fileshare' og din studentmail og sletter mails efter max en måned (læs mere om dette på de følgende sider).
Forskel mellem anonymisering og pseudonymisering
For at undgå, at en person kan genkendes, skal du sløre identiteten i projekter/specialet. I 2. semesters projektrapporter vil man ofte kunne identificere en person, hvis du både opgiver institutionens navn, observationsmusikterapeutens navn, og særlige kendetegn ved den borger, som du observerer. Derfor skal du sløre nogle af disse oplysninger ved fx at skrive: En borger ”A” i 50’erne, indlagt på et dansk hospice, som modtager musikterapi med musikterapeuten ”B” - både A og B er ændrede navne.
I daglig tale kalder man det for anonymisering, når man på denne måde skjuler navn og institutionens navn, så andre ikke kan regne ud, hvem der er tale om. Juridisk set er der dog tale om pseudonymisering, da DU kender vedkommendes identitet. Derfor er alt, hvad vi herefter beskriver, du skal gøre, for at undgå, at andre kan regne ud, hvem du skriver om, reelt pseudonymisering.
’7 eller flere’ - reglen
Indimellem kan der være flere personer med den samme kombination af personoplysninger, som gør det svært at identificere, hvem der er tale om. Ifølge Datatilsynet skal der som minimum være 7 personer. Eksempel: Hvis der er 7 eller flere yngre kvinder indlagt på hospice, som alle har den samme diagnose og alle har mindre børn, så kan man godt nævne disse personhenførbare oplysninger, uden at nogen kan regne ud, hvem den pågældende person er. Så er det ikke indirekte identificerbare oplysninger. Men diskuter dette nøje med din vejleder eller supervisor!
Mere info på Datatilsynets hjemmeside: https://www.datatilsynet.dk/regler-og-vejledning/grundlaeggende-begreber
Hvad betyder ”databehandling”?
Ifølge databeskyttelsesforordningen omfatter databehandling enhver håndtering af personoplysninger, herunder indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.
Finder blot en af de nævnte former for håndtering af personoplysninger sted, laver du en databehandling, som er omfattet af databeskyttelsesreglerne.
Du behandler (som oftest) personoplysninger, når du beskriver klienter, deres baggrund og deres terapeutiske proces i en log-bog eller tilsvarende. Dette kræver samtykke.
Du behandler personoplysninger, når du optager audio eller video. Dette kræver samtykke.
Du behandler (som oftest) personoplysninger, når du formidler sit musikterapeutiske arbejde til andre. Dette kræver samtykke.
Se mere på Datatilsynets hjemmeside: https://www.datatilsynet.dk/regler-og-vejledning/grundlaeggende-begreber/hvornaar-behandler-du-personoplysninger
Samtykke
Et skriftligt samtykke fra en klient (eller værge) forudsætter, at vedkommende er det man kalder fornuftshabil, dvs. har evnen til at forstå og kan overskue konsekvenserne af sin stillingtagen til medvirken.
Når en person skriver under på en samtykkeerklæring, er det et samtykke til at du som studerende på AAU må indsamle personoplysningerne og behandle dem som led i undervisningen på Musikterapiuddannelsen, AAU.
Samtykkeerklæringen skal indeholde formuleringer vedrørende alt dét, som man ønsker at anvende personoplysningerne til. Man siger, at samtykket er 'informeret'. Dvs. at underskriver er informeret om, hvilke data der indsamles og hvordan, hvad data skal bruges til, hvem der skal have adgang til dem (vejleder, supervisor, medstuderende, censor til formidlingseksamen eller specialeeksamen etc.), hvor længe de bliver opbevaret og hvornår de bliver slettet igen.
Underskriver har til ret til at trække samtykket tilbage, indtil den studerende har afleveret sit projekt/speciale og/eller har været til eksamen.
Vi har på Musikterapiuddannelsen udformet en række samtykkeerklæringer i samarbejde med AAUs databeskyttelsesrådgiver (DPO), så de lever op til GDPR lovgivningen. [Når disse er underskrevet, skal de journaliseres i WorkZone af NN.]
Bemærk:
1: Ser skal også forelægge en tavshedserklæring for dig og andre personer, der behandler person(følsomme) oplysninger.
2: Som studerende er det dit ansvar at få slettet alle filer, så snart samtykket til at anvende de person(følsomme) data ophører – typisk ifm. afslutningen af et semester.
3: Hvis der er mulighed for at data er kommet til uvedkommendes kendskab, skal det anmeldes til AAU som en sikkerhedshændelse.
Samtykkeerklæringer
[Forslag; alle skabeloner til samtykkeerklæringer ligger her, dels så de ligger på en site, hvor de studerende bliver mindet om alle sikkerhedshensynene (og ikke alle mulige forskellige steder), dels at det er nemt for AAU-DPOer løbende at tjekke dem.]
Generel samtykkeerklæring for studerende, der starter på uddannelsen
Generel samtykkeerklæring for supervisorer, vejledere, censorer og andre, der kommer i berøring med persondata
Samtykkeerklæring – 2. sem. praktik (inkl. evt. projekt)
Samtykkeerklæring – 6. sem. praktik (inkl. evt. bachelorprojekt)
Samtykkeerklæring – 9. sem. praktik (inkl. evt. formidlingseksamen og specialeskrivning)
Samtykkeerklæring – 8. sem. interterapi
Samtykkeerklæring – div. projektarbejde, dels eksternt, dels internt i gruppen, hvis I laver undersøgelser, hvor I selv indgår
Din computer
Du SKAL som minimum opdatere din computers operativsystem, Windows/macOS/Linux etc. en gang om måneden. Softwareopdateringerne lukker de sikkerhedshuller, som hackere kan udnytte, og som gør din computer sårbar over for malware som virus, orme, ransomware, spyware, trojanske heste etc. Hvis din computer ikke er opdateret, er der en markant større risiko for, at personfølsomme data, inklusive dine egne personlige oplysninger, bliver stjålet, eller at din computer bliver kompromitteret.
Men selvom du opdaterer din computer (og mobilenheder) løbende, er det ikke nok til, at du kan behandle andre menneskers personfølsomme oplysninger på din computers harddisk eller skrivebord. Filer bliver synkroniseret eller gemt i ’skyen’, uden du tænker over det, og selvom du arbejder offline, vil der kunne opstå sikkerhedsbrud, så snart du går online. På mange offentlige arbejdspladser må ansatte ligeledes ikke behandler personfølsomme data på egen computer pga. GDPR, men skal arbejde fra deres arbejdscomputere.
NB. Selvom du på listen over software og licenser til studerende finder programmer som fx Filesender, Onedrive eller Word; https://www.studerende.aau.dk/praktisk/it/programmer, er de IKKE sikkerhedsgodkendt til niveau 2 og 3, ligesom Microsoft Office 365 ikke sikkerhedsgodkendt til personfølsomme data jf. denne oversigt: https://www.sikkerhed.aau.dk/dataklassifikation
Universitets win11 administrerede computere
Idet du ikke må oprette og arbejde med tekst, audio- eller videofiler med person(følsomme) oplysninger på din egen computers harddisk eller skrivebord, skal du anvende en af de AAU win11 administrerede computere, som [vil blive indkøbt specielt til Musikterapistuderende og opstillet i løbet af sommeren]. Når du arbejder med person(følsomme) data, har du pligt til at arbejde for lukkede døre, så andre uden samtykke ikke kan høre eller se, hvad du arbejder med, ligesom du skal lukke filen, inden du holder pause eller fx henter et udprint. Sørg også for at være ved kopimaskinen, når du printer, så der ikke ligger person(følsomme) data i kopimaskinens udbakke.
Når du arbejder på de sikrede uni-computere, skal du bruge dit Fileshare drev eller UCloud (se nedenfor). Dette skyldes, da filer gemt på AAU-computeres ’Skrivebord/Desktop’, ’Dokumenter/Documents’ eller ’Billeder/Pictures’ automatisk bliver synkroniseret til OneDrive, som ikke er sikkerhedsgodkendt til personfølsomme data, jf. https://www.sikkerhed.aau.dk/dataklassifikation
Alternativt skal du anvende et krypteret USB-stik eller harddisk, hvor koden bliver opbevaret et andet sted end disken (se link til kryptering på siden ’Optagelse, transport og redigering’)
NB. Når du er i 9. semesters praktik, er det muligt, at du kan lave en aftale med dit praktiksted om at bruge deres computer(e) til behandling af person(følsomme) data. Dette kræver dog, at de kan garantere, at deres computere lever op til GDPR-kravene, hvilket danske regionale og større kommunale institutioner typisk gør.
Fileshares
Som studerende kan du få adgang et personligt Fileshare drev, hvor du sikkert kan opbevare person(følsomme) data, som fx noter, log-bøger, audiofiler og videofiler fra praktikker eller interterapi og/eller læreterapifag. Ud over dit eget fileshare drev kan undervisere oprette et fælles fileshare drev, hvor det er muligt at dele tekstfiler som fx behandlingsoplæg eller audio-/videofiler.
Hvis du skal uploade filer med person(følsomme) data i dit Fileshare drev, skal du gøre det fra de sikre AAU-computere i Musikkens Hus. På din egen computer må du altså kun se/læse dine filer i Fileshare – ikke oprette dem. Men selv dette kræver, at du har installeret de seneste sikkerhedsopdateringer på din computer, og at du IKKE downloader filerne til din egen computers harddisk eller skrivebord, men forbliver i dit Fileshare drev.
For at få tildelt dit eget Fileshare drev, skal du først læse om Fileshares og reglerne Fileshare her: https://www.its.aau.dk/vejledninger/fileshares#
Dernæst skal du bede om at få oprettet/adgang til et personligt Fileshare drev, hvilket du gør ved at logge på serviceportalen og oprette en sag her; https://serviceportal.aau.dk/serviceportal Du skal også have installeret / være på VPN/Cisco, når du arbejder med fortroligt materiale, Fileshare etc., så gå evt. over til IT-Service i Create for at få hjælp.
Når du bruger Fileshare, bliver der automatisk lavet backup. Desuden bliver det automatisk logget, hvem der har tilgået et fileshare drev, så det kan kontrolleres.
Så snart, samtykket til at anvende de person(følsomme) data ophører, skal du slette disse i Fileshare – typisk ifm. afslutningen af et semester.
UCloud
UCloud er en HPC-platform (High-Performance Computering) med en række tilknyttede apps: https://hpc.aau.dk/ucloud/ og https://cloud.sdu.dk/app/sla
Nogle af disse apps er godkendt til, at du kan arbejde med person(følsomme) data:
https://hpc.aau.dk/ucloud/guides/getting-started/before-you-begin/
https://hpc.aau.dk/ucloud/guides/sensitive-data-on-ucloud/
UCloud fungerer som et samarbejde mellem de danske universiteter og kræver en ansøgning, for at du kan få adgang, ligesom underviser skal godkende ansøgningen: DeiC Interactive HPC (UCloud) Project Request Form
Du skal have opdateret din computer med de seneste sikkerhedsopdateringer, inden du må anvende UCloud. Ligesom i Fileshare, må du IKKE downloade filer fra UCloud til din egen computers harddisk eller skrivebord, men UCloud kan tilgås fra din egen computer, så længe du sørger for, at person(følsomme) data er blevet uploaded til UCloud fra en sikker AAU-computer.
Så snart, samtykket til at anvende de person(følsomme) data ophører, skal du slette disse i UCloud – typisk ifm. afslutningen af et semester.
NB. Hvis der er risiko for, at data er kommet til uvedkommendes kendskab, skal det anmeldes til AAU som en sikkerhedshændelse.
Audio- og videooptagelser
Audio- og videooptagelser skal ske med AAU-udstyr med SD-kort, og må under ingen omstændigheder ske fra din computer, Ipad eller mobil.
Husk at en auditiv optagelse af en stemme i sig selv er en fortrolig personoplysning (se siden med ’Personfølsomme data’).
AV-udstyr lånes fra Medielab i Create: https://www.kommunikation.aau.dk/om/klinikker-og-laboratorier/medialab
Optagelser overføres derefter til en AAU-computer eller et krypteret USB-stik eller ekstern harddisk, hvorefter filen slettes fra SD-kortet.
Transport af data
Hvis du er i praktik og ikke har mulighed for at uploade dagens optagelser og noter til dit Fileshare drev, skal du sørge for at opbevare dem på et krypteret USB-stik eller en ekstern harddisk, når du transporterer data fra praktiksted til dit hjem eller til universitetet. Herefter kan du logge på vpn/Cisco, uploade filerne til Fileshare og derefter slette optagelserne fra det eksterne medie. Du bør som udgangspunkt ikke transportere mere end én dags data ad gangen.
Når du skal kryptere et USB-stik eller ekstern harddisk kan du følge denne vejledning: https://danskedaginstitutioner.dk/faq/krypter-og-beskyt-usb-nogle-og-harddisk/
Husk, at hvis der er mulighed for at data er kommet til uvedkommendes kendskab, skal det anmeldes til AAU som en sikkerhedshændelse.
Redigering og analyse af data
Du skal bruge en godkendt AAU-computer, når du uploader en fil til UCloud. I UCloud er der fx et annoteringsværktøj (app) til video- og billeder, CVAT, som til en vis grad kan anvendes https://docs.cloud.sdu.dk/Apps/cvat.html [Vi arbejder pt. på, om ELAN evt. kan godkendes og lægges på UCloud-platformen].
Når en audio- eller videofik er uploadet til CVAT fra en sikker AAU-computer, kan den efterfølgende annoteres via CVATs browser interface fra en studerendes computer. [mere info følger]
Mails
Du skal anvende din AAU-webmail / studentmail med multifaktorgenkendelse, hvis du skal sende eller modtage mails med personfølsomme oplysninger. Mails sendt på denne måde er sikre i 30 dage (jf. https://www.sikkerhed.aau.dk/dataklassifikation ), hvorefter du enten skal flytte indholdet til dit Fileshare drev eller slette det. Husk både at slette mailen og derefter tømme mailprogrammets papirkurv.
Onlinemøde med fortroligt indhold
Hvis du og dine medstuderende, vejleder eller supervisor skal holde onlinemøde eller eksamen, hvori der indgår personfølsomme informationer mundtligt eller skriftligt via delt skærm, skal I bruge Zoom, som du skal installere herfra: https://www.its.aau.dk/vejledninger/zoom-workplace
Vær opmærksom på, at du ikke må optage fortrolige møder på Zoom, da der pt. kun er vejledninger til at optage skyen (cloud), hvor optagelser automatisk gemmes på Panopto server, der ikke er sikkerhedsgodkendt.
NB. TEAMS er en del af Microsoft Office 365-pakken, som ikke sikkerhedsgodkendt til personfølsomme data.