GDPR på Musikterapiuddannelsen

GDPR på Musikterapiuddannelsen

Som studerende på Musikterapiuddannelsen skal du lære at håndtere personfølsomme data korrekt.
Ifølge lovgivningen om GDPR (General Data Protection Regulation) skal alle virksomheder efterleve persondataforordningen samt kunne dokumentere, at personoplysninger behandles efter reglerne. Dette gælder Aalborg Universitet, men selvfølgelig også ALLE institutioner, der varetager sårbare borgeres behov, dvs. alle praktiksteder. Derfor er korrekt håndtering af personfølsomme data en del af din uddannelse som musikterapeut.
GDPR-reglerne betyder bl.a., at der er særlige regler for OM og evt. HVORDAN du må tilgå personfølsomme data fra din egen computer. Læs derfor denne hjemmeside nøje og hold dig løbende opdateret ift. nye eller ændrede regler.
NB. Lige nu er vi i en overgangsfase på Musikterapiuddannelsen, så alle løsninger er ikke på plads for alle semestre endnu. Derfor vil du finde [tekst i firkantede rammer], der indikerer, at vi arbejder på en løsning.
De fire datatyper
På Aalborg Universitet klassificeres data i fire typer:
Niveau 0 – offentlige informationer
Niveau 1 – interne informationer
Niveau 2 – fortrolige informationer
Niveau 3 – følsomme informationer
Denne, og de følgende sider, handler om indsamling og behandling af fortrolige og følsomme data (niveau 2 og 3), men læs her om alle fire typer på følgende side, så du ved, hvornår du skal være særlig opmærksom: https://www.sikkerhed.aau.dk/dataklassifikation
Hvad er fortrolige og følsomme data?
Fortrolige oplysninger (niveau 2) er enhver form for information, der kan henføres til en bestemt person. Det kan være et navn, et CPR-nummer, et privat telefonnummer, et foto/video, en auditiv optagelse af en stemme, men også sociale oplysninger om skilsmisse, adoptionsforhold eller familieforhold.
Personfølsomme data (niveau 3) kan være helbredsoplysninger som fx diagnoser, oplysninger fra lægejournaler eller biologisk materiale, men også etnisk oprindelse, seksuel orientering, samt politisk eller religiøs overbevisning.
Så snart du skal håndtere disse to typer data, kræver det et samtykke (se særskilt side om ’Databehandling og samtykke’).
Du skal være opmærksom på, at der kan være tale om en fortrolig personoplysning, selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger. Alder eller køn kán således være fortrolige oplysninge, for hvis fx alder kobles sammen med en anden oplysning som institution, diagnose, borgerens særlige kendetegn eller forældrenes arbejde, er der risiko for, at man kan identificere en person indirekte. Man siger her, at oplysningerne er 'personhenførbare' eller 'indirekte indentificérbare'.
Oplysninger fra Musikterapiuddannelsens tre praktikperioder (2., 6., 9. sem.), fra Interterapi (8. sem.) samt i projekter, hvor eksterne personer indgår (fx et interview på 4. sem) vil ofte indeholde begge typer data, og derfor er det vigtigt, at du nøje overvejer hvilke informationer, det er nødvendige at videregive og til hvem. En supervisor vil typisk have brug for flere følsomme og fortrolige oplysninger end en vejleder, men også en vejleder kán have brug for udvalgte følsomme og fortrolige oplysninger, for at kunne hjælpe dig med at fokusere projektet. Her kan I dog sammen finde ud af, hvor mange af disse oplysninger, der reelt er brug for at beskrive i projektet/specialet og hvordan du slører dem (se pseudonymisering nedenfor).
Du skal også overveje, hvordan du videregiver evt. fortrolige og/eller følsomme oplysninger. Er du i tvivl om, hvordan du skal inddrage og sløre evt. personhenførbare data i et projekt, kan du starte med at inddrage din vejleder mundtligt i et lukket rum. Hvis oplysningerne skal videregives skriftligt, fx i form af et behandlingsoplæg til supervision, er det afgørende, at du sikrer afsender-computerens sikkerhed, bruger 'Fileshare' og din studentmail og sletter mails efter max en måned (læs mere om dette på de følgende sider).
Forskel mellem anonymisering og pseudonymisering
For at undgå, at en person kan genkendes, skal du sløre identiteten i projekter/specialet. I 2. semesters projektrapporter vil man ofte kunne identificere en person, hvis du både opgiver institutionens navn, observationsmusikterapeutens navn, og særlige kendetegn ved den borger, som du observerer. Derfor skal du sløre nogle af disse oplysninger ved fx at skrive: En borger ”A” i 50’erne, indlagt på et dansk hospice, som modtager musikterapi med musikterapeuten ”B” - både A og B er ændrede navne.
I daglig tale kalder man det for anonymisering, når man på denne måde skjuler navn og institutionens navn, så andre ikke kan regne ud, hvem der er tale om. Juridisk set er der dog tale om pseudonymisering, da DU kender vedkommendes identitet. Derfor er alt, hvad vi herefter beskriver, du skal gøre, for at undgå, at andre kan regne ud, hvem du skriver om, reelt pseudonymisering.
’7 eller flere’ - reglen
Indimellem kan der være flere personer med den samme kombination af personoplysninger, som gør det svært at identificere, hvem der er tale om. Ifølge Datatilsynet skal der som minimum være 7 personer. Eksempel: Hvis der er 7 eller flere yngre kvinder indlagt på hospice, som alle har den samme diagnose og alle har mindre børn, så kan man godt nævne disse fortrolige og følsomme oplysninger, uden at nogen kan regne ud, hvem den pågældende person er. Men diskuter dette nøje med din vejleder eller supervisor!
Mere info på Datatilsynets hjemmeside: https://www.datatilsynet.dk/regler-og-vejledning/grundlaeggende-begreber
Hvad betyder databehandling?
Ifølge databeskyttelsesforordningen omfatter databehandling enhver håndtering af personoplysninger, herunder indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.
Finder blot en af de nævnte former for håndtering af personoplysninger sted, laver du en databehandling, som er omfattet af databeskyttelsesreglerne.
- Du behandler fortrolige og følsomme oplysninger, når du beskriver klienter, deres baggrund og deres terapeutiske proces i en log-bog eller tilsvarende. Dette kræver samtykke.
- Du behandler fortrolige og følsomme oplysninger, når du optager audio/video eller skriver noter fra et terapiforløb - eller fra fx et interview. Dette kræver samtykke.
- Du behandler (som oftest) fortrolige og følsomme oplysninger, når du formidler dit musikterapeutiske arbejde til andre. Dette kræver samtykke.
Se mere på Datatilsynets hjemmeside: https://www.datatilsynet.dk/regler-og-vejledning/grundlaeggende-begreber/hvornaar-behandler-du-personoplysninger
Samtykke
Et samtykke forudsætter, at vedkommende er det man kalder fornuftshabil, dvs. har evnen til at forstå og kan overskue konsekvenserne af sin stillingtagen til medvirken.
Når en person skriver under på en samtykkeerklæring, er det et samtykke til at du som studerende på AAU må indsamle fortrolige og følsomme oplysninger og behandle dem som led i undervisningen på Musikterapiuddannelsen, AAU. (Om mundtlige samtykke, se nedenfor.)
Samtykkeerklæringen skal indeholde formuleringer vedrørende alt dét, som man ønsker at anvende oplysningerne til. Man siger, at samtykket er 'informeret'. Dvs. at underskriver er informeret om, hvilke data der indsamles og hvordan, hvad data skal bruges til, hvem der skal have adgang til dem (vejleder, supervisor, medstuderende, censor til formidlingseksamen eller specialeeksamen etc.), hvor længe de bliver opbevaret og hvornår de bliver slettet igen.
Underskriver har til ret til at trække samtykket tilbage, indtil den studerende har afleveret sit projekt/speciale og/eller har været til eksamen.
Vi har på Musikterapiuddannelsen udformet en række samtykkeerklæringer i samarbejde med AAUs databeskyttelsesrådgiver (DPO), så de lever op til GDPR lovgivningen. Når praktik-samtykker er underskrevet, skal de indsamles af praktikkoordinator og journaliseres i WorkZone. Alle andre samtykker skal opbevares i jeres personlige Fileshare drev [indtil vi får en ordning på plads vedr. Workzone].
Bemærk:
1: [Der skal forelægge en tavshedserklæring for dig og andre personer, der behandler person(følsomme) oplysninger.]
2: Som studerende er det dit ansvar at få slettet alle filer, så snart samtykket til at anvende de fortrolige og følsomme data ophører – typisk ifm. afslutningen af et semester.
3: Hvis der er mulighed for at data er kommet til uvedkommendes kendskab, skal det anmeldes til AAU som en sikkerhedshændelse.
Samtykkeerklæringer
4. og 5. semester
I skal bruge denne samtykkeeklæring, hvis I som led i projektarbejdet skal indsamle fortrolige og/eller følsomme data (tjek definitionen andet sted på GDPR-hjemmesiden). Udfyld selv det, der er markeret med gult, og slet efterfølgende de gule markeringer:
Samtykkeerklæring for dataindsamling til projektarbejde
NB. Erklæringen skal gemmes i jeres Fileshare drev [indtil aftale om WorkZone er på plads]
9. semester:
Samtykkeerklæring ifm praktiksupervision og formidlingseksamen
Information om mulighed for mundtligt samtykke
Skriftlig information, der skal udleveres ved mundtligt samtykke
10. semester:
Du skal bruge denne samtykkeerklæring, hvis du skal skrive om materiale indhentet i løbet af praktikken. Udfyld selv det, der er markeret med gult, og slet efterfølgende de gule markeringer:
Samtykkeerklæring ifm specialet
NB. Erklæringen skal gemmes i dit Fileshare drev [indtil aftale om WorkZone er på plads]
[følgende samtykkeerklæringer er under udarbejdelse]
Generel samtykke- og tavshedserklæring for studerende, der starter på henholdsvis Ba- og KA-uddannelserne
Samtykkeerklæring – 2. sem. praktik (inkl. evt. projekt)
Samtykkeerklæring – 6. sem. praktik (inkl. evt. bachelorprojekt)
Samtykkeerklæring – 8. sem. interterapi
Din computer
Du SKAL som minimum opdatere din computers operativsystem, Windows/macOS/Linux etc. en gang om måneden. Softwareopdateringerne lukker de sikkerhedshuller, som hackere kan udnytte, og som gør din computer sårbar over for malware som virus, orme, ransomware, spyware, trojanske heste etc. Hvis din computer ikke er opdateret, er der en markant større risiko for, at personfølsomme data, inklusive dine egne personlige oplysninger, bliver stjålet, eller at din computer bliver kompromitteret.
Men selvom du opdaterer din computer (og mobilenheder) løbende, er det ikke nok til, at du kan behandle andre menneskers fortrolige og følsomme oplysninger på din computers harddisk eller skrivebord. Filer bliver synkroniseret eller gemt i ’skyen’, uden du tænker over det, og selvom du arbejder offline, vil der kunne opstå sikkerhedsbrud, så snart du går online. På mange offentlige arbejdspladser må ansatte ligeledes ikke behandler personfølsomme data på egen computer pga. GDPR, men må kun arbejde fra deres arbejdscomputere.
I øvrigt, husk at når du sletter filer med GDPR-følsomt indhold, skal du også slette dem fra din computers papirkurv. Du skal også slette fra 'downloads' eller 'overførsler', hvis du har downloadet filer, ligesom mails både skal slettes fra indbakke eller udbakke, og derefter i mailprogrammets papirkurv /'slettet post'.
NB. Selvom du på listen over software og licenser til studerende finder programmer som fx Filesender, Onedrive, TEAMs eller Word; https://www.studerende.aau.dk/praktisk/it/programmer, er de IKKE sikkerhedsgodkendt til niveau 2 og 3, ligesom Microsoft Office 365 ikke sikkerhedsgodkendt til personfølsomme data jf. denne oversigt: https://www.sikkerhed.aau.dk/dataklassifikation
Universitets win11 administrerede computere
Idet du ikke må oprette og arbejde med tekst, audio- eller videofiler med fortrolige eller følsomme oplysninger på din egen computers harddisk eller skrivebord, skal du anvende en af de AAU win11 administrerede computere, som er indkøbt specielt til Musikterapistuderende og står i 461, 463, 465. (Musiks computere i 443 er IKKE godkendte til behandling af personfølsomme data.)
Når du arbejder med fortrolige eller følsomme data, har du pligt til at arbejde for lukkede døre, så andre uden samtykke ikke kan høre eller se, hvad du arbejder med, ligesom du skal lukke filen, inden du holder pause eller fx henter et udprint. Sørg også for at være ved kopimaskinen, når du printer, så der ikke ligger fortrolige eller følsomme oplysninger i kopimaskinens udbakke.
Første gang du logger på en af de sikre AAU-computere, skal du slå OneDrive fra - ellers bliver dine data/dit arbejde synkroniseret til skyen/OneDrive, som ikke er sikkerhedsgodkendt til fortrolige eller følsomme data.
Du skal følge nedenstående vejledning, som også ligger ved hver computer. Bagest i vejledningen er der en guide til genveje på en Windows computer.
Brug dit Fileshare drev (se nedenfor), eller anvend et krypteret USB-stik/ harddisk, hvor koden bliver opbevaret et andet sted end disken (se link til kryptering på siden ’Optagelse, transport og redigering’)
NB. Når du er i 9. semesters praktik, er det muligt, at du kan lave en aftale med dit praktiksted om at bruge deres computer(e) til behandling af fortrolige og/eller følsomme data. Dette kræver dog, at de kan garantere, at deres computere lever op til GDPR-kravene, hvilket danske regionale og større kommunale institutioner typisk gør.
Fileshare
Som studerende kan du få adgang et personligt Fileshare drev, hvor du sikkert kan opbevare fortrolige og følsomme data, som fx noter, log-bøger, audiofiler og videofiler fra praktikker eller interterapi og/eller læreterapifag. Ud over dit eget fileshare drev kan undervisere oprette et fælles fileshare drev, hvor det er muligt at dele tekstfiler som fx behandlingsoplæg til supervision.
Hvis du skal uploade filer med fortrolige eller følsomme data i dit Fileshare drev, skal du gøre det fra de sikre AAU-computere i Musikkens Hus. På din egen computer må du altså kun se/læse/skrive i dine filer i Fileshare – ikke oprette dem. Men selv dette kræver, at du har installeret de seneste sikkerhedsopdateringer på din computer, og at du IKKE downloader filerne til din egen computers harddisk eller skrivebord, men forbliver i dit Fileshare drev.
For at få adgang til dit personlige Fileshare drev, skal du:
- installere dit Fileshare drev ved at følge vejledningen for henholdsvis Windows og Mac-brugere her: https://www.its.aau.dk/vejledninger/fileshares
Du skal bruge følgende sti og erstatte AB12CD med dit eget AAU brugernavn :
Windows-brugere: \\student.aau.dk\Users\AB12CD
Mac-brugere: smb://student-dc01.student.aau.dk/Users/AB12CD - installere VPN (Cisco) for at få adgang til dit Fileshare drev uden for campus ved at følge vejledningen her: https://www.its.aau.dk/vejledninger/vpn#3fbccb7e-be06-4617-a385-03d14cd7c0cf
Har du problemer kan du få hjælp hos IT-Service i Create eller på nettet.
Når du bruger Fileshare, bliver der automatisk lavet backup. Desuden bliver det automatisk logget, hvem der har tilgået et fileshare drev, så det kan kontrolleres.
Så snart samtykket til at anvende de fortrolige og følsomme data ophører, skal du slette disse i dit Fileshare – typisk ifm. afslutningen af et semester.
UCloud
UCloud er en HPC-platform (High-Performance Computering) med en række tilknyttede apps: https://hpc.aau.dk/ucloud/ og https://cloud.sdu.dk/app/sla
Nogle af disse apps er godkendt til, at du kan arbejde med person(følsomme) data:
https://hpc.aau.dk/ucloud/guides/getting-started/before-you-begin/
https://hpc.aau.dk/ucloud/guides/sensitive-data-on-ucloud/
UCloud fungerer som et samarbejde mellem de danske universiteter og kræver en ansøgning, for at du kan få adgang, ligesom underviser skal godkende ansøgningen: DeiC Interactive HPC (UCloud) Project Request Form
Du skal have opdateret din computer med de seneste sikkerhedsopdateringer, inden du må anvende UCloud. Ligesom i Fileshare, må du IKKE downloade filer fra UCloud til din egen computers harddisk eller skrivebord, men UCloud kan tilgås fra din egen computer, så længe du sørger for, at person(følsomme) data er blevet uploaded til UCloud fra en sikker AAU-computer.
Så snart, samtykket til at anvende de person(følsomme) data ophører, skal du slette disse i UCloud – typisk ifm. afslutningen af et semester.
NB. Hvis der er risiko for, at data er kommet til uvedkommendes kendskab, skal det anmeldes til AAU som en sikkerhedshændelse.
Audio- og videooptagelser samt ekstern harddisk
Audio- og videooptagelser skal ske med AAU-udstyr med SD-kort, og må under ingen omstændigheder ske fra din computer, Ipad eller mobil.
Husk at en auditiv optagelse af en stemme i sig selv er en fortrolig personoplysning (se siden med ’Personfølsomme data’).
AV-udstyr lånes fra Medielab i Create: https://www.kommunikation.aau.dk/om/klinikker-og-laboratorier/medialab [pg.a. omstrukturering af instituttet kan der ske ændringer, som vi prøver at følge op på]
Når du skal i praktik på 2., 6. og 9. semester kan du ud over kamera også låne en ekstern harddisk hos Medielab i Create. Den eksterne harddisk skal krypteres inden brug OG renses efter brug inden du afleverer den tilbage til Medielab. Følge denne vejledning, og kontakt IT-support, hvis det ikke lykkes:
- Guide til kryptering af ekstern harddisk på Windowscomputer
- Guide til kryptering af ekstern harddisk på Maccomputer
Overførsel og transport af data
Efter optagelse overføres data til et sikkert sted - se nedenfor - hvorefter data slettes fra SD kortet. Dette bør ske samme dag, som du har optaget. SD kortet må ikke ligge ulåst i kameraet!
Hvis du er i Musikkens Hus kan du overføre data fra dit SD kort til dit Fileshare via en sikker AAU-computer (du må ikke bruge din egen).
Hvis du er i praktik kan du i stedet overføre data fra dit SD kort til den krypterede eksterne harddisk (eller et krypteret USB-stik), hvorefter filen slettes fra SD-kortet. Du kan bruge din egen computer til overførslen, hvis du IKKE gemmer filerne på din harddisk eller skrivebord, men overfører dem direkte til den eksterne harddisk. Herefter kan du overføre filerne til Fileshare, når du er tilbage i Musikkens Hus og kan komme til at bruge en sikker AAU-computer.
Husk, at hvis der er mulighed for at data er kommet til uvedkommendes kendskab, skal det anmeldes til AAU som en sikkerhedshændelse.
Redigering og analyse af data
Du skal bruge en sikker AAU-computer, når du uploader en fil til UCloud. I UCloud er der fx et annoteringsværktøj (app) til video- og billeder, CVAT, som til en vis grad kan anvendes https://docs.cloud.sdu.dk/Apps/cvat.html [Vi arbejder pt. på, om ELAN evt. kan godkendes og lægges på UCloud-platformen].
Når en audio- eller videofik er uploadet til CVAT fra en sikker AAU-computer, kan den efterfølgende annoteres via CVATs browser interface fra en studerendes computer. [mere info følger]
Mails
Du skal anvende din AAU-webmail / studentmail med VPN-multifaktorgenkendelse, hvis du skal sende eller modtage mails med personfølsomme oplysninger. Mails sendt på denne måde er sikre i 30 dage (jf. https://www.sikkerhed.aau.dk/dataklassifikation ), hvorefter du enten skal flytte indholdet til dit Fileshare drev eller slette det. Husk både at slette mailen fra indbakke eller udbakke, og derefter tømme mailprogrammets papirkurv /'slettet post'.
Onlinemøde med fortroligt indhold
Hvis du og dine medstuderende, vejleder eller supervisor skal holde onlinemøde eller eksamen, hvori der indgår personfølsomme informationer mundtligt eller skriftligt via delt skærm, skal I bruge Zoom, som du skal installere herfra: https://www.its.aau.dk/vejledninger/zoom-workplace
Vær opmærksom på, at du ikke må optage fortrolige møder på Zoom, da de automatisk gemmes på Panopto server, der ikke er sikkerhedsgodkendt.
NB. TEAMS er en del af Microsoft Office 365-pakken, som ikke sikkerhedsgodkendt til personfølsomme data.