Policy, riktlinjer och rutiner

Riktlinjer

För att alla verksamheter inom AcadeMedia ska kunna arbeta likvärdigt och kvalitetssäkrat med dataskydd och personuppgifter finns flera styrdokument. Ett av dem är den koncerngemensamma dataskyddspolicyn. Den styr vårt arbete med dataskydd inom AcadeMedia och är utgångspunkt för de riktlinjer vi tagit fram för hantering av personuppgifter inom respektive skolform.

Riktlinjerna är anpassade efter AcadeMedias verksamhetsområden. Det finns också en riktlinje som ger vägledning för koncernens chefer i rollen som arbetsgivare för sina medarbetare.

Insamlade personuppgifter som inte längre behövs ska gallras, medan vissa insamlade personuppgifter måste arkiveras under kortare eller längre tid innan de kan raderas. För att säkerställa att arkivering och gallring sker korrekt finns en arkiveringsplan.

Policyer och rutiner

Policy för användning av digitala verktyg är en viktig del av koncernens policyramverk. Syftet med den är att hjälpa medarbetare att använda digitala verktyg och medier med gott omdöme och att undvika risker. Den ska läsas av alla medarbetare vid nyanställning, även konsulter som hyrs in ska läsa den innan de börjar arbeta för AcadeMedia.

Informationssäkerhetspolicyn anger hur AcadeMedia ska arbeta för att säkerställa att känslig och verksamhetskritisk information hanteras på ett säkert och genomtänkt sätt. Till den finns ett antal bilagor, bland annat en rutin för digitala efterforskningar och en informationssäkerhetspolicy specifikt för elevhälsans medicinska insats.

Konsekvensbedömning

När vi vill samla in personuppgifter behöver vi säkerställa att vi har laglig grund att behandla personuppgifterna och att det finns ett specifikt syfte till varför behandlingen ska ske. Detta gäller även om vi vill behandla personuppgifter som vi redan samlat in för ett annat ändamål. Vi behöver även säkerställa vilka risker som personuppgiftsbehandlingen innebär. För att säkerställa att vi har tagit hänsyn till och dokumenterat de risker som personuppgiftsbehandlingen innebär ska en förhandsbedömning genomföras. Om dataskyddsombudet bedömer att personuppgifterna som behandlas kan leda till höga risker, ska en konsekvensbedömning genomföras med stöd av dataskyddsombudet. Konsekvensbedömningen är ett krav enligt GDPR och ett sätt att förebygga risker som kan uppkomma genom att personuppgifterna samlas in. Mallar och rutiner finns nedan.