Utöver de säkerhetsåtgärder som framgår av riktlinjerna gäller följande:

• Studenter ska inte hantera insamlade personuppgifter på externa lagringstjänster som till exempel Dropbox, Google Docs, iCloud och liknande. De får endast använda de verktyg som högskolan erbjuder, till exempel Microsoft Office 365 (till exempel för lagring), Zoom (till exempel för intervjuer) och Sunet Survey (för digitala enkätundersökningar).
  
• Känsliga personuppgifter rekommenderas inte att lagras på någon av Microsofts tjänster, såsom Onedrive eller Teams. Känsliga personuppgifter får endast hanteras i sådana IT-miljöer som högskolan godkänt. Känsliga personuppgifter rekommenderas att lagras på högskolans gemensamma lagringsyta G: eller H:. Eftersom studenter inte har tillgång till G: eller H: saknas det tekniska lösningar för att studenter ska kunna få behandla denna typ av personuppgifter. Som handledare är det viktigt att ta hänsyn till detta i den lämplighetsbedömning som ska göras enligt riktlinjerna.
  
• Pseudonymisering bör som utgångspunkt användas vid behandling av personuppgifter i studentarbeten. Det innebär att det riktiga namnet på personen ersätts något annat, till exempel ”person 1" och "person 2". Kodnyckeln, det vill säga förklaringen till vem som är person 1 eller person 2, ska förvaras avskilt från övriga dokument. Det är extra viktigt att detta har gjorts innan till exempel examensarbetet publiceras. Även namn som har skrivits ut i domar som går att hitta i rättsdatabaser behöver pseudonymiseras/kodas. Det kan göras genom att ersätta namnen med till exempel ”klaganden”, ”svaranden”, ”tilltalad” eller ”målsägande”.
  
• Studenten behöver se till att endast behöriga personer har rätt att behandla och ta del av de personuppgifter som studenten behandlar. Personuppgifterna ska inte visas för eller delas med andra studenter, vänner eller familj.

Om du som handledare har frågor om säkerhetsåtgärder i samband med studentarbeten, kan du kontakta högskolans dataskyddsombud för vägledning via dataskydd@sh.se.

När studentarbetet har fått ett godkänt betyg ska personuppgiftsmaterialet gallras. Det är studenten som ansvarar för att informera handledaren när studenten har gallrat personuppgiftsmaterialet.

Av riktlinjerna framgår att handledaren ska fylla i och skriva under ett gallringsprotokoll när personuppgifterna har gallrats. Enligt högskolans arkivarier behöver handledare numera inte fylla i gallringsprotokoll. Det räcker alltså med att studenterna meddelar handledaren att personuppgifterna har gallrats.

För frågor om gallring, kontakta arkivarie@sh.se.

Undervisning på distans

Den rättsliga grunden för högskolans behandling av studenternas personuppgifter vid undervisning är uppgift av allmänt intresse då det av högskolelagen framgår att högskolan ska bedriva utbildning. Om syftet med behandlingen är undervisning (oavsett om behandlingen sker genom realtidsströmning eller inspelning) och behandlingen utgör en förutsättning för att undervisningen ska kunna genomföras, är behandlingen alltså tillåten.

Att realtidsströmma en föreläsning eller annat undervisningsmoment för dem som annars skulle ha deltagit i en lokal är tillåtet. Likaså är den personuppgiftsbehandling som sker genom att studenterna deltar med ljud och bild i ett sådant realtidsströmmat undervisningsmoment tillåten.

Dock behöver man tänka på följande vid undervisning på distans:

• Fundera över vilka funktioner som verkligen behövs – kamera, mikrofon, chatt. Använd dem inte slentrianmässigt, utan gör ett medvetet ställningstagande. Informera även studenterna om vilka funktioner som eventuellt kan stängas av.
  
• Finns det undervisningsmoment där inspelning även i normalfallet sker för att utgöra en del av undervisningsunderlaget – till exempel för reflektion eller diskussion – är detta även möjligt att genomföra på distans. Vid inspelning av undervisningsmoment är det viktigt att uppmana studenterna att sitta i en så neutral miljö som möjligt, för att skydda deras privatliv.
  
• Om en föreläsning spelas in bör inte studenterna vara med på vare sig bild eller ljud. Ge studenterna möjlighet att ställa frågor utanför föreläsningen. Tänk på att inspelade föreläsningar är allmänna handlingar och ska bevaras eller gallras enligt högskolans informationshanteringsplan som du hittar här Öppnas i nytt fönster..
  
• Informera studenterna om att en personuppgiftsbehandling sker genom det digitala verktyget som används och om det rör sig om endast realtidsströmning eller inspelning. Här kan du som lärare hänvisa studenterna till högskolans externa webbplats där det finns information om hur personuppgifterna behandlas vid digital undervisning Länk till annan webbplats, öppnas i nytt fönster..
  
• Använd de digitala verktyg som tillhandahålls av högskolan då högskolan har avtal (bland annat personuppgiftsbiträdesavtal) med leverantörerna.

Examination på distans

Som utgångspunkt gäller att samma förhållningssätt ska tillämpas för personuppgiftsbehandling vid examination på distans som vid sedvanlig examination. Som lärare eller examinator är det viktigt att ta hänsyn till studenternas integritet när deras personuppgifter behandlas vid digital examination. Nedan finns ett antal punkter som du som lärare eller examinator behöver tänka på när examinationen sker via realtidsströmning eller inspelning:

• Om det vid en vanlig salstentamen krävs att studenterna ska identifiera sig och övervakas av tentamensvakter får detta även ske på distans om det är nödvändigt för att tillgodose en rättssäker examination. Om identifiering ska ske genom uppvisande av legitimation ska detta inte ske med samtliga tentamensdeltagare närvarande. Identifieringen bör i stället göras i till exempel break-out rooms. Om examinationen ska spelas in är det viktigt att identifieringen sker innan inspelningen påbörjas.
  
• För att realtidsströmning av en examination i övervakningssyfte ska anses vara nödvändig krävs det att det faktiskt är ett effektivt verktyg för att uppnå ändamålet med behandlingen. Om realtidsströmning i övervakningssyfte exempelvis inte bedöms minska risken för fusk i någon större utsträckning ska realtidsströmning inte ske för detta ändamål.
• Det är tillåtet att spela in en examination eller obligatoriskt moment om det är nödvändigt för att dokumentera underlag inför examination eller bedömning av det obligatoriska momentet. Det kan också vara tillåtet om inspelningen utgör underlag för studentens egen reflektion eller för diskussion. Det är dataskyddsombudets uppfattning att det är svårt att motivera att inspelning av examination eller obligatoriskt moment får ske i andra fall, till exempel i syfte att ha som bevismedel i ett disciplinärende.
• Vid inspelning av examination är det viktigt att uppmana studenterna att inför inspelningen placera sig i en så neutral miljö i hemmet som möjligt för att minska intrånget i privatlivet.
• Fundera över vilka funktioner som verkligen behövs – kamera, mikrofon, chatt. Använd dem inte slentrianmässigt, utan gör ett medvetet ställningstagande. Informera även studenterna om vilka funktioner som eventuellt kan stängas av.
  
• Informera studenterna om att en personuppgiftsbehandling sker genom det digitala verktyget som används och om examinationen eller det obligatoriska momentet spelas in. Här kan du som lärare eller examinator hänvisa studenterna till högskolans externa webbplats där det finns information om hur personuppgifterna behandlas vid examination på distans Länk till annan webbplats, öppnas i nytt fönster..
  
• Använd de digitala verktyg som tillhandahålls av högskolan då högskolan har avtal (bland annat personuppgiftsbiträdesavtal) med leverantörerna.

Den rättsliga grunden för att få behandla studenternas personuppgifter utifrån de syften som anges i punktlistan är uppgift av allmänt intresse och myndighetsutövning.