Behandlingens formål og hjemmel
Formål
Eksamensdatabasen er et databasesystem til opsamling af uddannelsesresultater for samtlige gymnasiale uddannelser (htx, hhx, eux og stx herunder gsk og GIF samt hf), FGU og erhvervsuddannelser. Eksamensdatabasen er fødekildesystem for Optagelse.dk fsva. ansøgningsgrundlag til videregående uddannelser. Dataoverførslen mellem de to systemer initieres af den enkelte ansøger.
Udover til Optagelse.dk, stiller Eksamensdatabasen data til rådighed for Datavarehuset samt Ungedatabasen. Desuden leveres data til Industriens uddannelser og Pension Danmark baseret på brugerinitierede dataopslag. Eksamensdatabasen stiller også data til rådighed for Min Kompetencemappe i STIL, hvor borgere kan se deres egne beviser.
Eksamensdatabasen opsamler desuden også AMU-kursus beviser – disse anvendes ikke af Optagelse.dk.
Hjemmel for Styrelsen for It og Lærings databehandling
Fælles for nedenstående uddannelsesområder:
Af Systemrevisionsbekendtgørelsen 4.21 og 4.22 fremgår: "Der indberettes endelige karakterer og eksamensbevisoplysninger for en række ungdomsuddannelser til Eksamensdatabasen til anvendelse blandt andet i forbindelse med optagelse på videregående uddannelser. Indberetningen omfatter fuldtidsuddannelser under GYM, EUD og FGU".
"Der indberettes bevisoplysninger for AMU-kurser, herunder enkeltfag der er optaget i en fælles kompetencebeskrivelse, til Eksamensdatabasen".
Systemrevisionsbekendtgørelsen har ophæng i diverse love for de omfattede uddannelsesområder. Her fremgår typisk meget overordnet, at Børne- og undervisningsministeren kan bestemme, at institutionerne eller grupper af institutioner skal anvende fælles administrative systemer.
For gymnasiale uddannelser specificeres det i Almeneksamensbekendtgørelsens § 34 og 39, at skolerne senest med udstedelsen af et prøveresultat/bevis skal indberette samme til Undervisningsministeriet.
Denne forpligtelse præciseres i et brev af 19. januar 2011 (Sags nr. 058.67G.251) til skolerne.
FGU hjemmel
Af Bekendtgørelse om forberedende grunduddannelse, § 8, Stk. 8 fremgår, at FGU følger reglerne i Bekendtgørelse om prøver og eksamen i grundlæggende erhvervsrettede uddannelser. Dvs. at "Karakterer og eventuelt eksamensgennemsnit for den enkelte eksaminand indberettes til Undervisningsministeriet efter ministeriets bestemmelse" (§ 33, Stk. 1).
EUD hjemmel
Af Bekendtgørelse om prøver og eksamen i grundlæggende erhvervsrettede uddannelser, § 33, Stk. 1 fremgår at ”Karakterer og eventuelt eksamensgennemsnit for den enkelte eksaminand indberettes til Undervisningsministeriet efter ministeriets bestemmelse”.
AMU hjemmel
Af Bekendtgørelse om arbejdsmarkedsuddannelser m.v., § 21, Stk. 7 fremgår: "Endvidere indberetter institutionen med henblik på opbevaring i en central bevisdatabase de oplysninger, der fremgår af stk. 3-5, til Styrelsen for IT og Læring".
Dataansvarlig - Databehandler
Dataansvarlig myndighed
Styrelsen for It og Læring
Databehandler
N/A
STILs eventuelle (under)databehandler - udvikling
STILs eventuelle (under)databehandler – drift, vedligehold
Ingen – STIL udvikler og drifter selv systemet.
Personer og personoplysninger
Kategorier af registrerede og kategorier af personoplysninger, der behandles i systemet
Elever på gymnasiale uddannelser, FGU og erhvervsuddannelser: Oplysningerne omfatter: navn, CPR, uddannelse, uddannelsessted, karakterer, meritter, gennemsnit og prøve-/eksamensår.
AMU-kursister: Oplysninger omfatter navn, CPR, kursustitel, kursussted, evt. karakter ved AMU-enkeltfag.
Hvor længe opbevares personoplysninger i systemet?
Der foretages ikke oprydning på systemet. Sletninger sker som en delproces af indberetningen, når allerede indberettede data indberettes igen som del af et nyt dataelement. Eksempelvis en tidligere indberettet enkeltkarakter, som senere indberettes som en del af et eksamensbevis.
Datakilder og datamodtagere
Hvor stammer oplysningerne fra?
Oplysningerne indberettes af skolerne via de elevadministrative systemer.
Hvem har adgang til at se og behandle persondata i systemet?
Borgeren har ikke længere adgang til Eksamensdatabasen, men skal i stedet se beviser i MKM. Udvalgte medarbejdere i supporten har adgang til at slå enkeltpersoners oplysninger op. Produktejerne på systemet har adgang til alle data i systemet. Udvalgte administrative medarbejdere på skolerne har adgang til at slå skolens egne indberettede data op.
Modtagere
Optagelse.dk: Ansøgere til videregående uddannelse kan initiere et opslag af egne beviser på optagelse.dk.
Eksamensdatabasen: Fremsøgte beviser overføres til ansøgningen. (intern overførsel)
Ungedatabasen: Modtager i fast frekvens udtræk af hf-beviser via script. (intern overførsel)
Datavarehuset: Har views direkte til databasen og trækker opdateringer en gang månedligt (intern overførsel)
MinKompetenceMappe og RKV: Trække oplysninger for en enkeltperson via brugerinitieret træk på samme måde, som det foregår fra Optagelse.dk (intern overførsel)
Eksamenskarakter videregives også til Industriens Uddannelser efter samtykke fra den registrerede via STILs webservice.
Der er lavet en dataudvekslingsaftale med PensionDanmark, hvor eksamenskarakter videregives efter samtykke fra den registrerede via STILs webservice.
Sker der overførsler til tredjelande eller internationale organisationer?
Ja | ☐ |
Nej | ☒ |
Bemærkninger til overførsler til tredjelande eller internationale organisationer
Ingen bemærkninger.
Generelle sikkerhedsforanstaltninger
Styrelsen for It og Læring autoriserer adgang for de personer i styrelsen, der har et arbejdsbetinget behov for at kunne tilgå personoplysninger i systemet. Styrelsen fører regelmæssig kontrol med, at kun personer med arbejdsbetinget behov kan tilgå personoplysninger i systemet. Styrelsen lukker straks en medarbejders adgang til oplysningerne, hvis autorisationen fratages eller udløber. Styrelsen for It og Læring sikrer at disse personer har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
Som ansvarlig myndighed for systemet er Styrelsen for It og Læring ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Styrelsen foretager en risikovurdering og gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder blandet andet, alt efter hvad der er relevant, kryptering og logning.
Fastsættelsen af de omhandlede foranstaltninger sker under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Styrelsen for It og Læring sørger som minimum for at iværksætte følgende sikkerhedsforanstaltninger:
1) Styrelsen fastsætter interne retningslinjer for informationssikkerhed, herunder retningslinjer for organisatoriske forhold, logisk og fysisk sikring, herunder administration af adgangskontrolanordninger og autorisationsanordninger samt kontrol af autorisationer. Styrelsen instruerer de autoriserede medarbejdere i reglerne om interne arbejdsgange og sikkerhedsforanstaltninger, herunder sikkerhedsforanstaltninger ved evt. anvendelse af hjemmearbejdsplads og mobilt udstyr.
2) Styrelsen anvender et almindeligt anerkendt standardrammeværktøj, såsom ITIL, til at understøtte stabil og sikker drift.
3) Styrelsen etablerer et informationssikkerhedsledelsessystem baseret på ISO27001-standarden, herunder en it-sikkerhedspolitik, områdepolitikker, passende kontroller samt relevante retningslinjer og procedurer i forhold til informationssikkerheden.