Behandlingens formål og hjemmel

Formål

Unilogin er et webbaseret digitalt id for elever, forældre, og medarbejdere på institutioner på dagtilbudsområdet og undervisningsområdet. Unilogin giver adgang til nationale tjenester og en lang række pædagogiske services - f.eks. online læremidler.

Styrelsen for It og Læring stiller som databehandler den digitale identifikationsløsning Unilogin til rådighed for institutionerne på undervisningsområdet og dagtilbudsområdet til brug for styring af elevers, forældres og medarbejderes adgangsrettigheder til pædagogiske og administrative tjenester. Styrelsen for It og Lærings behandling består i at opbevare personoplysninger i Unilogin samt at give private leverandører af digitale læremidler og værktøjer adgang til personoplysninger i Unilogin efter dokumenteret instruks fra den dataansvarlige via en af de webgrænseflader som styrelsen stiller til rådighed for den dataansvarlige.

Unilogin bruges som identifikationsløsning ved en lang række digitale tjenester på undervisningsområdet, såsom de nationale test, Undervisningsministeriets digitale prøveafviklingssystem, de nationale trivselsmålinger m.v. Endvidere bruges Unilogin i institutionernes egne lokale løsninger, såsom digitale læremidler og digitale lærings- og samarbejdsløsninger.

Da Unilogin anvendes til styring af adgangsrettigheder – f.eks. i forbindelse med digitale prøver – er det vigtigt, at der kan ske en entydig identifikation af den pågældende bruger.

Hjemmel

Øvrige hjemler for anvendelse af Unilogin som adgangsmiddel og uden at der sker videregivelse til Styrelsen for It og Læring findes i:

Bekendtgørelse om krav til digitale elevplaner i folkeskolen (BEK nr. 704 af 23/06/2014): Elever, forældre og relevante medarbejdere på kommunens skoler og i den offentlige forvaltning anvender Unilogin som adgangsmiddel til elevers digitale elevplaner.

Bekendtgørelse af lov om vejledning om uddannelse og erhverv samt pligt til uddannelse, beskæftigelse m.v. (vejledningsloven) (LOV nr. 746 af 08/06/2018): Unilogin anvendes til brug for styring af adgangsrettigheder til pædagogiske og administrative tjenester for brugere og medarbejdere. Styrelsen for It og Læring handler efter instruks fra kommunerne eller de selvejende institutioner. Styrelsen for It og Læring skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, og mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med databeskyttelseslovgivningen. Styrelsen for It og Læring skal også sikre, at Unilogin opfylder kravene til databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i databeskyttelsesforordningen.

Styrelsen for It og Læring får videregivet data til egne formål. Opgaven og videregivelsen har hjemmel i følgende love og administrative forskrifter med det heri angivne formål:

Bekendtgørelse om obligatoriske test i folkeskolen (BEK nr. 742 af 14/06/2017): Unilogin anvendes som adgangsmiddel til Undervisningsministeriets digitale test- og prøveafviklingssystem, herunder testresultater, i forbindelse med de nationale test. Undervisningsministeriet opbevarer data fra Unilogin i ’Test- og Prøvesystemet’ med henblik på at foretage analyser og udarbejde rapporter over den enkelte skoles testresultater set i forhold til det samlede landsresultat. Heri skal indgå en vurdering af skolens testresultater set i forhold til elevernes sociale baggrund

Bekendtgørelse om folkeskolens prøver (prøvebekendtgørelsen) (BEK nr. 1090 af 29/08/2018): Unilogin anvendes som adgangsmiddel til Undervisningsministeriet selvrettende system ’Test og Prøvesystemet’ i forbindelse med folkeskolens afgangsprøver.

Bekendtgørelse om måling af elevernes trivsel i folkeskolen (BEK nr. 525 af 01/05/2019). De nationale trivselsmålinger skal foretages via et trivselsmålingsværktøj som Styrelsen for It og Læring stiller til rådighed. Adgangen til trivselsmålingsværktøjet sker ved at logge på med Unilogin. Styrelsen for It og Læring kobler elevens Unilogin sammen med elevens trivselsmåling i forbindelse med forskning i udviklingen af elevernes trivsel. Unilogin anvendes heri kun til statistiske og videnskabelige formål og ikke administrativt over for eleven

Dataansvarlig - Databehandler

Dataansvarlig myndighed

Statsinstitutioner, kommuner, regioner og selvejende institutioner på dagtilbudsområdet og undervisningsområdet.

Databehandler

Styrelsen for It og Læring (STIL)

Bemærkninger til Dataansvarlig - Databehandler

Der er ikke indgået databehandleraftaler mellem STIL og de dataansvarlige.

Behovet for databehandleraftaler er afløftet gennem Bekendtgørelse om den digitale identifikationsløsning Unilogin og opgaver og ansvar for de dataansvarlige og for Styrelsen for It og Læring som databehandler (BEK nr.529 af 02/05/2019).

STIL anvender pt. ikke underdatabehandlere. Opgaver i relation til drift, udvikling, vedligeholdelse og support udføres af STIL.

Personer og Personoplysninger

Kategorier af registrerede og kategorier af personoplysninger, der behandles i systemet

Der behandles personoplysninger om elever, kontaktpersoner og medarbejdere i statsinstitutioner, kommuner, regioner og selvejende institutioner på dagtilbudsområdet og undervisningsområdet.
De personoplysninger, der behandles i Unilogin er CPR-nummer, navn, adresse, telefonnummer, email, uddannelsesoplysninger og kontaktpersonstatus samt oplysninger om roller og relation.
Der behandles ikke følsomme personoplysninger omfattet af databeskyttelsesforordningens artikel 9.

Hvor længe opbevares personoplysninger i systemet?

De dataansvarlige har ansvaret for at vedligeholde oplysninger i Unilogin, herunder sletning af personoplysninger, når en elev eller medarbejder ikke er tilknyttet institutionen.
Af hensyn til evt. skoleskift opbevares Unilogin og CPR-nummer i 12 måneder, men den tidligere institution har ikke adgang til disse oplysninger. Det sikrer at eleven kan få samme Unilogin på den nye institution. Alle øvrige personoplysninger slettes i Unilogin, så snart institutionen sletter dem fra deres studieadministrative systemer.

Brugere, som udelukkende er oprettet fordi de er kontaktperson til en eller flere elever, slettes straks fra Unilogin efter at den sidste elev, de er kontakt for, er slettet fra sin institutions administrative system.

En institution kan tildele en bruger rettigheder i Unilogin, selvom brugeren ikke er tilknyttet den pågældende institution. Hvis en bruger har rettigheder i Unilogin, men ikke har været tilknyttet nogen institution i 12 måneder, vil Styrelsen for It og Læring slette brugeren en måned efter, at styrelsen har frataget brugerens rettigheder.

STIL ved om en person er tilknyttet en institution ved at personen er en af institutionens brugere (enten ved import eller oprettelse i ba.emu.dk). En institution kan tildele rettigheder til en bruger på en anden institution (uden at denne bruger er tilknyttet institutionen som giver rettighederne). Brugerens institutionstilknytning kan fjernes (institutionens nedlægges eller brugeren slettes i institutionens import). Derved har brugeren ingen institutionstilknytning, men rettigheder på en institution. Der er en algoritme, der sørger for, at hvis institutionerne ikke får ryddet op i rettighedstilknytningen, så rydder algoritmen op efter et år, så der ikke er personer med rettigheder i forhold til en institution, som vedkommende ikke er tilknyttet.

Datakilder og Datamodtagere

Hvor stammer oplysningerne fra?

Personoplysninger i Unilogin indtastes af en brugeradministrator hos den dataansvarlige. Indtastningen sker i den dataansvarliges studieadministrative system, som overfører personoplysningen til Unilogin.
Hvis data hentes i CPR i det studieadministrative system påføres dette i importen til Unilogin. Ændres der i data efter CPR-opslaget påføres denne oplysning også. Unilogin foretager ikke kontrol af disse oplysninger.

Hvem har adgang til at se og behandle persondata i systemet?

Brugeradministratorer hos den dataansvarlige har adgang til at indtaste, korrigere og slette personoplysninger. Den registrerede kan selv se sine oplysninger, sine adgange via Mit UNI-Login og hvem den registrerede er kontaktperson for. Den registrerede kan selv skifte sin adgangskode.

Modtagere

Styrelsen for It og Læring giver adgang til de dataansvarliges øvrige databehandlere efter dokumenteret instruks fra de dataansvarlige via en af de grænseflader, som styrelsen stiller til rådighed.

Styrelsen for It og Læring får data i Unilogin videregivet til egne formål som beskrevet i de oven for nævnte lovhjemler og til de oven for nævnte formål, herunder til statistiske og videnskabelige formål.

Sker der overførsler til tredjelande eller internationale organisationer?

Styrelsen for It og Læring overfører ikke personoplysninger i Unilogin til tredjelande eller internationale organisationer.

Overførsler til tredjelande kan potentiel forekomme, såfremt en dataansvarlige giver styrelsen instruks om, at give en privat leverandør adgang til personoplysninger i Unilogin og denne private leverandør befinder sig i et tredjeland eller har en underdatabehandler, som befinder sig i et tredjeland. I så fald fører den dataansvarlige egen fortegnelse over sådanne overførsler og sikrer, at der foreligger et gyldigt overførselsgrundlag.

 

Sikkerhedsforanstaltninger

Styrelsen for It og Læring har som statslig myndighed pligt til at arbejde med it-sikkerhed og databeskyttelse efter ISO27001 ledelsesstandarden for informationssikkerhed.

Derudover anvendes ITIL som standardrammeværktøj af STIL til at understøtte stabil og sikker drift.

STIL arbejder som følge heraf med:

- Et it-sikkerhedsledelsessystem jf. ISO27001, herunder en it-sikkerhedspolitik, områdepolitikker samt relevante retningslinjer og procedurer og passende kontroller jf. ISO27002.

- Logning, pseudonomisering og kryptering i henhold til artikel 32 af GDPR, hvor det vurderes relevant.