Versioner sammenlignet

Gammel version 1

changes.mady.by.user Imran Bakhsh

Gemt på

sammenlignet med

Ny version Nuværende

changes.mady.by.user Nicolai Hirschsprung

Gemt på

Nøgle

  • Linjen blev tilføjet.
  • Denne linje blev fjernet.
  • Formatering blev ændret.

System

Test- og Prøvesystemet –

Indholdsfortegnelse

Produkt/system

Folkeskolens Prøver

Dataansvarlig - Databehandler

Dataansvarlig myndighed

Styrelsen for It og Læring, kommuner, regioner og institutioner er fælles dataansvarlige

Hvor opbevares personoplysningerne?

...

...

Hos databehandler(e)

...

...

Hos den dataansvarlige

...

...

Begge ovenstående steder

Er der indgået en databehandleraftale med STIL?

...

...

Ja

...

...

Nej, se bemærkning

 

Bemærkninger til Dataansvarlig - Databehandler

Behovet for databehandleraftale mellem institutionerne, regionerne, kommunerne og styrelsen er afløftet ved cirkulæreskrivelse om fælles dataansvar. Personoplysninger opbevares hos Styrelsen.

Databeskyttelsesrådgiveren (DPO)

Karsten Vest Nielsen, DPO@UVM.DK

Betegnelse og formål

Behandlingens formål og hjemmel

Formål

...

Test- og Prøvesystemet anvendes til afvikling af henholdsvis Nationale Test og folkeskolens digitale prøver i grundskolen. Indeværende fortegnelse afdækker udelukkende aspekterne forbundet med folkeskolens prøver. Nationale Test behandles i en særskilt fortegnelse.

Databehandlingens formålskategori

...

1. Administrative formål
Dvs. databehandlingerne i systemet anvendes på en måde, der har betydning for de registrerede personer (elever, ansatte etc.).

...

2. Statistik
Dvs. databehandlingerne i systemet finder sted i videnskabelig eller statistisk øjemed. Der skal også krydses af her, hvis data som allerede er indsamlet under 1. anvendes til statistik.

...

...

3. Begge dele/både 1 og 2

...

Sektorens formål: FP anvendes til afvikling af folkeskolens digitale prøver i grundskolen. Det er folkeskolerne, der laver bedømmelserne og giver den endelige karakter (modsat Nationale Test, hvor det er BUVM som gør dette gennem en algoritme)

STIL’s formål: STIL’s system har ikke nogen indflydelse på vurderinger og de administrative behandlinger der sker i systemet. BUVM ved Styrelsen for Undervisning og Kvalitet anvender dog de indberettede data til at beskikke censorer til de digitale skriftlige afgangsprøver og udbetaler løn. Der er derfor tale om et fælles dataansvar.


Hjemmel for Styrelsen for It og Lærings databehandling

§§ 2, 44 og 46 i Bekendtgørelse om folkeskolens prøver (prøvebekendtgørelsen) for Test og Prøvesystemet: Folkeskolens Prøver.

 Dataansvarlig - Databehandler

Dataansvarlig myndighed
Styrelsen for It og Læring og kommunalbestyrelserne er fælles dataansvarlige

STILs eventuelle (under)databehandler - udvikling

Ingen – STIL udvikler selv systemet

STILs eventuelle (under)databehandler – drift, vedligehold

Ingen – STIL drifter selv systemet

Personer og personoplysninger

Kategorier af registrerede og kategorier af personoplysninger, der behandles i systemet

 

Personer og oplysninger

...

Der behandles oplysninger om følgende kategorier af personer:
1.

...

elever: Der registreres navn, cpr. nr.,

...

Unilogin, skole, klassetrin, klassenavn, prøveresultater (prøvebesvarelser og karakterer).

...

Omfatter databehandlingen følsomme eller almindelige personoplysninger?

...

Følsomme oplysninger:

Racemæssig eller etnisk baggrund, Politisk overbevisning, Religiøs overbevisning, Filosofisk overbevisning, Fagforeningsmæssige tilhørsforhold, Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol, sindssygdom, ordblindhed m.v., seksuelle forhold eller orientering.

...

Almindelige personoplysninger:

Væsentlige sociale problemer, andre rent private forhold, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon, navn, adresse, fødselsdato (identifikationsoplysning) 

2. lærere, skoleledere og andre ansatte ved skoler: Der registreres navn, Unilogin, skoletilknytning.

Hvor længe opbevares personoplysninger i systemet?

Prøveresultater slettes senest to år efter afslutning af grundskolen, hvis eleven afslutter efter 9. klasse og senest et år efter afslutning af grundskolen, hvis eleven afslutter efter 10. klasse.
Elevens øvrige oplysninger slettes samtidig med sletning af prøveresultaterne.

Datakilder

...

og datamodtagere

Hvor stammer oplysningerne fra?

Personoplysningerne

...

i systemet stammer fra skolernes administrative systemer, hvor de via

...

Unilogin importeres til

...

testogprøver.dk.

...

Prøveresultater genereres i systemet.


Hvem har adgang til at se og behandle persondata i

...

systemet?

Skoleledere.

Modtagere

Til brug for statistik og følgeforskning overføres data til Epinion og til styrelsens Center for Data og Analyse.

Sikkerhedsforanstaltninger

Skolelederne tjekker at det er de rigtige elever, der er tilmeldt prøven. Skolelederne aflæser efter prøverne elevernes karakterer. Medarbejdere hos Styrelsen for It og Læring med arbejdsbetinget i relation til drift, support og vedligehold af systemet kan tilgå personoplysninger. Medarbejdere i Styrelsen for Undervisning og Kvalitet med arbejdsbetinget behov i relation til beskikning af censorer kan tilgå personoplysninger i systemet.   

Modtagere

Rigsarkivet.

Sker der overførsler til tredjelande eller internationale organisationer?

Ja

Nej

 

Bemærkninger til overførsler til tredjelande eller internationale organisationer

Ingen bemærkninger

Generelle sikkerhedsforanstaltninger

Styrelsen for It og Læring autoriserer adgang for de personer i styrelsen, der har et arbejdsbetinget behov for at kunne tilgå personoplysninger i systemet. Styrelsen fører regelmæssig kontrol med, at kun personer med arbejdsbetinget behov kan tilgå personoplysninger i systemet. Styrelsen lukker straks en medarbejders adgang til oplysningerne, hvis autorisationen fratages eller udløber. Styrelsen for It og Læring sikrer at disse personer har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
Som ansvarlig myndighed for systemet er Styrelsen for It og Læring ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Styrelsen foretager en risikovurdering og gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder blandet andet, alt efter hvad der er relevant, kryptering og logning.

Fastsættelsen af de omhandlede foranstaltninger sker under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Styrelsen for It og Læring sørger som minimum for at iværksætte følgende sikkerhedsforanstaltninger:

1) Styrelsen fastsætter interne retningslinjer for informationssikkerhed, herunder retningslinjer for organisatoriske forhold, logisk og fysisk sikring, herunder administration af adgangskontrolanordninger og autorisationsanordninger samt kontrol af autorisationer. Styrelsen instruerer de autoriserede medarbejdere i reglerne om interne arbejdsgange og sikkerhedsforanstaltninger, herunder sikkerhedsforanstaltninger ved evt. anvendelse af hjemmearbejdsplads og mobilt udstyr.

2) Styrelsen anvender et almindeligt anerkendt standardrammeværktøj, såsom ITIL, STIL har som statslig myndighed pligt til at arbejde med it-sikkerhed og databeskyttelse efter ISO 27001 ledelsesstandarden for informationssikkerhed. Derudover anvendes ITIL som standardrammeværktøj af STIL til at understøtte stabil og sikker drift.

STIL arbejder som følge heraf med:

...


3) Styrelsen etablerer et informationssikkerhedsledelsessystem baseret på ISO27001-standarden, herunder en it-sikkerhedspolitik, områdepolitikker, passende kontroller samt relevante retningslinjer og procedurer

...

i forhold til informationssikkerheden.