Sidehistorik
Formål
| Indholdsfortegnelse |
|---|
Produkt/system
Unilogin
Dataansvarlig - Databehandler
Dataansvarlig myndighed
Statsinstitutioner, kommuner, regioner og selvejende institutioner på dagtilbudsområdet og undervisningsområdet.
Databehandler(e)
Styrelsen for It og Læring (STIL)
Hvor opbevares personoplysningerne?
...
☐
...
Hos databehandler(e)
...
☐
...
Hos den dataansvarlige
...
☒
...
Begge ovenstående steder
Er der indgået en databehandleraftale med STIL?
...
☐
...
Ja
...
☒
...
Nej, se bemærkning
Bemærkninger til Dataansvarlig - Databehandler
...
Databeskyttelsesrådgiveren (DPO)
Karsten Vest Nielsen, DPO@UVM.DK
Betegnelse og formål
Databehandlingens formål og hjemmel
Unilogin er et webbaseret digitalt id for elever, forældre, og medarbejdere på institutioner på dagtilbudsområdet og undervisningsområdet. Unilogin giver adgang til nationale tjenester og en lang række pædagogiske services - f.eks. online læremidler.
Styrelsen for It og Læring stiller som databehandler den digitale identifikationsløsning Unilogin til rådighed for institutionerne på undervisningsområdet og dagtilbudsområdet til brug for styring af elevers, forældres og medarbejderes adgangsrettigheder til pædagogiske og administrative tjenester. Styrelsen for It og Lærings behandling består i at opbevare personoplysninger i Unilogin Unilogins Skolegrunddata samt at give private leverandører af digitale læremidler og værktøjer adgang til personoplysninger i Unilogin Unilogins Skolegrunddata efter dokumenteret instruks fra den dataansvarlige via en af de webgrænseflader som styrelsen stiller til rådighed for den dataansvarlige.
Unilogin bruges som identifikationsløsning ved en lang række digitale tjenester på undervisningsområdet, såsom de nationale test, Undervisningsministeriets digitale prøveafviklingssystem, de nationale trivselsmålinger m.v. Endvidere bruges Unilogin i institutionernes egne lokale løsninger, såsom digitale læremidler og digitale lærings- og samarbejdsløsninger.
Da Unilogin Unilogins Skolegrunddata anvendes til styring af adgangsrettigheder – f.eks. i forbindelse med digitale prøver – er det vigtigt, at der kan ske en entydig identifikation af den pågældende bruger.
Hjemmel for Styrelsen for It og Lærings databehandling
Øvrige hjemler Hjemler for anvendelse af Unilogin som adgangsmiddel og uden at der sker videregivelse til Styrelsen for It og Læring findes i:Bekendtgørelse om krav til digitale elevplaner i folkeskolen (BEK nr. 704 af 23/06/2014): Elever, forældre og relevante medarbejdere på kommunens skoler og i den offentlige forvaltning anvender Unilogin som adgangsmiddel til elevers digitale elevplaner.
Bekendtgørelse af lov om vejledning om uddannelse og erhverv samt pligt til uddannelse, beskæftigelse m.v. (vejledningsloven) (LOV nr. 746 af 08/06/2018kommunal indsats for unge under 25 år (LBK nr 1301 af 04/09/2020): Unilogin anvendes til brug for styring af adgangsrettigheder til pædagogiske og administrative tjenester for brugere og medarbejdere. Styrelsen for It og Læring handler efter instruks fra kommunerne eller de selvejende institutioner. Styrelsen for It og Læring skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, og mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med databeskyttelseslovgivningen. Styrelsen for It og Læring skal også sikre, at Unilogin opfylder kravene til databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i databeskyttelsesforordningen.
Styrelsen for It og Læring får videregivet data til egne formål. Opgaven og videregivelsen har hjemmel i følgende love og administrative forskrifter med det heri angivne formål:
Bekendtgørelse om obligatoriske test i folkeskolen i skoleårene 2022/23 til og med 2025/26 (Folkeskolens Nationale Overgangstest) (BEK nr . 742 1223 af 1431/0608/20172022): Unilogin anvendes som adgangsmiddel til Undervisningsministeriets digitale test- og prøveafviklingssystem, herunder testresultater, i forbindelse med de nationale test. Undervisningsministeriet opbevarer data fra Unilogin i ’Test- og Prøvesystemet’ med henblik på at foretage analyser og udarbejde rapporter over den enkelte skoles testresultater set i forhold til det samlede landsresultat. Heri skal indgå en vurdering af skolens testresultater set i forhold til elevernes sociale baggrund
Bekendtgørelse om folkeskolens prøver (prøvebekendtgørelsen) (BEK nr . 1090 1224 af 2931/08/20182022): Unilogin anvendes som adgangsmiddel til Undervisningsministeriet selvrettende system ’Test og Prøvesystemet’ i forbindelse med folkeskolens afgangsprøver.
Bekendtgørelse om måling af elevernes trivsel i folkeskolen (BEK nr . 525 af 01/05/2019). De nationale trivselsmålinger skal foretages via et trivselsmålingsværktøj som Styrelsen for It og Læring stiller til rådighed. Adgangen til trivselsmålingsværktøjet sker ved at logge på med Unilogin. Styrelsen for It og Læring kobler elevens Unilogin sammen med elevens trivselsmåling i forbindelse med forskning i udviklingen af elevernes trivsel. Unilogin anvendes heri kun til statistiske og videnskabelige formål og ikke administrativt over for eleven
Dataansvarlig myndighed
Uddannelsesinstitutioner og kommuner
Databehandler
Styrelsen for It og Læring
...
STILs underdatabehandler - udvikling
Nine
STILs underdatabehandler – drift, vedligehold
Statens It (SIT) leverer infrastrukturen til STILs datacentre og er derfor også at betragte som en underdatabehandler. Herudover drifter STIL selv systemet.
Kategorier af registrerede
...
Kategorier af registrerede og kategorier af personoplysninger, der behandles i systemet
...
Hvor længe opbevares personoplysninger i systemet?
De dataansvarlige har ansvaret for at vedligeholde oplysninger i Unilogin, herunder sletning af personoplysninger, når en elev eller medarbejder ikke er tilknyttet institutionen.
Af hensyn til evt. skoleskift opbevares
...
UniID og CPR-nummer i 12 måneder, men den tidligere institution har ikke adgang til disse oplysninger. Det sikrer, at eleven kan få
samme Unilogin brugernavn på den nye institution. Alle øvrige personoplysninger slettes i Unilogin, så snart institutionen sletter dem fra deres studieadministrative systemer.
Brugere i SkoleGrunddata, som ikke i 12 måneder har haft tilknytning til en institution, slettes. Ved tilknytning forstås, at brugeren er importeret til SkoleGrunddata fra et administrativt system. Brugerens institutionstilknytning kan fjernes (institutionen
nedlægges eller brugeren slettes i institutionens import). Derved har brugeren ingen institutionstilknytning. Brugere, som udelukkende er oprettet fordi de er
...
kontakt til en eller flere elever, slettes straks
...
efter at den sidste elev, de er kontakt for
...
,
...
ikke længere er tilknyttet
...
en
...
institution
...
.
Sletning medfører at alle data slettes permanent fra SkoleGrunddata. Unilogin brugerID (UniID) fra en slettet bruger kan ikke genbruges.
Som levn fra en fjernet funktionalitet findes der brugere med rettighed til hjælpesystemet ElevAdgang som er administrator. Der er p.t. ikke en slettepolitik for denne gruppe, og sletning varetages af STIL support på den dataansvarlige instruks som en manuel opgave.
...
Hvor stammer oplysningerne fra?
Personoplysninger i Unilogin indtastes af en brugeradministrator hos den dataansvarlige. Indtastningen sker i den dataansvarliges studieadministrative system, som overfører personoplysningen til UniloginUnilogins Skolegrunddata.
Hvis data hentes i CPR i det studieadministrative system påføres dette i importen til UniloginUnilogins Skolegrunddata. Ændres der i data efter CPR-opslaget påføres denne oplysning også. Unilogin Unilogins Skolegrunddata foretager ikke kontrol af disse oplysninger.
Hvem har adgang til at se og behandle persondata i
...
systemet?
Brugeradministratorer hos den dataansvarlige har adgang til at indtaste, korrigere og slette personoplysninger. Den registrerede kan selv se sine oplysninger, sine adgange via Mit UNI-Login og hvem den registrerede er kontaktperson for. Den registrerede kan selv skifte sin adgangskode.
Modtagere
Styrelsen for It og Læring giver adgang til de dataansvarliges øvrige databehandlere efter dokumenteret instruks fra de dataansvarlige via en af de grænseflader, som styrelsen stiller til rådighed. Dette sker gennem systemet Tilslutning, hvor der ikke behandles persondata.
Styrelsen for It og Læring får data i Unilogin videregivet til egne formål som beskrevet i de oven for nævnte lovhjemler og til de oven for nævnte formål , herunder samt til statistiske og videnskabelige formål.
Styrelsen for It og Læring videregiver ikke systematisk personoplysninger oplysninger i Unilogin til andre offentlige myndighedertil forskere og forskningsinstitutioner til brug for deres forskningsprojekt på baggrund af ansøgninger om udtræk herom. Udtrækket sker gennem STILs forskerkonti hos Danmarks Statistisk.
Sker der overførsler til tredjelande eller internationale organisationer?
Ja | ☐ |
Nej | ☒ |
Bemærkninger til overførsler til tredjelande eller internationale organisationer
Styrelsen for It og Læring overfører ikke personoplysninger i Unilogin til tredjelande eller internationale organisationer.
Overførsler til tredjelande kan potentiel forekomme, såfremt en dataansvarlige giver styrelsen instruks om, at give en privat leverandør adgang til personoplysninger i Unilogin og denne private leverandør befinder sig i et tredjeland eller har en underdatabehandler, som befinder sig i et tredjeland. I så fald fører den dataansvarlige egen fortegnelse over sådanne overførsler og sikrer, at der foreligger et gyldigt overførselsgrundlag.
Sikkerhedsforanstaltninger
Generelle sikkerhedsforanstaltninger
Styrelsen for It og Læring autoriserer adgang for de personer i styrelsen, der har et arbejdsbetinget behov for at kunne tilgå personoplysninger i systemet. Styrelsen fører regelmæssig kontrol med, at kun personer med arbejdsbetinget behov kan tilgå personoplysninger i systemet. Styrelsen lukker straks en medarbejders adgang til oplysningerne, hvis autorisationen fratages eller udløber. Styrelsen for It og Læring har som statslig myndighed pligt til at arbejde med it-sikkerhed og databeskyttelse efter ISO27001 ledelsesstandarden for informationssikkerhed.
Derudover anvendes ITIL som standardrammeværktøj af STIL sikrer, at disse personer har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
Som ansvarlig myndighed for systemet er Styrelsen for It og Læring ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Styrelsen foretager en risikovurdering og gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder blandet andet, alt efter hvad der er relevant, kryptering og logning.
Fastsættelsen af de omhandlede foranstaltninger sker under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Styrelsen for It og Læring sørger som minimum for at iværksætte følgende sikkerhedsforanstaltninger:
1) Styrelsen fastsætter interne retningslinjer for informationssikkerhed, herunder retningslinjer for organisatoriske forhold, logisk og fysisk sikring, herunder administration af adgangskontrolanordninger og autorisationsanordninger samt kontrol af autorisationer. Styrelsen instruerer de autoriserede medarbejdere i reglerne om interne arbejdsgange og sikkerhedsforanstaltninger, herunder sikkerhedsforanstaltninger ved evt. anvendelse af hjemmearbejdsplads og mobilt udstyr.
2) Styrelsen anvender et almindeligt anerkendt standardrammeværktøj, såsom ITIL, til at understøtte stabil og sikker drift.
STIL arbejder som følge heraf med:
- Et it-sikkerhedsledelsessystem jf. ISO27001
3) Styrelsen etablerer et informationssikkerhedsledelsessystem baseret på ISO27001-standarden, herunder en it-sikkerhedspolitik, områdepolitikker, passende kontroller samt relevante retningslinjer og procedurer og passende kontroller jf. ISO27002.
- Logning, pseudonomisering og kryptering i henhold til artikel 32 af GDPR, hvor det vurderes relevant.i forhold til informationssikkerheden.