Versioner sammenlignet

Gammel version 2

changes.mady.by.user Imran Bakhsh

Gemt på

sammenlignet med

Ny version Nuværende

changes.mady.by.user Hany Dughaim

Gemt på

Nøgle

  • Linjen blev tilføjet.
  • Denne linje blev fjernet.
  • Formatering blev ændret.

Formål

Indholdsfortegnelse

Produkt/system

Egu-Portalen

Dataansvarlig - Databehandler

Dataansvarlig myndighed

Institutionerne og kommunerne som anvender EGU-Portalen

Databehandler(e)

Styrelsen for IT og Læring

Hvor opbevares personoplysningerne?

...

...

Hos databehandler(e)

...

...

Hos den dataansvarlige

...

...

Begge ovenstående steder

Er der indgået en databehandleraftale med STIL?

...

...

Ja

...

...

Nej, se bemærkning

 

Bemærkninger til Dataansvarlig - Databehandler

Behovet for databehandleraftale mellem institutionerne og styrelsen er afløftet via cirkulæreskrivelse, som definerer styrelsens opgaver som databehandler. STIL har indgået databehandleraftale med underdatabehandler

Databeskyttelsesrådgiveren (DPO)

Karsten Vest Nielsen, DPO@UVM.DK

Betegnelse og formål

Databehandlingens betegnelse og formål

Egu-portalen er et studieadministrativt system til elevadministration på erhvervsgrunduddannelsen (egu), hvor målgruppen er udsatte unge. Egu-portalen bruges af

...

kommunale ungeindsatser, jobcentre og egu-vejledere på

...

institutioner med Forberedende Grunduddannelse (FGU) til oprettelse og vedligehold af egu-elevernes uddannelsesplaner.

...

En erhvervsgrunduddannelse varer to år og indeholder meget praktik og forholdsvis lidt teori. Forløbet kan sammensættes af dele af uddannelser fra forskellige skoleformer. Uddannelsen er kommunalt forankret og giver ret til dagpenge efter gennemførelse.

...

Pr. 1. august 2019 blev produktionsskolernes egu-aktivitet overtaget af i alt 27 FGU-institutioner, som administrerer den forberedende grunduddannelse, herunder erhvervsgrunduddannelse på et egu-spor. Disse FGU-institutioner administrerer også de egu-forløb i egu-portalen, der tidligere varetoges af produktionsskoler indtil 1. august 2019, indtil sidste optag i egu-portalen afsluttes senest i 2022.
Egu-portalen bruges til dagligt administrativt arbejde i forbindelse med tilrettelæggelse og gennemførelse af den enkelte elevs

...

Databehandlingens formålskategori

...

1. Administrative formål
Dvs. databehandlingerne i systemet anvendes på en måde, der har betydning for de registrerede personer (elever, ansatte etc.).

...

...

2. Statistik
Dvs. databehandlingerne i systemet finder sted i videnskabelig eller statistisk øjemed. Der skal også krydses af her, hvis data som allerede er indsamlet under 1. anvendes til statistik.

...

...

3. Begge dele/både 1 og 2

...

erhvervsgrunduddannelse efter lov om erhvervsgrunduddannelse - herunder fx at oprette og vedligeholde elevernes uddannelsesplaner. Egu-portalen er herudover grundlag for Børne- og Undervisningsministeriets statistikker på egu-området, og det er derfor krævet at anvende systemet inden for egu-området for de elever, der gennemfører deres egu efter lov om erhvervsgrunduddannelse.

Egu-portalen har ca. 200 aktive brugere.

Centrale funktioner:

  • Oprettelse af elevers stamdata og uddannelsesplaner
  • Oprettelse af undervisningsaktiviteter på hold (skole- og praktikforløb)
  • Oprettelse af arbejdssedler ifm. praktik på værkstedsskole
  • Udskrivning af uddannelsesplaner, praktikaftaler og beviser
  • Understøttelse af egu-bonusordningen

Hjemmel for Styrelsen for It og Lærings databehandling

  • 1 i lov om institutioner for forberedende grunduddannelse for så vidt angår EGU-Portalen

Dataansvarlig myndighed
Uddannelsesinstitutioner og kommuner

Databehandler

Styrelsen for It og Læring

STILs underdatabehandler - udvikling

CGI

STILs underdatabehandler – drift, vedligehold

Ingen – STIL drifter selv systemet

Kategorier af registrerede og kategorier af personoplysninger, der behandles i systemet

Styrelsen for It og Læring behandler på vegne af uddannelsesinstitutionerne og kommuner personoplysninger i egu-portalen om elever på erhvervsgrunduddannelsen, egu-vejledere og elevers værger og kontaktpersoner.

Styrelsen behandler almindelige og følsomme personoplysninger omfattet af databeskyttelsesforordningens artikel 6 og 9. De personoplysninger som styrelsen behandler, omfatter CPR-nummer med henblik på entydig identifikation, karakterer, bedømmelser, oplysninger om undervisningsdeltagelse med angivelse af indhold og perioder, fraværsoplysninger og fraværsbegrundelser medmindre fraværsbegrundelsen skyldes sygdom eller fængselsstraf samt oplysninger

Personer og oplysninger

Kategorier af registrerede

Der behandles oplysninger om følgende kategorier af personer:

- Elever

- Egu-vejleder (skoleansat eller tilknyttet UU-center, jobcenter eller kommunens egu-afdeling)

- Evt. kontakt og -type: Værge, Sagsbehandler, Indstiller, Visitator, UU-vejleder, Mentor   

...

- Identifikationsoplysninger, herunder cpr-nummer
- Karakterer og bedømmelse

- Undervisningsdeltagelse med angivelse af indhold og perioder

- Oplysninger om fravær, herunder begrundelse, såfremt der ikke er tale om fravær på grund af sygdom,
fængselsstraf eller lignende

...

om særlige undervisningsforanstaltninger og dispensationer fra undervisning, men ikke

...

begrundelsen herfor.

Omfatter databehandlingen følsomme eller almindelige personoplysninger?

...

Følsomme oplysninger:

Racemæssig eller etnisk baggrund, Politisk overbevisning, Religiøs overbevisning, Filosofisk overbevisning, Fagforeningsmæssige tilhørsforhold, Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol, sindssygdom, ordblindhed m.v., seksuelle forhold eller orientering.

...

...

Almindelige personoplysninger:

Væsentlige sociale problemer, andre rent private forhold, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon, navn, adresse, fødselsdato (identifikationsoplysning) 

...


...

Målgruppen for egu-uddannelsen er bl.a. udsatte unge. Der findes fritekstfelter i egu-portalen, hvor den uvidende administrative bruger kan komme til at indtaste følsomme

...

oplysninger på eleven for at kunnet tilrettelægge det bedst mulige egu-forløb for elev.

...

I udvalgte felter kan der fremgå helbredsoplysninger, der har væsentlig betydning for praktikopholdet, såfremt eleven udtrykkeligt har givet sit samtykke.

STIL har for at forebygge dette udarbejdet en sikkerhedsinstruks om ’Registrering og behandling af personoplysninger i fritekstfelter og (uploadede) dokumenter i egu-portalen’. (Sagsnr. 16/04488).

...

Jf. denne sikkerhedsinstruks må brugeren angive

...

:

- Identifikationsoplysninger, herunder cpr-nummer
- Karakterer og bedømmelse
- Undervisningsdeltagelse med angivelse af indhold og perioder
- Oplysninger om fravær, herunder begrundelse, såfremt der ikke er tale om fravær på grund af sygdom,
fængselsstraf eller lignende
- Oplysninger om særlige undervisningsforanstaltninger og dispensationer fra undervisning, men ikke
begrundelsen herfor.

- Desuden i udvalgte felter: Helbredsoplysninger, der har væsentlig betydning for praktikopholdet, såfremt eleven udtrykkeligt har givet sit samtykke.

- Men ikke: Racemæssig eller etnisk baggrund; politisk, religiøs eller filosofisk overbevisning; fagforeningsmæssigt tilhørsforhold; seksuelle forhold; strafbare forhold og væsentlige sociale problemer; interne familieforhold, f.eks. stridigheder, selvmordsforsøg og ulykkestilfælde; indtægts- og formueforhold.

Hvor længe opbevares personoplysninger i systemet?

Personoplysninger i egu-portalen af relevans for elevens uddannelsesforløb skal jf. STILs cikrulæreskrivelse opbevares i 4 år, hvor elevers notater og porteføljer slettes efter en kort karensperiode, når eleverne har fået status ’’gennemført’’ eller ’’afbrudt’’. Denne bestemmelse er imidlertid tilsidesat af Rigsarkivets cirkulære om aflevering af egu-portalen med data fra årene 2011-2018. Afleveringen er udsat til 2022, hvor egu-portalen lukker. Dette betyder, at egu-portalen p.t. rummer data fra alle år siden 2011.

...


Hvor stammer oplysningerne fra?

Alle data i egu-portalen indlæses eller indtastes af en skoleansat på en

...

institution med Forberedende Grunduddannelse eller en ansat tilknyttet

...

en kommunal ungeindsats, et jobcenter eller en kommunens egu-

...

enhed.

Data indtastes manuelt i systemet. Elevers stamdata (cpr-nummer, navn, adresse) kan indlæses på cpr-nummer via CPR-registeret (

...

folkeregisteraddresse) via en EASY-F-tabel. Der er direkte opslag/abonnementstegning ved nye og (for STILs systemer) ukendte elever.

CVR-data på virksomheder indlæses via Praktik+/EASY-P (formentlig fra EASY-P over Praktik+).

Nye arbejdssteder oprettes på baggrund af UVMs institutionsregisters data, dvs. kan kun oprettes, hvis de findes med sekscifret institutionskode i Institutionsregistret

...


Hvem har adgang til at se og behandle persondata i

...

systemet?

Eksternt: Alle data i egu-portalen hentes, indtastes eller redigeres af en skoleansat eller ansat tilknyttet et

...

en kommunal ungeindsats, et jobcenter eller en kommunens egu-

...

enhed. Adgang sker via

...

Uni-

...

login med en særlig

...

funktionskode efterfulgt af initial brugergodkendelse i portalen ved en administrator. Data afsendt til Ungedatabasen kan ses af

...

kommunale ungeindsatser m.v. på Tilbagemelding.dk. Input redigeres af portalens daglige brugere, dvs. skoleansatte og kommunalt ansatte.    

Modtagere

Modtagere af data fra egu-portalen er Ungedatabasen, Danmarks Statistik og siden februar 2017 Arbejdsgivernes Uddannelsesbidrag (AUB).

...

STIL overfører oplysninger til Arbejdsgivernes Uddannelsesbidrag i henhold til § 4 i egu-bonusordningen og til det fælles datagrundlag for unges uddannelse og beskæftigelse i henhold til § 15 d ungeindsatsloven.

Arbejdsgivernes Uddannelsesbidrag (AUB) modtager ugentligt data om virksomheders CVR-nr., navn og adresse, elevers cpr-nr., uddannelsesstart- og slutdato, praktikperiode, praktikindgåelsesdato, praktikafslutningsdato, evt. praktikafbrudsdato samt egu-vejlederes navn, telefonnr., e-mail. Disse data danner grundlag for udbetaling af egu-bonus til private virksomheder.

Ungedatabasen modtager automatisk indberetning af elevers uddannelsesstatus, dvs. cpr-nr., start- og slutdato, elevstatus (I gang, Afbrudt, Gennemført) m.v.

Sikkerhedsforanstaltninger

...

Sker der overførsler til tredjelande eller internationale organisationer?

Ja

Nej

 

Bemærkninger til overførsler til tredjelande eller internationale organisationer

Ingen bemærkninger

Generelle sikkerhedsforanstaltninger

Styrelsen for It og Læring autoriserer adgang for de personer i styrelsen, der har et arbejdsbetinget behov for at kunne tilgå personoplysninger i systemet. Styrelsen fører regelmæssig kontrol med, at kun personer med arbejdsbetinget behov kan tilgå personoplysninger i systemet. Styrelsen lukker straks en medarbejders adgang til oplysningerne, hvis autorisationen fratages eller udløber. Styrelsen for It og Læring sikrer, at disse personer har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
Som ansvarlig myndighed for systemet er Styrelsen for It og Læring ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Styrelsen foretager en risikovurdering og gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder blandet andet, alt efter hvad der er relevant, kryptering og logning.

Fastsættelsen af de omhandlede foranstaltninger sker under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Styrelsen for It og Læring sørger som minimum for at iværksætte følgende sikkerhedsforanstaltninger:

1) Styrelsen fastsætter interne retningslinjer for informationssikkerhed, herunder retningslinjer for organisatoriske forhold, logisk og fysisk sikring, herunder administration af adgangskontrolanordninger og autorisationsanordninger samt kontrol af autorisationer. Styrelsen instruerer de autoriserede medarbejdere i reglerne om interne arbejdsgange og sikkerhedsforanstaltninger, herunder sikkerhedsforanstaltninger ved evt. anvendelse af hjemmearbejdsplads og mobilt udstyr.

2) Styrelsen anvender et almindeligt anerkendt standardrammeværktøj, såsom ITIL, til at understøtte stabil og sikker drift.

STIL arbejder som følge heraf med:


...

3) Styrelsen etablerer et informationssikkerhedsledelsessystem baseret på ISO27001-standarden, herunder en it-sikkerhedspolitik, områdepolitikker, passende kontroller samt relevante retningslinjer og procedurer

...

- Pseudonomisering og kryptering i henhold til artikel 32 af GDPR hvor det vurderes relevant.

i forhold til informationssikkerheden.

 

...