Versioner sammenlignet

Nøgle

  • Linjen blev tilføjet.
  • Denne linje blev fjernet.
  • Formatering blev ændret.

tocSystem

Produkt/system

EASY - A og EASY - F

Dataansvarlig - Databehandler

Dataansvarlig myndighed

Institutionerne, der anvender EASY-A og som bruger personoplysninger i EASY-F

Databehandler(e)

Styrelsen for It og Læring

Hvor opbevares personoplysningerne?

...

...

Hos databehandler(e)

...

...

Hos den dataansvarlige

...

...

Begge ovenstående steder

Behandlingens formål og hjemmel

Formål

Er der indgået en databehandleraftale med STIL?

...

...

Ja

...

...

Nej, se bemærkning

Bemærkninger til Dataansvarlig - Databehandler

Behovet for databehandleraftale mellem institutionerne og styrelsen er afløftet ved cirkulæreskrivelse, hvor styrelsens opgaver er defineret. Styrelsen har en databehandleraftale med sin leverandør.

Databeskyttelsesrådgiveren (DPO)

Karsten Vest Nielsen, DPO@UVM.DK

Betegnelse og formål

Databehandlingens betegnelse og formål

EASY-A er en studieadministrativ applikation som primært anvendes på institutioner for erhvervsrettet uddannelse og hos enkelte private leverandører af uddannelse (fx køreskoler). EASY-A anvendes til administration af elever, studerende og kursister på mere end 100 forskellige uddannelser bl.a. erhvervsuddannelser, erhvervsgymnasiale uddannelser, AMU-uddannelser og Åben Uddannelse. Udover Ud over skolens egen, daglige administration kan systemet foretage elektroniske indberetninger til andre myndigheder, og flere andre systemer henter data herfra. EASY-A bruges primært af erhvervsskolernes administrative medarbejdere. EASY-A har bl.a. til formål at kunne levere rapporteringer til diverse myndigheder og at støtte Brugerinstitutionernes indbyrdes dataudvekslinger, og Systemet har derfor grænseflader til disse myndigheders og Brugerinstitutioners Systemer. Derudover har EASY-A grænseflader til de øvrige centralt udviklede administrative systemer, som anvendes på erhvervsskolerne.

Med EASY-A kan skolerne bl.a. administrere:

-          Elever og kursister på langt over 100 forskellige uddannelser

-          Hold og holdplaceringer

-          Lærere, inkl. arbejdstidsregler og tidsregnskab

-          Lokaler og udstyr

-          Fagfordeling og skemaer

-          Karakterer og meritter.

Systemet kan endvidere:

-          Give opgørelser over lærernes faktiske arbejdstid på årsbasis

-          Give elektroniske indberetninger til Undervisningsministeriet af tilskudsudløsende aktiviteter

-          Give elektroniske indberetninger til Undervisningsministeriet, der understøtter ministeriets eksamens- og censoradministration

-          Give elektroniske indberetninger til en række andre myndigheder (AUB, SLS...)

-          Give adgang til skolens database ved hjælp af web-services.

Data fra EASY-A benyttes som datagrundlag for en række tilgrænsende studiesystemer, f.eks. Elevplan, EfterUddannelse.dk etc.

EASY-F er en central installation af EASY-A, der anvendes som kommunikationshub og som indeholder centralt definerede oplysninger, som f.eks. CVR- og CPR-data, uddannelsesmodeller og skoleoplysninger. Det er således en F er en fælles database, der anvendes til opsamling og distribution af data til institutionerne.

Databehandlingens formålskategori

...

1. Administrative formål
Dvs. databehandlingerne i systemet anvendes på en måde, der har betydning for de registrerede personer (elever, ansatte etc.).

...

...

2. Statistik
Dvs. databehandlingerne i systemet finder sted i videnskabelig eller statistisk øjemed. Der skal også krydses af her, hvis data som allerede er indsamlet under 1. anvendes til statistik.

...

...

3. Begge dele/både 1 og 2

...

EASY-F varetager central dataudveksling og data distribution for EASY-A og EASY-P (institutionerne er selvstændigt dataansvarlige for disse to). EASY-F er centralt placeret hos STIL. EASY-F anvendes bl.a. i forbindelse med abonnement på CPR- og CVR-oplysninger, hvor EASY-F videredistribuerer disse oplysninger til EASY-P og de relevante EASY-A baser. EASY-F bruges desuden til distribution af centrale data, som oprettes og vedligeholdes af STIL som fx skoler (institutionsnumre), kommunekoder, postnumre, sprog samt til forskellige kommunikationsformål (uddannelsesaftaler mellem EASY-A og EASY-P, eksamensbeviser mellem EASY-A og Eksamensdatabasen, kommunebrevsoplysninger mellem EASY-A og et website samt kommunikation med Optagelse.dk).

Styrelsen for It og Lærings persondatabehandling består således i at stille et system til rådighed og heri opbevare persondata samt overføre oplysninger til institutionernes øvrige administrative systemer til brug for styrelsens myndighedsudøvelse og for institutionernes opgaveløsning.

 

Hjemmel for Styrelsen for It og Lærings databehandling

§ 31 i lov om institutioner for erhvervsrettet uddannelse for så vidt angår behandling af personoplysninger i EASY A og EASY F

 Dataansvarlig - Databehandler

Dataansvarlig myndighed
Uddannelsesinstitutioner

Databehandler

Styrelsen for It og Læring

 

STILs eventuelle (under)databehandler - udvikling

CGI

STILs eventuelle (under)databehandler – drift, vedligehold

Ingen – STIL drifter selv systemet

Personer og personoplysninger

Kategorier af registrerede og kategorier af personoplysninger, der behandles i systemet

 

Personer og oplysninger

Der registreres personoplysninger om
a) Elever: stamoplysninger (navn, alder cpr-nummer, mail, telefonnummer). Karakterer, uddannelsesforløb, skole- og uddannelsesoplysninger.
b) Værger: stamoplysninger
c) Medarbejdere: stamoplysninger
d) Censorer: stamoplysninger

Omfatter databehandlingen følsomme eller almindelige personoplysninger?

...

Følsomme oplysninger:

Racemæssig eller etnisk baggrund, Politisk overbevisning, Religiøs overbevisning, Filosofisk overbevisning, Fagforeningsmæssige tilhørsforhold, Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol, sindssygdom, ordblindhed m.v., seksuelle forhold eller orientering.

...

Almindelige personoplysninger:

Væsentlige sociale problemer, andre rent private forhold, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon, navn, adresse, fødselsdato (identifikationsoplysning) 

...

Styrelsen for It og Læring behandler på vegne af de uddannelsesinstitutioner, der anvender EASY A, personoplysninger om disse institutioners elever, elevernes værger, medarbejdere og censorer.

Styrelsen behandler almindelige personoplysninger omfattet af databeskyttelsesforordningens artikel 6. De personoplysninger som styrelsen behandler om elever omfatter stamoplysninger (CPR-nummer, navn, alder og kontaktoplysninger), skole- og uddannelsesoplysninger samt karakterer. De personoplysninger som styrelsen behandler om elevers værger og censorer omfatter stamoplysninger. De personoplysninger som styrelsen behandler om institutionens medarbejdere omfatter stamoplysninger, timeregnskab- og lønoplysninger samt øvrige oplysninger relateret til medarbejderens arbejde såsom skema, arbejdstidsaftaler og kompetencer.

EASY-A indeholder en række oplysninger, som beskriver elevernes ophold på skolen med henblik på undervisning og/eller skolepraktik. Disse oplysninger danner grundlag for beregning af årselevbidrag og AUB



Der findes fritekstfelter i EASY A, hvor undervisere kan angive begrundelse for fravær. Alt efter hvor konkret en eventuelt sygefravær er begrundet kan det eventuelt karakteriseres som en helbredsoplysning. Der er dog ikke behov for at angive selve sygdommen, og skolerne instruerer deres medarbejdere i at angive generelle termer som ’’syg’’, ’’session’’, ’’barn syg’’ osv.

...

Hvor længe opbevares personoplysninger i systemet?

Personoplysninger i EASY A slettes 1 år efter systemets udfasning. Personoplysninger i EASY F slettes ikke af hensyn til sikring af dokumentation for uddannelsesaftaler og uddannelsesbevis.

Datakilder og datamodtagere

Hvor stammer oplysningerne fra?

Oplysningerne indtastes direkte i EASY-A, kommer fra Optagelse.dk eller stammer fra CPR-registeret.  Elevernes adresseoplysninger vedligeholdes elektronisk gennem daglige overførsler fra CPR. Data, såsom uddannelsesaftaler, kan også stamme fra EASY-kompleksets øvrige systemer, bl.a. Elevplan, EASY-P og Efteruddannelse.dk samt EASY-kompleksets øvrige systemer, herunder EASY-P. EASY-A henter grunddata fra Undervisningsministeriet, CPR- og CVR-registeret vedr. hhv. uddannelserne, person- og virksomhedsoplysninger. Lærernes lønoplysninger vedligeholdes elektronisk gennem periodiske overførsler fra SLS.

 

Hvem har adgang til at se og behandle persondata i

...

systemet?

De primære brugere (ca. 3.000) af EASY-A er administrative medarbejdere på erhvervsskolerne og erhvervsakademierne. Den enkelte bruger kan præge EASY-As udvikling ved at melde brugerønsker ind. De af skolen autoriserede administrative personer har adgang til den pågældende skoles data. Institutionerne er underlagt Bekendtgørelse af lov om institutioner for erhvervsrettet uddannelse. Det er op til institutionerne at sikre retmæssigt adgang til personale med legitimt behov. Medarbejderen skal være oprettet som bruger af skolens administrator.

Modtagere

Interne modtagere (UVM)
EASY-A sender oplysninger til følgende systemer, der administreres af STIL bl.a.:
- CØSA (årselevindberetninger)
- XPRS (eksamensadministration)
- Eksamensdatabasen (karakterer)
- Efteruddannelse.dk (oplysninger om AMU-kursisters kursusdeltagelse)
- EASY-P (oplysninger om kommende praktikpladssøgende elever)
- Elevplan.DK (oplysninger om lærere og elever)
- EASY-S/DVH (statistikoplysninger)
- Ungedatabasen (oplysninger om elever)


EASY-A videregiver oplysninger til følgende:
- Styrelsen for Arbejdsmarked og Rekruttering (statistiske oplysninger og tilskudsudløsende oplysninger vedr. skolens AMU-kursister)
- Navision Stat (økonomi)
- Danmarks Statistik (oplysninger om fuldtidselever, åben uddannelseselever og brobygningselever)
- Arbejdsmarkedets Tillægspension
- SU (oplysninger om personers indskrivning og afgangsmelding på uddannelser)

Sikkerhedsforanstaltninger

Sker der overførsler til tredjelande eller internationale organisationer?

Ja

Nej

 

Bemærkninger til overførsler til tredjelande eller internationale organisationer

Ingen bemærkninger

 

Generelle sikkerhedsforanstaltninger

Styrelsen for It og Læring autoriserer adgang for de personer i styrelsen, der har et arbejdsbetinget behov for at kunne tilgå personoplysninger i systemet. Styrelsen fører regelmæssig kontrol med, at kun personer med arbejdsbetinget behov kan tilgå personoplysninger i systemet. Styrelsen lukker straks en medarbejders adgang til oplysningerne, hvis autorisationen fratages eller udløber. Styrelsen for It og Læring sikrer at disse personer har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
Som ansvarlig myndighed for systemet er Styrelsen for It og Læring ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Styrelsen foretager en risikovurdering og gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder blandet andet, alt efter hvad der er relevant, kryptering og logning.

Fastsættelsen af de omhandlede foranstaltninger sker under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Styrelsen for It og Læring sørger som minimum for at iværksætte følgende sikkerhedsforanstaltninger:

1) Styrelsen fastsætter interne retningslinjer for informationssikkerhed, herunder retningslinjer for organisatoriske forhold, logisk og fysisk sikring, herunder administration af adgangskontrolanordninger og autorisationsanordninger samt kontrol af autorisationer. Styrelsen instruerer de autoriserede medarbejdere i reglerne om interne arbejdsgange og sikkerhedsforanstaltninger, herunder sikkerhedsforanstaltninger ved evt. anvendelse af hjemmearbejdsplads og mobilt udstyr.

2) Styrelsen anvender et almindeligt anerkendt standardrammeværktøj, såsom ITIL, STIL har som statslig myndighed pligt til at arbejde med it-sikkerhed og databeskyttelse efter ISO 27001 ledelsesstandarden for informationssikkerhed. Derudover anvendes ITIL som standardrammeværktøj af STIL til at understøtte stabil og sikker drift.

STIL arbejder som følge heraf med:


- Et it-sikkerhedsledelsessystem jf. ISO27001 3) Styrelsen etablerer et informationssikkerhedsledelsessystem baseret på ISO27001-standarden, herunder en it-sikkerhedspolitik, områdepolitikker, passende kontroller samt relevante retningslinjer og procedurer og passende kontroller jf. ISO27002- Pseudonomisering og kryptering i henhold til artikel 32 af GDPR hvor det vurderes relevant.i forhold til informationssikkerheden.