Sidehistorik
System
| Indholdsfortegnelse |
|---|
Produkt/system
Egu-Portalen
Dataansvarlig - Databehandler
Dataansvarlig myndighed
Institutionerne og kommunerne som anvender EGU-Portalen
Databehandler(e)
Styrelsen for IT og Læring
Hvor opbevares personoplysningerne?
...
☒
...
Hos databehandler(e)
...
☐
...
Hos den dataansvarlige
...
☐
...
Begge ovenstående steder
Behandlingens formål og hjemmel
Formål
Er der indgået en databehandleraftale med STIL?
...
☐
...
Ja
...
☒
...
Nej, se bemærkning
Bemærkninger til Dataansvarlig - Databehandler
Behovet for databehandleraftale mellem institutionerne og styrelsen er afløftet via cirkulæreskrivelse, som definerer styrelsens opgaver som databehandler. STIL har indgået databehandleraftale med underdatabehandler
Databeskyttelsesrådgiveren (DPO)
Karsten Vest Nielsen, DPO@UVM.DK
Betegnelse og formål
...
Egu-portalen er et studieadministrativt system til elevadministration på erhvervsgrunduddannelsen (egu), hvor målgruppen er udsatte unge. Egu-portalen bruges af UU-centre, jobcentre og egu-vejledere på produktionsskoler til oprettelse og vedligehold af egu-elevernes uddannelsesplaner
...
En erhvervsgrunduddannelse varer to år og indeholder meget praktik og forholdsvis lidt teori. Forløbet kan sammensættes af dele af uddannelser fra forskellige skoleformer. Uddannelsen er kommunalt forankret og giver ret til dagpenge efter gennemførelse.
...
. Pr. 1. august 2019 overtages produktionsskolernes aktivitet af i alt 27 FGU-institutioner, som administrerer den forberedende grunduddannelse, herunder erhvervsgrunduddannelse på et egu-spor. Disse FGU-institutioner vil også skulle administrere de egu-forløb i egu-portalen, der varetoges af produktionsskoler indtil 1. august 2019, indtil sidste egu-optag afsluttes senest i 2022.
Egu-portalen bruges til dagligt administrativt arbejde i forbindelse med tilrettelæggelse og gennemførelse af den enkelte elevs
...
Databehandlingens formålskategori
...
1. Administrative formål
Dvs. databehandlingerne i systemet anvendes på en måde, der har betydning for de registrerede personer (elever, ansatte etc.).
...
☐
...
2. Statistik
Dvs. databehandlingerne i systemet finder sted i videnskabelig eller statistisk øjemed. Der skal også krydses af her, hvis data som allerede er indsamlet under 1. anvendes til statistik.
...
☐
...
3. Begge dele/både 1 og 2
...
☒
erhvervsgrunduddannelse efter lov om erhvervsgrunduddannelse - herunder fx at oprette og vedligeholde elevernes uddannelsesplaner. Egu-portalen er herudover grundlag for Børne- og Undervisningsministeriets statistikker på egu-området, og det er derfor krævet at anvende systemet indenfor egu-området for de elever, der gennemfører deres egu efter lov om erhvervsgrunduddannelse.
Egu-portalen har ca. 350 aktive brugere.
Centrale funktioner:
• Oprettelse af elevers stamdata og uddannelsesplaner
• Oprettelse af undervisningsaktiviteter på hold (skole- og praktikforløb)
• Oprettelse af arbejdssedler ifm. praktik på værkstedsskole
• Udskrivning af uddannelsesplaner, praktikaftaler og beviser
• CSV-udtræk med udvalgte data
• Understøttelse af egu-bonusordningen
Hjemmel for Styrelsen for It og Lærings databehandling
§§ 1 og 15 i Bekendtgørelse af lov om erhvervsgrunduddannelser mv.
Dataansvarlig - Databehandler
Dataansvarlig myndighed
Uddannelsesinstitutioner og kommuner
Databehandler
Styrelsen for It og Læring
STILs eventuelle (under)databehandler - udvikling
CGI
STILs eventuelle (under)databehandler – drift, vedligehold
Ingen – STIL drifter selv systemet
Personer og personoplysninger
Kategorier af registrerede og kategorier af personoplysninger, der behandles i systemet
Styrelsen for It og Læring behandler på vegne af uddannelsesinstitutionerne og kommuner personoplysninger i egu-portalen om elever på erhvervsgrunduddannelsen, egu-vejledere og elevers værger og kontaktpersoner.
Styrelsen behandler almindelige og følsomme personoplysninger omfattet af databeskyttelsesforordningens artikel 6 og 9. De personoplysninger som styrelsen behandler, omfatter CPR-nummer med henblik på entydig identifikation, karakterer, bedømmelser, oplysninger om undervisningsdeltagelse med angivelse af indhold og perioder, fraværsoplysninger og fraværsbegrundelser medmindre fraværsbegrundelsen skyldes sygdom eller fængselsstraf samt oplysninger
Personer og oplysninger
Kategorier af registrerede
Der behandles oplysninger om følgende kategorier af personer:
- Elever
- Egu-vejleder (skoleansat eller tilknyttet UU-center, jobcenter eller kommunens egu-afdeling)
- Evt. kontakt og -type: Værge, Sagsbehandler, Indstiller, Visitator, UU-vejleder, Mentor
...
- Identifikationsoplysninger, herunder cpr-nummer
- Karakterer og bedømmelse
- Undervisningsdeltagelse med angivelse af indhold og perioder
- Oplysninger om fravær, herunder begrundelse, såfremt der ikke er tale om fravær på grund af sygdom,
fængselsstraf eller lignende
...
om særlige undervisningsforanstaltninger og dispensationer fra undervisning, men ikke
...
begrundelsen herfor
...
Omfatter databehandlingen følsomme eller almindelige personoplysninger?
Følsomme oplysninger:
...
.
...
☐
Væsentlige sociale problemer, andre rent private forhold, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon, navn, adresse, fødselsdato (identifikationsoplysning)
...
☒
...
Målgruppen for egu-uddannelsen er bl.a. udsatte unge. Der findes fritekstfelter i egu-portalen, hvor den uvidende administrative bruger kan komme til at indtaste
...
personfølsomme oplysninger på eleven for at kunnet tilrettelægge det bedst mulige egu-forløb for elev
...
.
...
STIL har for at forebygge dette udarbejdet en sikkerhedsinstruks om ’Registrering og behandling af personoplysninger i fritekstfelter og (uploadede) dokumenter i egu-portalen’ (Sagsnr. 16/04488).
...
Jf. denne sikkerhedsinstruks må brugeren angive
...
:
- Identifikationsoplysninger, herunder cpr-nummer
- Karakterer og bedømmelse
- Undervisningsdeltagelse med angivelse af indhold og perioder
- Oplysninger om fravær, herunder begrundelse, såfremt der ikke er tale om fravær på grund af sygdom,
fængselsstraf eller lignende
- Oplysninger om særlige undervisningsforanstaltninger og dispensationer fra undervisning, men ikke
begrundelsen herfor.
- Desuden i udvalgte felter: Helbredsoplysninger, der har væsentlig betydning for praktikopholdet, såfremt eleven udtrykkeligt har givet sit samtykke.
- Men ikke: Racemæssig eller etnisk baggrund; politisk, religiøs eller filosofisk overbevisning; fagforeningsmæssigt tilhørsforhold; seksuelle forhold; strafbare forhold og væsentlige sociale problemer; interne familieforhold, f.eks. stridigheder, selvmordsforsøg og ulykkestilfælde; indtægts- og formueforhold.
Hvor længe opbevares personoplysninger i systemet?
Personoplysninger i egu-portalen af relevans for elevens uddannelsesforløb opbevares i 4 år. Dog slettes elevers notater og porteføljer efter en kort karensperiode, når eleverne har fået status ’’gennemført’’ eller ’’afbrudt’’.
Datakilder
...
og datamodtagere
Hvor stammer oplysningerne fra?
Alle data i egu-portalen indlæses eller indtastes af en skoleansat på en produktionsskole eller ansat tilknyttet et UU-center, et jobcenter eller en kommunens egu-afdeling.
Data indtastes manuelt i systemet. Elevers stamdata (cpr-nummer, navn, adresse) kan indlæses på cpr-nummer via CPR-registeret (folkeregisteradresse) via en EASY-F-tabel. Der er direkte opslag/abonnementstegning ved nye og (for STILs systemer) ukendte elever.
CVR-data på virksomheder indlæses via Praktik+/EASY-P (formentlig fra EASY-P over Praktik+).
Nye arbejdssteder oprettes på baggrund af UVMs institutionsregisters data, dvs. kan kun oprettes, hvis de findes med sekscifret institutionskode i Institutionsregistret
...
Hvem har adgang til at se og behandle persondata i
...
systemet?
Alle data i egu-portalen hentes, indtastes eller redigeres af en skoleansat eller ansat tilknyttet et UU-center, et jobcenter eller en kommunens egu-afdeling. Adgang sker via
...
Unilogin med en særlig
...
funktionskode efterfulgt af initial brugergodkendelse i portalen ved en administrator. Data afsendt til Ungedatabasen kan ses af medarbejdere i den kommunale ungeindsats (tidligere UU-centre
...
) på Tilbagemelding.dk. Input redigeres af portalens daglige brugere, dvs. skoleansatte og kommunalt ansatte. Skoleansatte kan trække udvalgte data ud af portalen i regneark (CSV-filer).
Modtagere
Modtagere af data fra egu-portalen er Ungedatabasen, Danmarks Statistik og siden februar 2017 Arbejdsgivernes Uddannelsesbidrag (AUB). STIL overfører oplysninger til Arbejdsgivernes Uddannelsesbidrag i henhold til § 4 i egu-bonusordningen og til det fælles datagrundlag for unges uddannelse og beskæftigelse i henhold til § 15 d ungeindsatsloven.
Danmarks Statistik modtager årligt oplysninger om egu-elever fra STILs Center for Data og Analyse (CDA), dvs. cpr-nr., start- og slutdato på uddannelsen, afbrudsårsagskode (herunder oplysning om gennemførelse), institution, EUD-fællesindgang/hovedområder m.v.
Arbejdsgivernes Uddannelsesbidrag (AUB) modtager ugentligt data om virksomheders CVR-nr., navn og adresse, elevers cpr-nr., uddannelsesstart- og slutdato, praktikperiode, praktikindgåelsesdato, praktikafslutningsdato, evt. praktikafbrudsdato samt egu-vejlederes navn, telefonnr., e-mail. Disse data danner grundlag for udbetaling af egu-bonus til private virksomheder.
Ungedatabasen modtager automatisk indberetning af elevers uddannelsesstatus, dvs. cpr-nr., start- og slutdato, elevstatus (I gang, Afbrudt, Gennemført) m.v.
...
Sikkerhedsforanstaltninger
...
Sker der overførsler til tredjelande eller internationale organisationer?
Ja | ☐ |
Nej | ☒ |
Bemærkninger til overførsler til tredjelande eller internationale organisationer
Ingen bemærkninger
Generelle sikkerhedsforanstaltninger
Styrelsen for It og Læring autoriserer adgang for de personer i styrelsen, der har et arbejdsbetinget behov for at kunne tilgå personoplysninger i systemet. Styrelsen fører regelmæssig kontrol med, at kun personer med arbejdsbetinget behov kan tilgå personoplysninger i systemet. Styrelsen lukker straks en medarbejders adgang til oplysningerne, hvis autorisationen fratages eller udløber. Styrelsen for It og Læring sikrer, at disse personer har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
Som ansvarlig myndighed for systemet er Styrelsen for It og Læring ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Styrelsen foretager en risikovurdering og gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder blandet andet, alt efter hvad der er relevant, kryptering og logning.
Fastsættelsen af de omhandlede foranstaltninger sker under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Styrelsen for It og Læring sørger som minimum for at iværksætte følgende sikkerhedsforanstaltninger:
1) Styrelsen fastsætter interne retningslinjer for informationssikkerhed, herunder retningslinjer for organisatoriske forhold, logisk og fysisk sikring, herunder administration af adgangskontrolanordninger og autorisationsanordninger samt kontrol af autorisationer. Styrelsen instruerer de autoriserede medarbejdere i reglerne om interne arbejdsgange og sikkerhedsforanstaltninger, herunder sikkerhedsforanstaltninger ved evt. anvendelse af hjemmearbejdsplads og mobilt udstyr.
2) Styrelsen anvender et almindeligt anerkendt standardrammeværktøj, såsom ITIL, til at understøtte stabil og sikker drift.
STIL arbejder som følge heraf med:
...
3) Styrelsen etablerer et informationssikkerhedsledelsessystem baseret på ISO27001-standarden, herunder en it-sikkerhedspolitik, områdepolitikker, passende kontroller samt relevante retningslinjer og procedurer
...
- Pseudonomisering og kryptering i henhold til artikel 32 af GDPR hvor det vurderes relevant.
i forhold til informationssikkerheden.
...