Sidehistorik
| Indholdsfortegnelse |
|---|
...
System
Netprøver.dk
Dataansvarlig - Databehandler
Dataansvarlig myndighed
Skolerne, der udfører prøverne
Databehandler(e)
Styrelsen for It og Læring
Hvor opbevares personoplysningerne?
...
☒
...
Hos databehandler(e)
...
☐
...
Hos den dataansvarlige
...
☐
...
Begge ovenstående steder
Behandlingens formål og hjemmel
Formål
Netprøver.
Er der indgået en databehandleraftale med STIL?
...
☐
...
Ja
...
☒
...
Nej, se bemærkning
Bemærkninger til Dataansvarlig - Databehandler
Behovet for databehandleraftale mellem skolerne og styrelsen er afløftet gennem cirkulæreskrivelse der definerer styrelsens opgaver som databehandler. Der er indgået databehandleraftale mellem styrelsen og styrelsens leverandør
Databeskyttelsesrådgiveren (DPO)
Karsten Vest Nielsen, DPO@UVM.DK
Betegnelse og formål
Databehandlingens betegnelse og formål
Netprøver.dk digitaliserer den samlede proces for prøveafvikling på de gymnasiale uddannelser – lige fra opgavesættet gøres tilgængeligt for eleverne, til eleverne afleverer besvarelsen, til besvarelsen plagiatkontrolleres og censorerne afgiver bedømmelse, og til karakteren overføres til skolernes administrative systemer, som danner eksamensbeviserne. NetprøverNetprøver.dk benyttes ved afvikling af de centralt stillede skriftlige prøver, studieretningsprojekter og de større skriftlige prøver på de gymnasiale uddannelser.
Med NetprøverNetprøver.dk sikres det, at prøveafviklingen foregår på en ensartet, kontrolleret måde på tværs af institutionerne og deres lokale it-setup, hvilket er vigtigt eftersom afvikling af prøver er en forretningskritisk proces for uddannelsessektoren og for Undervisningsministeriet.
NetprøverNetprøver.dk har samtidigt fjernet tidligere tiders papirbaserede, manuelle arbejdsgange og store udgifter til forsendelse.
Databehandlingens formålskategori
...
1. Administrative formål
Dvs. databehandlingerne i systemet anvendes på en måde, der har betydning for de registrerede personer (elever, ansatte etc.).
...
☒
...
2. Statistik
Dvs. databehandlingerne i systemet finder sted i videnskabelig eller statistisk øjemed. Der skal også krydses af her, hvis data som allerede er indsamlet under 1. anvendes til statistik.
...
☐
...
3. Begge dele/både 1 og 2
...
☐
Styrelsen for It og Læring stiller som databehandler det digitale prøveafviklingssystem Netprøver til rådighed for de uddannelsesinstitutioner og gymnasiale afdelinger på voksenuddannelsescentre, som er forpligtet til at benytte det digitale prøveafviklingssystem i henhold til de af ministeriet fastsatte retningslinjer, jf. § 5 i Bekendtgørelse om prøver og eksamen i de almene og studieforberedende ungdoms- og voksenuddannelser (almen eksamensbekendtgørelsen), og som er ansvarlig over for undervisningsministeriet for overholdelse af prøver og eksamen ved institutionen jf. bekendtgørelsens § 4.
De administrative opgaver, der udføres i Netprøver i henhold til almen eksamensbekendtgørelsen såsom adgangs- og rettighedsstyring til systemet, bedømmelser og karaktergivning samt plagiatkontrol, udføres af medarbejdere på den enkelte uddannelsesinstitution. Den uddannelsesinstitution, der indlæser en personoplysning i det digitale prøveafviklingssystem Netprøver, er derfor dataansvarlig for denne personoplysning.
Styrelsen for It og Lærings persondatabehandling består således i at stille et system til rådighed og heri opbevare persondata i Netprøver samt overføre karakterer til de studieadministrative systemer på vegne af de dataansvarlige med det formål at understøtte de opgaver som uddannelsesinstitutionerne har i forbindelse med deres ansvar for afvikling af prøver og eksamener.
Hjemmel for Styrelsen for It og Lærings databehandling
§§ 4 og 5 i Bekendtgørelse om prøver og eksamen i de almene og studieforberedende ungdoms- og voksenuddannelser
Dataansvarlig - Databehandler
Dataansvarlig myndighed
Uddannelsesinstitutioner
Databehandler
Styrelsen for It og Læring
STILs eventuelle (under)databehandler - udvikling
CGI
STILs eventuelle (under)databehandler – drift, vedligehold
Amazon Web Services (cloud)
Personer og personoplysninger
Kategorier af registrerede og kategorier af personoplysninger, der behandles i systemet
Styrelsen for It og Læring behandler på vegne af uddannelsesinstitutionerne personoplysninger i Netprøver om elever, censorer og medarbejdere på uddannelsesinstitutioner.
Styrelsen behandler ikke følsomme personoplysninger omfattet af databeskyttelsesforordningens artikel 9. De personoplysninger som styrelsen behandler, omfatter karakterer og eksamensbesvarelser samt CPR-nummer med henblik på entydig identifikation.
Hvor længe opbevares personoplysninger i systemet?
Det er planen, at udvikle en funktion, hvor personoplysninger i Netprøver slettes 12 måneder efter registreringen.
Vi er lige pt i dialog med Rigsarkivet, som ønsker at vi arkiverer oplysninger hos dem. Derfor er vi ikke klar til at slette endnu.
Datakilder
Personer og oplysninger
Kategorier af registrerede
Der behandles oplysninger om følgende kategorier af personer:
A) Elever
B) Censorer
C) Administrativt personale ved institutionerne
Omfatter databehandlingen følsomme eller almindelige personoplysninger?
...
Følsomme oplysninger:
Racemæssig eller etnisk baggrund, Politisk overbevisning, Religiøs overbevisning, Filosofisk overbevisning, Fagforeningsmæssige tilhørsforhold, Helbredsforhold, herunder misbrug af medicin, narkotika, alkohol, sindssygdom, ordblindhed m.v., seksuelle forhold eller orientering.
...
☐
...
Almindelige personoplysninger:
Væsentlige sociale problemer, andre rent private forhold, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato, stilling, arbejdsområde, arbejdstelefon, navn, adresse, fødselsdato (identifikationsoplysning)
...
☒
...
Der behandles følgende typer af oplysninger om de ovenfor angivne kategorier af personer:
ad A) 1) Cpr.nr., 2) Indhold af besvarelser ved eksamen i de gymnasiale uddannelser, 3) Karakterer
ad B) 1) Cpr.nr.
...
og datamodtagere
Hvor stammer oplysningerne fra?
Oplysningerne i Netprøver.dk Oplysninger om cpr. nr. overføres fra XPRS, som er ministeriets eksamensadministrative system XPRS, der har modtaget oplysningerne fra institutionernes administrative systemer. XPRS har modtaget oplysningerne om elever og vejledere fra institutionernes administrative systemer. XPRS beriger disse oplysninger med eksterne censorer. Skolerne kan i visse tilfælde ændre på censoroplysningerne. Skolerne har endvidere mulighed for at indtaste brugere direkte i NetprøverNetprøver.dk eller ved at skolerne indlæser brugere via et regneark.
Hvem har adgang til at se og behandle persondata i
...
systemet?
...
Følgende kategorier af administrativt personale ved institutionerne har adgang til persondata i Netprøver.dk: Eksamensansvarlige, prøveansvarlige, prøvevagter, brugeradministratorer og it-ansvarlige. Herudover har vejledere og censorer adgang til persondata.
Følgende kontor i Styrelsen for Undervisning og Kvalitet har adgang til persondata i Netprøver.dk: Kontor for Prøver, Eksamen og Test.
Modtagere
Der overføres ikke data til tredjeparter.
Sikkerhedsforanstaltninger
.
Modtagere
Der er udviklet en webservice, således at skolernes administrative systemer kan hente de endelige karakterer for elevernes skriftlige besvarelser. Eleverne besvarelser overføres ikke til skolernes administrative systemer.
Sker der overførsler til tredjelande eller internationale organisationer?
Ja | ☐ |
Nej | ☒ |
Bemærkninger til overførsler til tredjelande eller internationale organisationer
Data opbevares hos AWS i Irland.
Generelle sikkerhedsforanstaltninger
Styrelsen for It og Læring autoriserer adgang for de personer i styrelsen, der har et arbejdsbetinget behov for at kunne tilgå personoplysninger i systemet. Styrelsen fører regelmæssig kontrol med, at kun personer med arbejdsbetinget behov kan tilgå personoplysninger i systemet. Styrelsen lukker straks en medarbejders adgang til oplysningerne, hvis autorisationen fratages eller udløber. Styrelsen for It og Læring sikrer at disse personer har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
Som ansvarlig myndighed for systemet er Styrelsen for It og Læring ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Styrelsen foretager en risikovurdering og gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder blandet andet, alt efter hvad der er relevant, kryptering og logning.
Fastsættelsen af de omhandlede foranstaltninger sker under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Styrelsen for It og Læring sørger som minimum for at iværksætte følgende sikkerhedsforanstaltninger:
1) Styrelsen fastsætter interne retningslinjer for informationssikkerhed, herunder retningslinjer for organisatoriske forhold, logisk og fysisk sikring, herunder administration af adgangskontrolanordninger og autorisationsanordninger samt kontrol af autorisationer. Styrelsen instruerer de autoriserede medarbejdere i reglerne om interne arbejdsgange og sikkerhedsforanstaltninger, herunder sikkerhedsforanstaltninger ved evt. anvendelse af hjemmearbejdsplads og mobilt udstyr.
2) Styrelsen anvender et almindeligt anerkendt standardrammeværktøj, såsom ITIL, STIL har som statslig myndighed pligt til at arbejde med it-sikkerhed og databeskyttelse efter ISO 27001 ledelsesstandarden for informationssikkerhed. Derudover anvendes ITIL som standardrammeværktøj af STIL til at understøtte stabil og sikker drift.
STIL arbejder som følge heraf med:
...
3) Styrelsen etablerer et informationssikkerhedsledelsessystem baseret på ISO27001-standarden, herunder en it-sikkerhedspolitik, områdepolitikker, passende kontroller samt relevante retningslinjer og procedurer
...
i forhold til informationssikkerheden.