Sidehistorik

Formål

EDUP er et beskedudvekslingssystem til brug for sektorens uddannelsesinstitutioner i forbindelse med deres håndtering af den tværgående uddannelsesadministration. EDUP muliggøre udveksling af data på tværs af uddannelsesinstitutioner – herunder også på tværs af studieadministrative systemer.

Styrelsen for It og Lærings persondatabehandling består i at tage imod beskeder, opbevare disse, samt sikre at disse alene kan afhentes af beskedens retmæssige modtager.

Beskedudvekslingen sker asynkront og løst koblet mellem uddannelsesinstitutionernes studieadministrative systemer, hvilket gør det muligt for uddannelsesinstitutionerne at hente og sende data på eget initiativ.

Kommunikation til og fra EDUP sker udelukkende ved brug af webservicekald via STILs integrationsplatform.

De administrative opgaver som EDUP understøtter udføres af medarbejdere på de enkelte uddannelsesinstitutioner. Den uddannelsesinstitution, der indlæser en personoplysning i dens studieadministrative system, som herefter transmitteres til EDUP, er derfor dataansvarlig for denne personoplysning.

EDUP understøtter udveksling af data på følgende områder

System

EDUP – ElevDataUdvekslingsPunkt

Behandlingens formål og hjemmel

Formål

En infrastrukturkomponent, der kan muliggøre, at en uddannelsesinstitution kan udveksle data med en anden uddannelsesinstitution, uden at forholde sig til dennes valg af studieadministrativ løsning.

Den nødvendige dataudveksling til brug for den tværgående uddannelsesadministration omfatter i udgangspunktet oplysninger vedrørende:

- Elevflytning, dvs. når en elev flytter fra en institution til en anden.

- Elevudlån, dvs. når en elev tager dele af sin uddannelse på en anden institution.

- Elevdeling, dvs. når en elev får undervisning på to forskellige institutioner ifm. uddannelsen, fx når erhvervsuddannelseselever har gymnasiale fag, der gennemføres på et nærliggende teknisk gymnasium.

- Booking af skolehjem, dvs. booking af skolehjemsværelse for erhvervsuddannelseselever , der bor langt fra deres uddannelsesinstitution.

- AMU-udlån, dvs. når en institution udlåner en AMU-godkendelse til en anden institution og herefter skal udveksle data til brug for indberetning af tilskudsudløsende aktiviteter.I medfør af Initiativ 3.4 i Den fællesoffentlige digitaliseringsstrategi 2016-2020 stiller Styrelsen for It og Læring som databehandler den digitale infrastrukturkomponent EDUP til rådighed for de uddannelsesinstitutioner, som tilslutter sig benyttelsen af EDUP til brug for udveksling af data mellem institutioner i forbindelse med elevflytning, elevudlån, elevdeling, booking af skolehjemsamtaler og udlån af AMU-godkendelser.

Hjemmel for Styrelsen for It og Lærings databehandling

Initiativ 3.4 i Den fællesoffentlige digitaliseringsstrategi 2016-2020.

Det er frivilligt for uddannelsesinstitutionerne om de vil gøre brug af EDUP. Databehandlingen i EDUP foretages derved udelukkende på instruks fra uddannelsesinstitutionerne (de dataansvarlige).

Førend et studieadministrativt system teknisk kan udveksle data på vegne af en uddannelsesinstitution kræves det, at begge parter har indgået en aftale om dataadgang for EDUP Tilslutningsaftale mellem STIL og systemleverandørerne – herunder krav om godkendt dataadgang i tilslutning.stil.dk mellem systemleverandør og den enkelte institution.

Dataansvarlig - Databehandler

Dataansvarlig myndighed
Uddannelsesinstitutioner

...

Styrelsen for It og Læring 

STILs eventuelle (under)databehandler underdatabehandler - udvikling

Netcompany

STILs eventuelle (under)databehandler underdatabehandler – drift, vedligehold
Ingen – STIL står selv for drift

...

Kategorier af registrerede og kategorier af personoplysninger, der behandles i systemet

Styrelsen for It og Læring behandler på vegne af de uddannelsesinstitutioner, der har tilsluttet sig EDUP, personoplysninger om disse institutioners elever.

Styrelsen behandler almindelige personoplysninger omfattet af databeskyttelsesforordningens artikel 6. De personoplysninger som styrelsen behandler om elever omfatter billede, stamdata, elevrelationer, elevprotokol og eksamensportefølje samt elevens undervisningsforløb. Stamdata på eleven vedligeholdes løbende gennem integration til CPRbåde almindelige og fortrolige personoplysninger, såsom for- og efternavn, adresse, CPR-nummer, værge, telefonnummer, mailadresse, samt elevens resultater og undervisningsforløb.

Hvor længe opbevares personoplysninger i systemet?

Personoplysninger i EASY P vises på EDUP. Disse data slettes ikke af hensyn til sikring af dokumentation for uddannelsesaftaler og uddannelsesbevis. Søgninger slettes og brugerkoder passiveres, hvis de ikke har været brugt i et år.

Datakilder og datamodtagere

Hvor stammer oplysningerne fra?

Uddannelsesinstitutionernes studieadministrative systemer.

 Af hensyn til uddannelsesinstitutionernes udtrædelse af EASY-A og overgang til nye studieadministrative systemer, slettes data ikke i EDUP for nuværende.

Hvem har adgang til at se og behandle persondata i systemet?Udover enkelte

STIL ansatte, så er det kun de studieadministrative systemer, som kan se og behandle data. Medarbejderne og evt. eleverne på de enkelte institutioner tilgår data via det studieadministrative og ikke direkte til EDUPData udstilles og behandles via uddannelsesinstitutionernes studieadministrative systemer. EDUP udstiller ingen brugergrænseflade, men tilbyder udelukkende kommunikation via webservicekald.

Modtagere

Uddannelsesinstitutionernes studieadministrative systemer.
Udveksling af stamdata (elevstamdata, elevrelationer og elevprotokol) finder anvendelse indenfor følgende processer:
• Elevflytning
• Elevudlån
• Elevdeling
• Booking af skolehjem

Sker der overførsler til tredjelande eller internationale organisationer?

...

Bemærkninger til overførsler til tredjelande eller internationale organisationer

Ingen bemærkninger

Generelle sikkerhedsforanstaltninger

Styrelsen for It og Læring autoriserer adgang for de personer i styrelsen, der har et arbejdsbetinget behov for at kunne tilgå personoplysninger i systemet. Styrelsen fører regelmæssig kontrol med, at kun personer med arbejdsbetinget behov kan tilgå personoplysninger i systemet. Styrelsen lukker straks en medarbejders adgang til oplysningerne, hvis autorisationen fratages eller udløber. Styrelsen for It og Læring sikrer at disse personer har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
Som ansvarlig myndighed for systemet er Styrelsen for It og Læring ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Styrelsen foretager en risikovurdering og gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder blandet andet, alt efter hvad der er relevant, kryptering og logning.

Fastsættelsen af de omhandlede foranstaltninger sker under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Styrelsen for It og Læring sørger som minimum for at iværksætte følgende sikkerhedsforanstaltninger:

1) Styrelsen fastsætter interne retningslinjer for informationssikkerhed, herunder retningslinjer for organisatoriske forhold, logisk og fysisk sikring, herunder administration af adgangskontrolanordninger og autorisationsanordninger samt kontrol af autorisationer. Styrelsen instruerer de autoriserede medarbejdere i reglerne om interne arbejdsgange og sikkerhedsforanstaltninger, herunder sikkerhedsforanstaltninger ved evt. anvendelse af hjemmearbejdsplads og mobilt udstyr.

2) Styrelsen anvender et almindeligt anerkendt standardrammeværktøj, såsom ITIL, til at understøtte stabil og sikker drift.

3) Styrelsen etablerer et informationssikkerhedsledelsessystem baseret på ISO27001-standarden, herunder en it-sikkerhedspolitik, områdepolitikker, passende kontroller samt relevante retningslinjer og procedurer i forhold til informationssikkerheden.