System
Netprøver
Behandlingens formål og hjemmel
Formål
Netprøver.dk digitaliserer den samlede proces for prøveafvikling på de gymnasiale uddannelser – lige fra opgavesættet gøres tilgængeligt for eleverne, til eleverne afleverer besvarelsen, til besvarelsen plagiatkontrolleres og censorerne afgiver bedømmelse, og til karakteren overføres til skolernes administrative systemer, som danner eksamensbeviserne. Netprøver.dk benyttes ved afvikling af de centralt stillede skriftlige prøver, studieretningsprojekter og de større skriftlige prøver på de gymnasiale uddannelser.
Med Netprøver.dk sikres det, at prøveafviklingen foregår på en ensartet, kontrolleret måde på tværs af institutionerne og deres lokale it-setup, hvilket er vigtigt eftersom afvikling af prøver er en forretningskritisk proces for uddannelsessektoren og for Undervisningsministeriet.
Netprøver.dk har samtidigt fjernet tidligere tiders papirbaserede, manuelle arbejdsgange og store udgifter til forsendelse.
Styrelsen for It og Læring stiller som databehandler det digitale prøveafviklingssystem Netprøver til rådighed for de uddannelsesinstitutioner og gymnasiale afdelinger på voksenuddannelsescentre, som er forpligtet til at benytte det digitale prøveafviklingssystem i henhold til de af ministeriet fastsatte retningslinjer, jf. § 5 i Bekendtgørelse om prøver og eksamen i de almene og studieforberedende ungdoms- og voksenuddannelser (almen eksamensbekendtgørelsen), og som er ansvarlig over for undervisningsministeriet for overholdelse af prøver og eksamen ved institutionen jf. bekendtgørelsens § 4.
De administrative opgaver, der udføres i Netprøver i henhold til almen eksamensbekendtgørelsen såsom adgangs- og rettighedsstyring til systemet, bedømmelser og karaktergivning samt plagiatkontrol, udføres af medarbejdere på den enkelte uddannelsesinstitution. Den uddannelsesinstitution, der indlæser en personoplysning i det digitale prøveafviklingssystem Netprøver, er derfor dataansvarlig for denne personoplysning.
Styrelsen for It og Lærings persondatabehandling består således i at stille et system til rådighed og heri opbevare persondata i Netprøver samt overføre karakterer til de studieadministrative systemer på vegne af de dataansvarlige med det formål at understøtte de opgaver som uddannelsesinstitutionerne har i forbindelse med deres ansvar for afvikling af prøver og eksamener.
Hjemmel for Styrelsen for It og Lærings databehandling
§§ 4 og 5 i Bekendtgørelse om prøver og eksamen i de almene og studieforberedende ungdoms- og voksenuddannelser
Dataansvarlig - Databehandler
Dataansvarlig myndighed
Uddannelsesinstitutioner
Databehandler
Styrelsen for It og Læring
STILs eventuelle (under)databehandler - udvikling
CGI
STILs eventuelle (under)databehandler – drift, vedligehold
Amazon Web Services (cloud)
Personer og personoplysninger
Kategorier af registrerede og kategorier af personoplysninger, der behandles i systemet
Styrelsen for It og Læring behandler på vegne af uddannelsesinstitutionerne personoplysninger i Netprøver om elever, censorer og medarbejdere på uddannelsesinstitutioner.
Styrelsen behandler ikke følsomme personoplysninger omfattet af databeskyttelsesforordningens artikel 9. De personoplysninger som styrelsen behandler, omfatter karakterer og eksamensbesvarelser samt CPR-nummer med henblik på entydig identifikation.
Hvor længe opbevares personoplysninger i systemet?
Det er planen, at udvikle en funktion, hvor personoplysninger i Netprøver slettes 12 måneder efter registreringen.
Vi er lige pt i dialog med Rigsarkivet, som ønsker at vi arkiverer oplysninger hos dem. Derfor er vi ikke klar til at slette endnu.
Datakilder og datamodtagere
Hvor stammer oplysningerne fra?
Oplysninger om cpr. nr. overføres fra ministeriets eksamensadministrative system XPRS, der har modtaget oplysningerne fra institutionernes administrative systemer. XPRS har modtaget oplysningerne om elever og vejledere fra institutionernes administrative systemer. XPRS beriger disse oplysninger med eksterne censorer. Skolerne kan i visse tilfælde ændre på censoroplysningerne. Skolerne har endvidere mulighed for at indtaste brugere direkte i Netprøver.dk eller ved at skolerne indlæser brugere via et regneark.
Hvem har adgang til at se og behandle persondata i systemet?
Følgende kategorier af administrativt personale ved institutionerne har adgang til persondata i Netprøver.dk: Eksamensansvarlige, prøveansvarlige, prøvevagter, brugeradministratorer og it-ansvarlige. Herudover har vejledere og censorer adgang til persondata.
Modtagere
Der er udviklet en webservice, således at skolernes administrative systemer kan hente de endelige karakterer for elevernes skriftlige besvarelser. Eleverne besvarelser overføres ikke til skolernes administrative systemer.
Sker der overførsler til tredjelande eller internationale organisationer?
Ja | ☐ |
Nej | ☒ |
Bemærkninger til overførsler til tredjelande eller internationale organisationer
Data opbevares hos AWS i Irland.
Generelle sikkerhedsforanstaltninger
Styrelsen for It og Læring autoriserer adgang for de personer i styrelsen, der har et arbejdsbetinget behov for at kunne tilgå personoplysninger i systemet. Styrelsen fører regelmæssig kontrol med, at kun personer med arbejdsbetinget behov kan tilgå personoplysninger i systemet. Styrelsen lukker straks en medarbejders adgang til oplysningerne, hvis autorisationen fratages eller udløber. Styrelsen for It og Læring sikrer at disse personer har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
Som ansvarlig myndighed for systemet er Styrelsen for It og Læring ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Styrelsen foretager en risikovurdering og gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder blandet andet, alt efter hvad der er relevant, kryptering og logning.
Fastsættelsen af de omhandlede foranstaltninger sker under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Styrelsen for It og Læring sørger som minimum for at iværksætte følgende sikkerhedsforanstaltninger:
1) Styrelsen fastsætter interne retningslinjer for informationssikkerhed, herunder retningslinjer for organisatoriske forhold, logisk og fysisk sikring, herunder administration af adgangskontrolanordninger og autorisationsanordninger samt kontrol af autorisationer. Styrelsen instruerer de autoriserede medarbejdere i reglerne om interne arbejdsgange og sikkerhedsforanstaltninger, herunder sikkerhedsforanstaltninger ved evt. anvendelse af hjemmearbejdsplads og mobilt udstyr.
2) Styrelsen anvender et almindeligt anerkendt standardrammeværktøj, såsom ITIL, til at understøtte stabil og sikker drift.
3) Styrelsen etablerer et informationssikkerhedsledelsessystem baseret på ISO27001-standarden, herunder en it-sikkerhedspolitik, områdepolitikker, passende kontroller samt relevante retningslinjer og procedurer i forhold til informationssikkerheden.