Formål
EDUP er et beskedudvekslingssystem til brug for sektorens uddannelsesinstitutioner i forbindelse med deres håndtering af den tværgående uddannelsesadministration. EDUP muliggøre udveksling af data på tværs af uddannelsesinstitutioner – herunder også på tværs af studieadministrative systemer.
Styrelsen for It og Lærings persondatabehandling består i at tage imod beskeder, opbevare disse, samt sikre at disse alene kan afhentes af beskedens retmæssige modtager.
Beskedudvekslingen sker asynkront og løst koblet mellem uddannelsesinstitutionernes studieadministrative systemer, hvilket gør det muligt for uddannelsesinstitutionerne at hente og sende data på eget initiativ.
Kommunikation til og fra EDUP sker udelukkende ved brug af webservicekald via STILs integrationsplatform.
De administrative opgaver som EDUP understøtter udføres af medarbejdere på de enkelte uddannelsesinstitutioner. Den uddannelsesinstitution, der indlæser en personoplysning i dens studieadministrative system, som herefter transmitteres til EDUP, er derfor dataansvarlig for denne personoplysning.
EDUP understøtter udveksling af data på følgende områder:
- Elevflytning, dvs. når en elev flytter fra en institution til en anden.
- Elevudlån, dvs. når en elev tager dele af sin uddannelse på en anden institution.
- Elevdeling, dvs. når en elev får undervisning på to forskellige institutioner ifm. uddannelsen, fx når erhvervsuddannelseselever har gymnasiale fag, der gennemføres på et nærliggende teknisk gymnasium.
- Booking af skolehjem, dvs. booking af skolehjemsværelse for erhvervsuddannelseselever der bor langt fra deres uddannelsesinstitution.
- AMU-udlån, dvs. når en institution udlåner en AMU-godkendelse til en anden institution og herefter skal udveksle data til brug for indberetning af tilskudsudløsende aktiviteter.
Hjemmel for Styrelsen for It og Lærings databehandling
Det er frivilligt for uddannelsesinstitutionerne om de vil gøre brug af EDUP. Databehandlingen i EDUP foretages derved udelukkende på instruks fra uddannelsesinstitutionerne (de dataansvarlige).
Førend et studieadministrativt system teknisk kan udveksle data på vegne af en uddannelsesinstitution kræves det, at begge parter har indgået en aftale om dataadgang for EDUP i tilslutning.stil.dk.
Dataansvarlig - Databehandler
Dataansvarlig myndighed
Uddannelsesinstitutioner
Databehandler
Styrelsen for It og Læring
STILs underdatabehandler - udvikling
Netcompany
STILs underdatabehandler – drift, vedligehold
Statens It (SIT) leverer infrastrukturen til STILs datacentre og er derfor også at betragte som en underdatabehandler. Herudover drifter STIL selv systemet.
Kategorier af registrerede og kategorier af personoplysninger, der behandles i systemet
Styrelsen for It og Læring behandler på vegne af de uddannelsesinstitutioner, der har tilsluttet sig EDUP, personoplysninger om disse institutioners elever.
Styrelsen behandler almindelige personoplysninger omfattet af databeskyttelsesforordningens artikel 6. De personoplysninger som styrelsen behandler om elever omfatter både almindelige og fortrolige personoplysninger, såsom for- og efternavn, adresse, CPR-nummer, værge, telefonnummer, mailadresse, samt elevens resultater og undervisningsforløb.
Hvor længe opbevares personoplysninger i systemet?
Personoplysninger i EASY P vises på EDUP. Disse data slettes ikke af hensyn til sikring af dokumentation for uddannelsesaftaler og uddannelsesbevis. Søgninger slettes og brugerkoder passiveres, hvis de ikke har været brugt i et år.
Hvor stammer oplysningerne fra?
Af hensyn til uddannelsesinstitutionernes udtrædelse af EASY-A og overgang til nye studieadministrative systemer, slettes data ikke i EDUP for nuværende.
Hvem har adgang til at se og behandle persondata i systemet?
Data udstilles og behandles via uddannelsesinstitutionernes studieadministrative systemer. EDUP udstiller ingen brugergrænseflade, men tilbyder udelukkende kommunikation via webservicekald.
Modtagere
Uddannelsesinstitutionernes studieadministrative systemer.
Sker der overførsler til tredjelande eller internationale organisationer?
Ja | ☐ |
Nej | ☒ |
Bemærkninger til overførsler til tredjelande eller internationale organisationer
Ingen bemærkninger
Generelle sikkerhedsforanstaltninger
Styrelsen for It og Læring autoriserer adgang for de personer i styrelsen, der har et arbejdsbetinget behov for at kunne tilgå personoplysninger i systemet. Styrelsen fører regelmæssig kontrol med, at kun personer med arbejdsbetinget behov kan tilgå personoplysninger i systemet. Styrelsen lukker straks en medarbejders adgang til oplysningerne, hvis autorisationen fratages eller udløber. Styrelsen for It og Læring sikrer at disse personer har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
Som ansvarlig myndighed for systemet er Styrelsen for It og Læring ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Styrelsen foretager en risikovurdering og gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder blandet andet, alt efter hvad der er relevant, kryptering og logning.
Fastsættelsen af de omhandlede foranstaltninger sker under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder. Styrelsen for It og Læring sørger som minimum for at iværksætte følgende sikkerhedsforanstaltninger:
1) Styrelsen fastsætter interne retningslinjer for informationssikkerhed, herunder retningslinjer for organisatoriske forhold, logisk og fysisk sikring, herunder administration af adgangskontrolanordninger og autorisationsanordninger samt kontrol af autorisationer. Styrelsen instruerer de autoriserede medarbejdere i reglerne om interne arbejdsgange og sikkerhedsforanstaltninger, herunder sikkerhedsforanstaltninger ved evt. anvendelse af hjemmearbejdsplads og mobilt udstyr.
2) Styrelsen anvender et almindeligt anerkendt standardrammeværktøj, såsom ITIL, til at understøtte stabil og sikker drift.
3) Styrelsen etablerer et informationssikkerhedsledelsessystem baseret på ISO27001-standarden, herunder en it-sikkerhedspolitik, områdepolitikker, passende kontroller samt relevante retningslinjer og procedurer i forhold til informationssikkerheden.