UVMs bidrag til GDPR implementering i uddannelsessektoren

Transkript

1 UVMs bidrag til GDPR implementering i uddannelsessektoren Danske Gymnasiers temadag om databeskyttelse Karsten Vest Nielsen Kontor for It-sikkerhed og Databeskyttelse

2 Hvad har UVM gjort i forbindelse med implementering af databeskyttelsesforordningen i sektoren og hvad mangler vi? Gymnasierne er selvejende Vigtigt for UVM, at sektoren lever op til det ansvar der ligger heri Hjælp til selvhjælp UVM opgaver Referencegruppe med sektoren GDPR forståelse GDPR compliance og dataetik Alle asfalterer, mens de kører mod 25. maj 2018 Datatilsynet udsender gode vejledninger DG temadag om databeskyttelse

3 Hvordan hjælper/understøtter STIL institutioner og sektoren med implementeringen af GDPR? Klarlægning af placering (fordeling) af dataansvaret i de it-systemer ministeriet stiller til rådighed for sektoren fællessystemer Afklaring af spørgsmålet om databehandleraftaler i it-systemer, der tilbydes sektoren. Konkrete initiativer, der hjælper institutionerne ift. at kunne efterleve GDPR UNIlogin Systemrevisionsbekendtgørelsen Synliggøre governance internt i UVM (Dep, STUK og STIL), så institutioner og lederforeningerne ved hvem de kan kontakte og hvad de kan forvente hjælp til og svar på. Deltagelse i arrangementer som dette! DG temadag om databeskyttelse

4 Dataansvaret Der skal være en dataansvarlig for alle behandlinger af persondata Reglerne for, hvem der er dataansvarlig ændrer sig ikke med GDPR Den dataansvarlige får flere pligter og kan blive ramt af et strafansvar Derfor er det vigtigt at ramme rigtigt, når vi definerer ansvaret DG temadag om databeskyttelse

5 Det burde være nemt at afgøre, men Hvem er dataansvarlig? Med GDPR er der kommet klarere retningslinjer for, hvad der definerer det at være dataansvarlig. Det tydeliggøres, at dataansvaret følger ansvaret for den opgave der skal løses, hvilket for flere af STILs produkter betyder, at det er kommuner og institutioner, der er dataansvarlige. STIL har gennemgået databehandlerkonstruktionen i it-systemer vendt mod sektoren lovhjemmel og praktisk håndtering af data. Forordningens artikel 26 om fælles dataansvar giver muligheder, som ikke tidligere har været anvendt nemlig en fordeling af dataansvaret. DG temadag om databeskyttelse

6 Hvem er dataansvarlig? Placering af dataansvar er en konkret vurdering uafhængig af definitionen af, hvad der er et produkt (se tjekliste og eksempler i Datatilsynets vejledning) Forpligtelsen til at udføre den opgave, som behandlingen af persondata har til formål at understøtte, styrer i høj grad placeringen af persondataansvar UVM/STIL udvikler og stiller en række it-systemer til rådighed, som er obligatorisk for sektoren at bruge. Et centralt argument ift. fordelt dataansvar. DG temadag om databeskyttelse

7 Fordeling af det fælles dataansvar Analysen viser at institutioner har et dataansvar for persondatabehandlinger i produkter, som er udviklet, driftet og stillet til rådighed af UVM samtidig med, at institutionerne er forpligtet til at anvende dette system/produkt. Institutionerne pålægges dermed et ansvar for systemernes sikkerhed, indretning og STILs evt. underdatabehandleraftaler, som institutionerne i praksis ikke kan løfte. Dataansvaret - og de forpligtelser som følger heraf - fordeles mellem UVM/STIL og institutioner/kommuner, så det er i overensstemmelse med opgaveansvaret og de faktiske forhold. OBS. Ministeriets statistiske anvendelse af persondata fra institutionerne er baseret på, at sådanne data er videregivet til STIL/UVM efter hjemmel i lovgivningen. DG temadag om databeskyttelse

8 Fordelingsnøgle Den enkelte institution er ansvarlig for den behandling af personoplysninger, som finder sted i forbindelse med anvendelsen, herunder korrekt indsamling og registrering af oplysninger. STIL er som ansvarlig myndighed for systemerne ansvarlig for at foretage passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risiciene for behandlingen i de forskellige systemer. DG temadag om databeskyttelse

9 Eksempler Type 1: Fordelt dataansvar UVM stiller en it-løsning til rådighed som institutionerne er forpligtet til at anvende til løsning af deres lovbundne opgaver og formål. Fx UNI-Login, Ungedatabasen, Optagelse.dk, Ordblindetest (for nogle institutioner) m.fl. Type 2: UVM/STIL er dataansvarlig UVM stiller en it-løsning til rådighed som institutionerne til forpligtet til at bruge eller har valgt at anvende ved løsning af en lovbunden opgave krævet af UVM. Nationale test i folkeskolen er et godt eksempel fra folkeskolen. Netprøver (Analysen er ikke er gennemført). GYM trivselsmåling, hvis institutionen har valgt leverandør, som STIL har aftale med. Type 3: UVM/STIL er databehandler UVM stiller en it-løsning til rådighed som institutioner og kommuner frivilligt kan vælge at anvende til opfyldelse af deres opgaver. Fx Skolekom. Institutionerne er dataansvarlige og UVM er databehandler. DG temadag om databeskyttelse

10 En sådan fordeling af dataansvaret betyder. Institutionerne => Den registreredes rettigheder Retten til at få oplysning om en behandling af sine personoplysninger (oplysningspligt) Retten til at få indsigt i sine personoplysninger (indsigtsret) Retten til at få urigtige personoplysninger berigtiget (retten til berigtigelse) Retten til at få sine personoplysninger slettet (retten til at blive glemt) STIL => Tekniske sikkerhedsforanstaltninger Privacy by design og Privacy-by-default Art 25, stk. 1 en pligt for den dataansvarlige til at inddrage tiltag, der konkret fremmer en effektiv implementering af databeskyttelsesprincipperne m.v. Institutionerne og STIL => Organisatoriske sikkerhedsforanstaltninger Vejledning og instrukser Institutionerne og STIL => Fortegnelse over behandlingsaktiviteter (Art 30) Institutionerne og STIL => Notifikationspligt ved brud på datasikkerheden (Art 33) DG temadag om databeskyttelse

11 Databehandleraftaler En skriftlig aftale mellem den dataansvarlige og databehandler, hvor det fremgår at databehandleren (leverandøren) kun handler efter instruks fra den dataansvarlige. Nemt i klassisk leverandørforhold skal dog tilpasses GDPR Instruksen vedr. sikkerhedsforanstaltninger baseret på en risikovurdering og dokumentation af sådanne må specificeres i databehandleraftale eller kontrakt. Datatilsynet har et godt paradigme. Det er UVMs vurdering, at det fremadrettet vil være tilstrækkeligt at afløfte instruktionsbeføjelsen, som normalt gives via en databehandleraftale, ved en fordeling af det fælles dataansvar i ved lov eller i en anden type retligt dokument end lov eller bekendtgørelse, såsom bindende retningslinjer for anvendelse af produkterne. UVM stiller som myndighed et produkt til rådighed, som kommunerne/institutionerne er forpligtet til at benytte. Dermed har UVM også myndigheden til at fastsætte den overordnede ansvarsfordeling samt udstede retningslinjer for anvendelsen af selve produktet. Det undersøges pt. hvorvidt samme model kan anvendes ift. systemer som UVM tilbyder institutionerne, men som de ikke er forpligtet til at benytte. DG temadag om databeskyttelse

12 Planche ændret På mødet blev Moderniseringsstyrelsens model for fælles dataansvar for fællesstatslige systemer nævnt som referencemodel. Den blev samme dag offentliggjort på Moderniseringssidens hjemmeside med tilhørende cirkulære. Fordelingen af dataansvaret vil blive kommunikere til sektoren - via sektorens foreninger og referencegruppen Defineres og kommunikeres ved lov eller med hjemmel i lov jf. ovenfor. DG temadag om databeskyttelse

13 Eksempler på konkrete initiativer, der hjælper institutionerne ift. at kunne efterleve GDPR UNIlogin institutionerne kan vælge mellem forskellige snitflader, når de giver deres databehandlere adgang til UNIlogin oplysninger, herunder en snitflade, der autoriserer adgang til services uden at overlade personoplysninger. Hvis institutionen har behov for at stille UNIlogin oplysninger til rådighed for en leverandør, åbner STIL først op efter at institutionen eksplicit har givet tilladelse hertil i UNIlogin administrationsværktøjet. Systemrevisionsbekendtgørelsen pt. i høring Stiller krav til Studieadministrative systemer som institutionerne kan anvende i GDPR Evt. fælles Nemid baserede løsninger, der kan lette institutionernes implementering af indsigt i personoplysninger (ikke besluttet) Oplysningspligten synliggøre det fordelte ansvar Andet forslag modtages gerne. DG temadag om databeskyttelse

14 Synliggøre governance internt i UVM (Dep, STUK og STIL), så institutioner og lederforeningerne ved hvem de kan kontakte og hvad de kan forvente hjælp til og svar på. Vi er ikke i mål endnu..? DG temadag om databeskyttelse