Digitalisering på børne- og ungeområdet Brugerportalsinitiativet

FAQ - informationssikkerhed

Her kan du finde spørgsmål og svar på ofte stillede spørgsmål om sikkerhed ifm. BPI-programmet.

Hvad er almindelige personoplysninger?
Datatilsynet beskriver det således: Personoplysninger er enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede).

Ved udtrykket identificerbar person skal forstås en person, der direkte eller indirekte kan identificeres, bl.a. ved et identifikationsnummer eller et eller flere elementer, der er særlige for en given persons fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sociale identitet.

Omfattet af begrebet personoplysninger er herefter oplysninger, som kan henføres til en fysisk person, selv om dette forudsætter kendskab til personnummer, registreringsnummer eller lignende særlige identifikationer som f.eks. løbenummer.

Hvad er følsomme personoplysninger?
Databeskyttelsesloven, der trådte i kraft den 25. maj 2018, erstatter persondataloven fra 2000 og kan ses som et supplement til databeskyttelsesforordningen fra EU. I forordningens artikel 9 defineres følsomme personoplysninger som information om:

  • Race og etnisk oprindelse
  • Politisk overbevisning
  • Religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske data
  • Biometriske data med henblik på entydig identifikation
  • Helbredsoplysninger
  • Seksuelle forhold eller seksuel orientering.

Hvad er flerfaktor-login til beskyttelse af følsomme personoplysninger?
Login, der kun kræver en adgangskode, er et eksempel på én-faktor login. Det forudsættes, at der er tale om en fortrolig og personlig (individuel) adgangskode. Et login alene med Unilogin er også et eksempel på én-faktor login.

Flerfaktor-login betegner en løsning, hvor adgang til et it-system kræver, at brugeren skal afgive to eller flere uafhængige faktorer for at opnå adgang. NemID, hvor adgang kræver, at der både afgives en adgangskode samt en engangskode fra et nøglekort, er et eksempel på to-faktor login.

Er det særligt ift. læringsplatforme eller Aula, at medarbejdere skal benytte flerfaktor-login for at tilgå følsomme personoplysninger? 
Behov for flerfaktor-login drejer sig om, hvilke data, der skal beskyttes. Flerfaktor-login er dermed ikke afhængigt af systemet. Såfremt systemet må forventes løbende at skulle håndtere følsomme personoplysninger, har Datatilsynet i flere afgørelser anbefalet brug af flerfaktor-login.

 

Bliver behovet for flerfaktor-login for medarbejdere på skole- og dagtilbudsområdet løst som en del af Aula?
Aula leverer ikke selvstændigt et flerfaktor-login for medarbejdere, men Aula anvender de flerfaktor-løsninger, der er til rådighed for kommunerne igennem Unilogin, støttesystemerne eller lokalt AD.

Digitaliseringsstyrelsen har med NemID medarbejdersignatur udviklet en national løsning for flerfaktor. Styrelsen for IT og Læring har udviklet Unilogin, som en national løsning for en-faktor login for skole- og dagtilbudsområdet. Unilogin understøtter step-up med NemID til flerfaktor-login.

Aula understøtter adgang med ovenstående løsninger og understøtter desuden igennem støttesystemer adgang via andre lokale IdP-er og sikkerhedsløsninger til flerfaktor-login.

Hvornår skal der etableres flerfaktor-løsning?
Det beror på kommunernes egen risikovurdering af den enkelte løsning og de data, som løsningen indeholder. Men generelt skal løsninger, der indeholder følsomme data, beskyttes af mere end én faktor. Løsningerne kan med fordel suppleres med eksempelvis vejledninger og anbefalede arbejdsgange eller instruktion af medarbejdere i håndtering af følsomme personoplysninger i systemerne.

Skal man have en databehandleraftale med leverandører af digitale læremidler?
Hvis der behandles personoplysninger i det digitale læremiddel, bør der være en databehandleraftale. Når en leverandør behandler personoplysninger på vegne af skolen/kommunen, som er dataansvarlig, bør der altid indgås en databehandleraftale med leverandøren. Således bør der indgås en databehandleraftale, hvis der overføres persondata fra Unilogin til det digitale læremiddel.

Er en dataaftale i Unilogin det samme som en databehandleraftale?
Nej. En dataaftale i Unilogin er en godkendelsesfunktion, som betyder, at skolernes leverandører først får adgang til personoplysninger om skolernes elever, forældre og medarbejdere, når skolen eller kommunen har godkendt det. Oplysningerne er identifikationsoplysninger – fx oplysninger om brugernes navne og klassetilhørsforhold. Oplysningerne vises typisk, når en bruger logger på et digitalt læremiddel. Godkendelsen foretages af skolens eller den kommunale Unilogin brugeradministrator via Unilogins brugeradministration.

En databehandleraftale er en særskilt aftale, som kommunerne som dataansvarlige skal indgå med deres leverandører for at sikre, at leverandørerne sørger for den fornødne sikkerhed i behandlingen af de personoplysninger, som indgår i leverandørernes løsninger.

Læs mere om databeskyttelsesforordningen.

Bør en anmodning om dataoverførsel fra en leverandør i Unilogins "Dataaftale-modul"
Nej. Den, som står for godkendelse (hvad enten det er skolens eller kommunens administrator), bør, inden anmodningen accepteres, få vurderet, om det er nødvendigt for leverandøren at behandle personoplysninger - og være opmærksom på, at leverandøren ikke får en større pakke data fra Unilogin end nødvendigt. Det bør endvidere sikres, at der er indgået databehandleraftale med leverandøren.

×

Log ind