Generelle bemærkninger:
- I forbindelse med forhandlingerne mellem Børne- og Undervisningsministeriet og Danske Regioner satte regionerne spørgsmålstegn ved hensigtsmæssigheden af at vælge bekendtgørelsesformen som retligt dokument i stedet for konkrete databehandleraftaler. Ministeriet fremførte bl.a., at det er forudsat fra lovgivers side, at fastsættelsen af regionernes og Styrelsen for It og Lærings opgaver og ansvar som henholdsvis dataansvarlige og databehandler skal ske i bekendtgørelsesform. Danske Regioner tager dette til efterretning, men skal her for god ordens skyld bemærke, at regionerne fortsat finder, at det havde været mere hensigtsmæssigt at benytte konkrete databehandler-aftaler baseret på Datatilsynets skabelon som retligt dokument.
- Regionerne bemærker, at bekendtgørelsen er mere overordnet og mindre konkret og detaljeret, end en databehandleraftale baseret på Datatilsynets skabelon ville være. Som konsekvens af dette vurderer regionerne, at der er indhold i bekendtgørelsen, der bør uddybes og konkretiseres, for at bekendtgørelsen kan sidestilles med en databehandleraftale.
Bemærkninger til bekendtgørelsens enkelte bestemmelser:
§ 1. Bekendtgørelsen finder anvendelse ved behandling af personoplysninger til brug for elevfordeling i den centrale it-understøttede fordelingsmekanisme, Den Koordinerede Tilmelding til Gymnasiale Ungdomsuddannelser, ved fordeling af ansøgere til de 3-årige uddannelser til almen, merkantil og teknisk studentereksamen, den 2-årige uddannelse til hf-eksamen og pre-IB, jf. § 3, stk. 1, samt behandling af personoplysninger i Optagelse.dk til brug for klagebehandling, fordeling af ufordelte ansøgere og fordeling af de ansøgere, hvis ansøgning ikke er indgået i fordelingsrunden.
- Regionerne bemærker, at vurdering af forrang bør nævnes i § 1.
- Regionerne ser det som positivt, at behandling af personoplysninger i Opta-gelse.dk er nævnt i § 1 og ønsker det indarbejdet konsekvent i bekendtgørelsen.
§ 2. Den region, hvor en ansøger med dansk folkeregisteradresse har bopæl, er dataansvarlig for behandlingen af de personoplysninger om vedkommende, der behandles i fordelingsmekanismen og i Optagelse.dk.
Stk. 2. Den region, hvor en ansøger uden dansk folkeregisteradresse har sit højest prioriterede uddannelsesønske, er dataansvarlig for behandlingen af de personoplysninger om vedkommende, der behandles i fordelingsmekanismen og i Opta-gelse.dk.
Stk. 3. Den region, hvor en ansøger har sit højest prioriterede uddannelsesønske, og hvor ansøgeren har søgt om forrang som følge af handicap, er dataansvarlig for behandlingen af de personoplysninger om vedkommende, der behandles i fordelingsmekanismen og i Optagelse.dk.
Stk. 4. Styrelsen for It og Læring stiller som databehandler, en central it-understøttet fordelingsmekanisme, Den Koordinerede Tilmelding til Gymnasiale Ungdomsuddannelser, samt Optagelse.dk, til rådighed for regionerne til brug for fordeling af ansøgere til de 3-årige uddannelser til almen, merkantil og teknisk studentereksamen, den 2-årige uddannelse til hf-eksamen og pre-IB. Styrelsen får endvidere videregivet personoplysningerne fra fordelingsmekanismen og kan, som selvstændig dataansvarlig, anvende personoplysningerne til andre opgaver, jf. § 13.
- Regionerne bemærker, at der med den foreslåede formulering af § 2, stk. 1 og stk. 3 kan opstå tvivl om, hvorvidt to regioner er dataansvarlige samtidig, hvis en ansøger med dansk folkeregisteradresse har søgt om forrang som følge af handicap. Det bør præciseres, at § 2, stk. 3. gælder, hvis ansøger har søgt om forrang, uanset om ansøger har dansk folkeregisteradresse eller ej.
- Det bør ligeledes præciseres, hvem der har dataansvaret for ansøgere, der ikke har søgt om forrang grundet handicap, men som senere klager over fordelingen og begrunder deres klage med, at de ønsker optag med forrang grundet handicap.
§ 5. Styrelsen for It og Læring skal iagttage kravet om behandlingssikkerhed, jf. databeskyttelsesforordningens artikel 32, på vegne af den dataansvarlige. Styrelsen foretager en risikovurdering, der løbende ajourføres, og gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.
Stk. 2. Styrelsen for It og Læring sørger som minimum for at iværksætte følgende sikkerhedsforanstaltninger:
1) fastsætter interne retningslinjer for informationssikkerhed, herunder retningslinjer for fysisk sikring, organisatoriske forhold, herunder administration af adgangs-kontrolanordninger og autorisationsanordninger
2) autoriserer adgang for de personer i styrelsen, der har et arbejdsbetinget behov for at kunne tilgå personoplysninger i fordelingsmekanismen. Styrelsen fører regelmæssig kontrol med, at kun personer med arbejdsbetinget behov kan tilgå personoplysninger i fordelingsmekanismen. Styrelsen lukker straks en medarbejders adgang til oplysningerne, hvis autorisationen fratages eller udløber. Styrelsen sikrer, at de autoriserede personer har forpligtet sig til fortrolighed eller er underlagt en passende lovbestemt tavshedspligt.
3) instruerer de autoriserede medarbejdere i reglerne om interne arbejdsgange og sikkerhedsforanstaltninger, herunder sikkerhedsforanstaltninger ved evt. anvendelse af hjemmearbejdsplads og mobilt udstyr.
Stk. 3. Styrelsen anvender et almindeligt anerkendt standardrammeværktøj, såsom ITIL, til at understøtte stabil og sikker drift.
Stk. 4. Styrelsen anvender et informationssikkerhedsledelsessystem baseret på ISO27001-standarden, herunder en it-sikkerhedspolitik, områdepolitikker, passende kontroller samt relevante retningslinjer og procedurer i forhold til informationssikkerheden.
- Regionerne ser gerne, at det i § 5, stk. 2, nr. 2, fastsættes, hvad ”regelmæssig kontrol” er. Regionerne forslår, at kontrollen foretages minimum hvert halve år.
§ 7. Styrelsen for It og Læring iagttager på vegne af den dataansvarlige kravet i databeskyttelsesforordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse af personoplysninger, der behandles i fordelingsmekanismen. Styrelsen foretager forud for behandlingen en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger, hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammen-hæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder.
Stk. 2. Styrelsen for It og Læring iagttager på vegne af den dataansvarlige kravet i databeskyttelsesforordningens artikel 36 om forudgående høring af tilsynsmyndig-heden om visse behandlinger af personoplysninger og konsekvensanalyser, når kravet om høring finder anvendelse.
- Regionerne ser gerne, at det i § 7 beskrives, hvordan styrelsen vil inddrage regionerne i forbindelse med udarbejdelsen af konsekvensanalyser.
§ 9. Styrelsen for It og Læring bistår, under hensyntagen til behandlingens karakter, så vidt muligt den dataansvarlige ved hjælp af passende tekniske og organisatoriske foranstaltninger, med opfyldelse af den dataansvarliges forpligtelse til at besvare anmodninger om udøvelsen af de registreredes rettigheder, som er fastlagt i databeskyttelsesforordningens kapitel 3, og som omfatter:
1) Den registreredes indsigtsret, jf. databeskyttelsesforordningens artikel 15.
2) Retten til berigtigelse, jf. databeskyttelsesforordningens artikel 16.
3) Retten til sletning (»retten til at blive glemt«), jf. databeskyttelsesforordningens artikel 17.
4) Retten til begrænsning af behandling, jf. databeskyttelsesforordningens artikel 18.
5) Retten til indsigelse, jf. databeskyttelsesforordningens artikel 21.
Stk. 2. Den enkelte dataansvarlig er ansvarlig for indlæsning af egne data og for behandlingen af anmodninger eller henvendelser fra de registrerede om de forhold, der er nævnt i stk. 1.
Stk. 3. Hvis Styrelsen for It og Læring modtager en anmodning eller henvendelse fra en registreret person om forhold, der er nævnt i stk. 1, og som vedrører behandling af personoplysninger hos en dataansvarlig, sendes henvendelsen til besvarelse hos den relevante dataansvarlig snarest muligt.
- I forhold til § 9 bemærker regionerne, at hvis denne bekendtgørelse skal fastlægge alle den dataansvarliges opgaver og ansvar, bør det ligeledes fremgå, hvem der har ansvaret for at opfylde oplysningspligten i medfør af databeskyttelsesforordningens artikel 13 og 14.
§ 10. Den dataansvarlige er ansvarlig for efterlevelsen af databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til Datatilsynet, hvis et brud på persondatasikkerheden skyldes den dataansvarliges egen anvendelse af fordelingsmekanismen. Den dataansvarlige underretter i dette tilfælde de registrerede om bruddet på datasikkerheden i overensstemmelse med kravene herom i databeskyttelsesforordningens artikel 34.
Stk. 2. Hvis den dataansvarlige efter stk. 1 er ansvarlig for at foretage anmeldelse til Datatilsynet, men den dataansvarlige ikke selv har opdaget bruddet på person-datasikkerheden, underretter Styrelsen for It og Læring den dataansvarlige om sikkerhedsbruddet uden unødig forsinkelse efter, at hændelsen er kommet til styrelsens kendskab.
Stk. 3. Styrelsen for It og Læring anmelder brud på persondatasikkerheden til Data-tilsynet i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1, hvis bruddet på persondatasikkerheden ikke skyldes den dataansvarliges egen anvendelse af systemet. Styrelsen underretter den dataansvarlige om anmeldelse til Datatilsynet senest samtidig med anmeldelsen til Datatilsynet
Stk. 4. Styrelsen for It og Læring bistår under hensyntagen til behandlingens karakter og de oplysninger, der er tilgængelige for styrelsen, den dataansvarlige med at foretage anmeldelse af bruddet til Datatilsynet uden unødig forsinkelse og om muligt senest inden for 72 timer, hvis den dataansvarlige efter stk. 1 er ansvarlig for at foretage anmeldelsen til Datatilsynet. Styrelsen yder vejledning og bistand i forbindelse med tilvejebringelse af de oplysninger, som efter databeskyttelsesforordningens artikel 33, stk. 3, skal fremgå af den dataansvarliges anmeldelse til Datatilsynet. Styrelsen bistår i forbindelse med tilvejebringelse af de oplysninger, som efter databeskyttelsesforordningens artikel 34, stk. 2, skal fremgå af den dataansvarliges underretning til den registrerede i de tilfælde, hvor den dataansvarlige har underretningspligt til Datatilsynet ved et sikkerhedsbrud.
- Regionerne bemærker, at bestemmelsen i § 10, stk. 3, ikke svarer til den almindelige ansvarsfordeling, hvor det er den dataansvarlige, der anmelder brud til Datatilsynet i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1. Regionerne er opmærksom på, at ordlyden af § 10, stk. 3, svarer til bestemmelsen i § 10, stk. 4, i bekendtgørelse nr. 529 af 2. maj 2019 om den digitale identifikationsløsning Unilogin og opgaver og ansvar for de dataansvarlige og for Styrelsen for It og Læring som databehandler. Regionerne bemærker, at hvis styrelsen skal have ansvaret for at anmelde brud på persondatasikkerheden, som ikke skyldes den dataansvarliges egen anvendelse af systemet, er det efter regionernes opfattelse for sent, at de dataansvarlige først bliver orienteret (senest) samtidig med, at der sker anmeldelse til Datatilsynet.
§ 11. Styrelsen for It og Læring stiller alle oplysninger, der er nødvendige for at påvise styrelsens overholdelse af databeskyttelseslovgivningen, herunder om databehandlerens varetagelse af de i artikel 32 fastsatte betingelser for behandlingssikkerhed, og reglerne i denne bekendtgørelse, til rådighed for den dataansvarlige aktør.
Stk. 2. Styrelsen for It og Læring sikrer gennemsigtighed med sikkerhedsforanstaltninger og udarbejder skriftlig dokumentation vedr. kontaktoplysninger mv. i det omfang, der er behov for dette.
Stk. 3. Styrelsen for It og Læring underretter den dataansvarlige, hvis en instruks efter styrelsens mening er i strid med databeskyttelsesforordningen eller i medfør af EU-retten eller medlemsstaternes nationale ret.
Stk. 4. Styrelsen for It og Læring skal én gang årligt for egen regning indhente en ISAE3000-revisionserklæring fra en uafhængig tredjepart om databehandlerens overholdelse af reglerne i denne bekendtgørelse med tilhørende bilag. Styrelsen for It og Læring sender på anmodning fra en dataansvarlig region snarest muligt en kopi af revisionserklæringen.
- Det følger af § 11, stk. 3, at styrelsen skal underrette den dataansvarlige, hvis en instruks efter styrelsens mening er i strid med databeskyttelsesforordningen mv. Regionerne finder det uklart, hvilken instruks der hentydes til, og om det er tanken, at hver dataansvarlig skal udarbejde en individuel instruks til styrelsen, om der skal laves en fælles instruks – eller om det er tanken, at bekendtgørelsens bestemmelser om behandlingssikkerhed mv. skal træde i stedet for den instruks, som normalt ville være en del af en databehandleraftale. Hvis det sidste er tilfældet, bemærker regionerne, at bekendtgørelsen er mere overordnet og langt mindre konkret og udførlig, end en databehandler-aftale med instruks typisk vil være.
- For så vidt angår § 11, stk. 4, fremgår det, at regionerne skal have tilsendt en kopi af revisionserklæringen på anmodning. Regionerne finder ikke, at dette er tilstrækkeligt, men ønsker, at revisionserklæringen skal fremsendes hvert år uden unødig forsinkelse til de dataansvarlige. Hvordan proceduren herfor skal være for at sikre, at erklæringen sendes til rette sted, kan aftales individuelt mellem styrelsen og de enkelte dataansvarlige.
§ 12. Styrelsen for It og Læring kan anvende underdatabehandlere under forudsætning af, at styrelsen har pålagt underdatabehandleren tilstrækkelige databeskyttelsesforpligtelser gennem en kontrakt eller andet retligt dokument i henhold til EU-retten eller medlemsstaternes nationale ret. Styrelsen for It og Læring underretter regionerne om tilføjelse eller erstatning af underdatabehandlere.
Stk. 2. Styrelsen for It og Læring fører tilsyn med underdatabehandlerens overholdelse af sine databeskyttelsesforpligtelser som fastsat i kontrakten eller det andet retligt bindende dokument i henhold til EU-retten eller medlemsstaternes nationale ret i henhold til stk. 1.
Hvad angår § 12, stk. 1, bemærkes det, at regionerne ønsker, at det klart skal fremgå, at underdatabehandlere pålægges de samme databeskyttelsesforpligtelser, som styrelsen er underlagt som databehandler i medfør af bekendtgørelsen og de databeskyttelsesretlige regler.- Regionerne bemærker endvidere, at regionerne i forbindelse med indgåelse af databehandleraftaler normalt altid skal godkende databehandlerens eventuelle underdatabehandlere og bestemme, hvordan der skal føres tilsyn i forhold til underdatabehandleren mv. Dette følger af, at det er den dataansvar-lige, der har det endelige ansvar for databehandlingen i alle led. Som § 12 er formuleret, fremgår det, at regionerne ikke har indflydelse på valg af under-databehandlere og på krav til tilsyn mv. Det er uklart for regionerne, om man med formuleringen af denne bestemmelse dermed har fritaget regionerne for ansvaret for underdatabehandlerne, eller om regionerne fortsat har det fulde ansvar - blot uden indflydelse og mulighed for at håndhæve det.
Læs også Danske Regioners høringssvar i pdf-format herunder: