Aftale vedrørende fælles dataansvar
Aftale vedrørende fælles dataansvar
Mellem
Københavns Professions- højskole
CVR 30891732
Humletorvet 3
1799 København V (Systemansvarlig)
og
SOSU H
CVR 33284101
Xxxxxxxxxxx 0
1717 København V
og
Bornholms Sundheds- og Sygeplejeskole
CVR 29547807
Xxxxxxxxxx 0
3700 Rønne
og Diakonissestiftelsen CVR 62572019
Xxxxx Xxxxx Vej 5B 2000 Frederiksberg og
Region Hovedstaden, Cen- ter for HR og Uddannelse
CVR 29190623
Kongens Vænge 2
3400 Hillerød og
Ballerup Kommune
CVR 58271713
Hold-an Vej 7
2750 Ballerup og
Bornholms Regionskom- mune
CVR 26696348
Xxxxxxxx 00
3700 Rønne og
Brøndby Kommune
CVR 65113015
Park Allé 160
2605 Brøndby og
Dragør Kommune
CVR 12881517
Xxxxxxxx 0
2791 Dragør og
Egedal Kommune
CVR 29188386
Dronning Dagmars Vej 200 3650 Ølstykke
og
Frederiksberg Kommune
CVR 11259979
Smallegade 1
2000 Frederiksberg
og
Fredensborg Kommune
CVR 29188335
Egevangen 3B 2980 Kokkedal og
Frederikssund Kommune
CVR 29 18 91 29
Torvet 2
3600 Frederikssund og
Furesø Kommune
CVR 29188327
Stiager 2
3500 Værløse og
Gladsaxe Kommune
CVR 62761113
Xxxxxx Xxxx 0
2860 Søborg og
Halsnæs Kommune
CVR 29188416
Rådhuspladsen 1
3300 Frederiksværk og
Herlev Kommune
CVR 63640719
Xxxxxx Xxxxxx 00
2730 Herlev og
Side 1 af 20
Hillerød Kommune
CVR 29189366
Trollesmindealle 27
3400 Hillerød og
Høje-Taastrup Kommune
CVR 19501817
Bygaden 2
2630 Taastrup og
Hørsholm Kommune
CVR 70960516
Slotsmarken 13
2970 Hørsholm og
Ishøj Kommune
CVR 11931316
Ishøj Store Torv 20 2635 Ishøj
Og
Københavns Kommune
CVR 64942212
Xxxxxxxxxxxxx 00
2200 København N og
Lyngby-Taarbæk Kom- mune
CVR 11715311
Xxxxxxxxxxxx 00
2800 Kgs. Lyngby og
Rudersdal Kommune
CVR 29188378
Xxxxxxxxx 0
2840 Holte og
Rødovre Kommune
CVR 65307316
Rødovre Xxxxxxx 000
2610 Rødovre og
Side 2 af 20
Udarbejdet af sekretariatet for Partnerskabet om Sammenhængende Uddannelser Marts-oktober 2020
Godkendt af styregruppen for Partnerskabet om Sammenhængende Uddannelser
8. oktober 2020 Senest opdateret
18. august 2022
Indholdsfortegnelse
2. Overordnet ansvarsfordeling 6
3. Principper og behandlingshjemmel 7
4. De registreredes rettigheder 7
5. Behandlingssikkerhed og dokumentation for overholdelse af databeskyttelsesforordningen 8
6. Anvendelse af databehandlere 8
8. Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden 9
9. Underretning om brud på persondatasikkerheden til den registrerede 10
10. Konsekvensanalyse vedrørende databeskyttelse og forudgående høring 10
11. Overførsel af personoplysninger til tredjelande eller internationale organisationer 10
13. Orientering af den anden part 11
15. Kontaktpersoner hos de dataansvarlige 13
Bilag A: Oplysninger om behandlingen 14
Bilag B: Databehandlere under KP’s ansvar 16
Bilag C: Parternes regulering af andre forhold 17
Bilag D: Håndtering af oplysningspligt og registreredes rettigheder 18
Bilag E: Sikkerhedsforanstaltninger 20
1. Fælles dataansvar
1.1. Denne aftale fastsætter ansvarsfordelingen mellem de dataansvarlige, herefter også refereret til som partnerne, i forbindelse med behandling af data1 i Partnerskabet om Sammenhæn- gende Uddannelser (PSU), jf. nedenfor:
• Partnerskabet om Sammenhængende Uddannelser er en fælles organisering af de nævnte dataansvarlige organisationer med formålet at systematisere og kvalificere ar- bejdet med og samarbejdet om kvalitetssikring og udvikling af uddannelserne udbudt under Københavns Professionshøjskole, SOSU H, UC Diakonissestiftelsen og Bornholms Sundheds- og Sygeplejeskole, herunder særligt med fokus på praktikelementer af en varighed over 4 uger, som foregår hos en af partnerne.
• Grundlaget for samarbejdet er fastlagt i rammeaftalen for PSU, som bl.a. indeholder standarder for evaluering af praktikforløb i et fælles evalueringsdesign og i samme eva- lueringssystemer.
• Evalueringssystemernes funktion er:
o at indsamle, systematisere og opbevare rå evalueringsdata (inkl. metadata herun- der personoplysninger) for studerende hhv. elever ifm. gennemførelse af praktikfor- løb med en varighed over 4 uger samt fra ansatte med vejlederansvar på tværs af partnerorganisationerne ifm. en årlig vejlederevaluering,
o at præsentere resultaterne af evalueringerne i standardiserede og anonymiserede opgørelser på en fælles platform med adgang for alle relevante medarbejdere og studerende/elever i partnerorganisationerne,
• Det fælles partnerskabssekretariat for PSU foranstalter endvidere jf. rammeaftalen samt på anmodning fra partnerskabets styregruppe, særanalyser, krydsanalyser m.m. Analy- ser, som inkluderer andre personoplysninger, foretages af databehandlere (fx Danmarks Statistik), som KP, som systemansvarlig har ansvar for og har indgået databehandleraf- taler med. I sådan sammenhæng oversendes ikke-anonymiserede rådata på sikker og krypteret vis til databehandlere under KP’s ansvar til videre behandling jf. databehand- lingsaftale mellem den systemansvarlige (se mere i afsnit 1.3 og 2.2) eller PSU og data- behandleren under KP’s ansvar.
o Opgavefordelingen mellem partnerne og databehandlere under KP’s ansvar. kan i denne sammenhæng overordnet opdeles som følger:
Hvem | Opgave |
Partnerskabssekretariatet | Administration af brugerrettigheder, kontrol og rensning af kvalitative data (jf. afsnit 3 og 5 i KP’s retningslinjer for databehandling i Københavns Professionshøjskoles system til evaluering af un- dervisnings- og praktikforløb samt undervisere på grunduddannelserne) |
Andre partnere i PSU | Indlæser personoplysninger (metadata) på ikke- KP-respondenter (elever og vejledere) |
Den systemansvarlige (KP) | Sikrer drift af evalueringssystemer, herunder at de rette personoplysninger udveksles korrekt. |
1 I Databeskyttelsesforordningens artikel 4, stk 2 defineres begrebet databehandling på følgende møde: ”enhver akti- vitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, op- bevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse”.
Hvem | Opgave |
Databehandlere under KP’s ansvar | Behandler personoplysninger ifm. evalueringers gennemførelse, systematisering og opbevaring af rådata samt udarbejdelse af analyser. |
1.2. Efter databeskyttelsesforordningens artikel 26 foreligger der et fælles dataansvar, når to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling.
Såfremt der foreligger et fælles dataansvar, skal de fælles dataansvarlige på en gennemsigtig måde fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til da- tabeskyttelsesforordningen, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14, ved hjælp af en ordning imellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataan- svarlige er underlagt.
Ordningen skal efter databeskyttelsesforordningens artikel 26, stk. 2, på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af ordningen skal ligeledes gøres tilgængeligt for de registrerede.
Den registrerede kan dog, uanset ordningens udformning, udøve sine rettigheder i medfør af databeskyttelsesforordningen med hensyn til og over for den enkelte dataansvarlige.
Den ”interne” ansvarsfordeling i aftalen om fælles dataansvar hindrer ligeledes ikke, at til- synsmyndigheden kan udøve sine beføjelser overfor alle de dataansvarlige parter.
1.3. Der er mellem de dataansvarlige enighed om, at der i forbindelse med behandling af data i PSU foreligger et fælles dataansvar. Ved vurderingen heraf er der bl.a. lagt vægt på:
• At der bag PSU er samarbejde mellem organisationer, som hver især har et lovmæssigt hhv. samfundsmæssigt ansvar for de omfattede uddannelsers indhold og kvalitet, og organisationerne i regi af PSU i fællesskab fastlægger formålene med og hjælpemid- lerne til databehandlingen, jf. art. 26.
• De dataansvarlige har aftalt en fælles organisering omkring arbejdet i PSU, herunder oprettelsen af et partnerskabssekretariat samt udpegning af én institution (Københavns Professionshøjskole) til rollen som systemansvarlig. Den systemansvarlige stiller IT-in- frastruktur til rådighed samt sikrer overholdelse af denne aftale for de tværgående an- svarsområder (jf. afsnit 2 nedenfor).
1.4. Denne aftale er udformet med henblik på, at de dataansvarlige kan efterleve kravene til fælles dataansvar i databeskyttelsesforordningens artikel 26. I aftalen fastlægges de dataansvarli- ges respektive ansvar for overholdelse af forpligtelserne i henhold til databeskyttelsesforord- ningen, navnlig hvad angår udøvelse af den registreredes rettigheder og forpligtelsen til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14.
2. Overordnet ansvarsfordeling
2.1. Styregruppen for partnerskabet har besluttet en fælles organisering omkring driften af eva- lueringssystemet samt løbende monitorering, evaluering og udvikling af de strategiske ram- mer omkring partnerskabet (se rammeaftalen for detaljer). Driftsorganisering består grund- læggende af følgende to elementer (jf. afsnit 1.3 ovenfor):
2.2. En systemansvarlig (KP), som stiller IT infrastruktur og kapacitet til rådighed, indgår databe- handleraftaler med leverandører og ved tilsyn med leverandør sikrer overholdelse af kravene til databehandler jf. forordningens artikel 28. Den systemansvarlige er endvidere ansvarlig for at føre fortegnelse, jf. artikel 30, for de behandlingsaktiviteter, som finder sted i den fælles løsning. Den systemansvarlige foretager endvidere anmeldelse af eventuelle databrud opstået i PSU-regi. Københavns Professionshøjskole er systemansvarlig partner.
2.3. Et fælles partnerskabssekretariat, som sekretariatsbetjener partnerskabets styregruppe og implementerer rammeaftalens fællesdele (fx udarbejdelse af tværgående årlige statusser mv.). Sekretariatstilknyttede medarbejdere skal overholde den systemansvarliges procedurer for evalueringssystemet (instruks).
2.4. Den enkelte dataansvarlige opfylder den registreredes rettigheder jf. pkt. 4 og foretager an- meldelse af databrud opstået som konsekvens af egen anvendelse af data fra PSU.
3. Principper og behandlingshjemmel
3.1. Hver partner har ansvar for at sikre, at der foreligger et gyldigt behandlingsgrundlag for behandlingen af de data, de leverer til den fælles behandling, og skal kunne dokumentere dette overfor eksempelvis tilsynsmyndigheden.
Alle partnere har hjemmel til databehandlingen jf. Databeskyttelsesforordningens art. 6, stk. 1, litra e.
Hver part har derudover selv ansvaret for at kunne dokumentere hjemmel for myndigheds- udøvelsen i eventuel særlovgivning, fx i internt notat.
3.2. De dataansvarlige er hver især ansvarlige for at overholde principperne for behandling af personoplysninger, i det omfang at reglerne finder anvendelse på den pågældende partners ansvarsområder ifølge denne aftale.
3.3. Udover denne aftale finder Københavns Professionshøjskoles databeskyttelsespolitik anven- delse for så vidt gælder den databehandling og de IT-systemer, som anvendes i regi af KP’s rolle som systemansvarlig. KP’s databeskyttelsespolitik kan findes her: xxx.xx.xx/xxxxxx- skyttelsespolitik.
4. De registreredes rettigheder
4.1. De dataansvarlige er ansvarlige for sikringen af de registreredes rettigheder gennem iagtta- gelse af nedenstående regler i databeskyttelsesforordningen:
• oplysningspligt ved indsamling af personoplysninger hos den registrerede,
• oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede,
• den registreredes indsigtsret,
• ret til berigtigelse,
• ret til begrænsning af behandling,
• underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger el- ler begrænsning af behandling,
• ret til dataportabilitet (dog ikke for offentlige myndigheder) og
• ret til indsigelse mod en behandling.
4.2. Parterne er ansvarlige for at bistå hinanden i det omfang, at dette er relevant og nødvendigt for, at begge parter kan efterleve forpligtelserne over for de registrerede.
Som eksempel: Såfremt en dataansvarlig modtager en anmodning eller henvendelse fra en registreret vedrørende forhold, der ligger under en anden dataansvarligs område, jf. oven- stående, oversendes denne til besvarelse hos pågældende dataansvarlige snarest muligt.
4.3. Den systemansvarlige skal sikre, at der foreligger konkrete procedurer for håndteringen af de forskellige forhold. Se bilag D for den gældende procedure.
5. Behandlingssikkerhed og dokumentation for overholdelse af databeskyt- telsesforordningen
5.1. Den systemansvarlige er ansvarlig for, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, at gennemføre passende tekni- ske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med databeskyttelsesforordningen. Foranstaltningerne skal om nødvendigt revideres og ajourføres løbende (databeskyttelsesforordningens artikel 24). Dette kan eksempelvis indebære, at den systemansvarlige udarbejder procedurer for håndtering af sikkerhedsbrister, anmodninger om indsigt, opfyldelse af oplysningspligten, sletteprocedurer mv.
5.2. Den systemansvarliges foranstaltninger skal, hvis det står i rimeligt forhold til behandlings- aktiviteterne, omfatte implementeringen af passende databeskyttelsespolitikker.
5.3. Den systemansvarlige er ansvarlig for iagttagelse af reglen om databeskyttelse gennem de- sign og databeskyttelse gennem standardindstillinger i databeskyttelsesforordningens artikel 25 (herunder dataminimering).
5.4. Den systemansvarlige er ansvarlig for at iagttage kravet i databeskyttelsesforordningens ar- tikel 32 om behandlingssikkerhed. Dette indebærer, at den systemansvarlige, under hensyn- tagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sand- synlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører pas- sende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der pas- ser til disse risici.
Den systemansvarlige skal derfor foretage (og kunne dokumentere) en risikovurdering, og herefter gennemføre foranstaltninger for at begrænse de identificerede risici.
5.5. Bilag E skitserer de konkrete sikkerhedsforanstaltningermere detaljeret.
6. Anvendelse af databehandlere
6.1. Den systemansvarlige er berettiget til at anvende databehandlere i tilknytning til den fælles behandling.
6.2. Ved eventuel anvendelse af databehandlere skal den systemansvarlige efterleve kravene i databeskyttelsesforordningens artikel 28. Den systemansvarlige er herefter bl.a. forpligtet til:
• alene at anvende databehandlere, der kan stille de fornødne garantier for, at de gen- nemfører de passende tekniske og organisatoriske på en sådan måde, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettighe- der,
• at sikre, at der foreligger en gyldig databehandleraftale mellem den systemansvarlige og databehandleren, og
• at sikre, at der foreligger en gyldig underdatabehandleraftale mellem databehandleren og en eventuel underdatabehandler.
6.3. Alle dataansvarlige som indgår i denne fælles dataansvarsaftale skal efter anmodning herom gøres bekendt med, om oplysningerne behandles af databehandlere.
6.4. Hvis oplysningerne behandles af databehandlere, skal alle dataansvarlige som indgår i denne fælles dataansvarsaftale efter anmodning herom gøres bekendt med indholdet at aftalerne mellem den systemansvarlige og databehandleren.
6.5. Bilag B til denne aftale indeholder oversigt over anvendte databehandlere under KP’s ansvar. Oversigten opdateres som udgangspunkt én gang om året af den systemansvarlige samt efter anmodning fra en eller flere dataansvarlige.
7. Fortegnelse
7.1. Den systemansvarlige er ansvarlig for at iagttage kravet i databeskyttelsesforordningens ar- tikel 30 om fortegnelser over behandlingsaktiviteter. Dette indebærer, at den systemansvar- lige udarbejder en fortegnelse over den behandling, som parterne er fælles dataansvarlige for.
7.2. Den systemansvarlige orienterer de øvrige dataansvarlige om indholdet af ovennævnte for- tegnelse.
7.3. Alle dataansvarlige, som indgår i denne fælles dataansvarsaftale, udarbejder – på baggrund af indholdet i den systemansvarliges fortegnelse - egen fortegnelse over den af aftalen om- handlede behandlingsaktivitet.
8. Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden
8.1. Den systemansvarlige har et overordnet og koordinerende ansvar for efterlevelsen af data- beskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til til- synsmyndigheden.
8.2. Konstaterede brud på persondatasikkerheden i PSU anmeldes som udgangspunkt af KP’s af- deling Forretnings-IT efter koordinering med partnerskabssekretariatet. KP’s DPO kan have en rådgivende rolle i sådan sammenhæng.
8.3. Ved anmeldelse af databrud orienteres den organisation, som bruddet omhandler. I tilfælde af databrud af mere alvorlig karakter orienteres partnerskabets styregruppe samt evt. de enkelte partnerorganisationers kontaktpersoner oplistet i denne aftales afsnit 15.
8.4. Konstateres persondatabrud relateret til PSU af en af de øvrige dataansvarlige end den sy- stemansvarlige, meddeles dette indenfor 24 timer til partnerskabssekretariatet samt KP’s af- deling Forretnings-IT.
9. Underretning om brud på persondatasikkerheden til den registrerede
9.1. Den systemansvarlige (hos KP-afdelingen Forretnings-IT) skal sikre iagttagelsen af databe- skyttelsesforordningens artikel 34 vedrørende underretning om brud på persondatasikkerhe- den til den registrerede.
9.2. Der skal foreligge en procedure for underretning fra den systemansvarlige til den registrerede.
9.3. Som udgangspunkt er det KP, som orienterer databrud til registrerede. I tilfælde hvor data- bruddet omhandler medarbejdere ansat i en partnerorganisation kan det dog være hensigts- mæssigt, at orienteringen kommer fra egen organisation. Dette aftales i dialog mellem part- nerne ifm. en konkret hændelse.
10. Konsekvensanalyse vedrørende databeskyttelse og forudgående høring
10.1. Den systemansvarlige er ansvarlig for iagttagelsen af kravet i databeskyttelsesforordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse. Dette indebærer, at den sy- stemansvarlige, hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, forud for behandlingen foretager en ana- lyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysnin- ger.
10.2. Den systemansvarlige er ligeledes forpligtet til at iagttage kravet i databeskyttelsesforordnin- gens artikel 36 om forudgående høring af tilsynsmyndigheden, når dette er aktuelt.
11. Overførsel af personoplysninger til tredjelande eller internationale orga- nisationer
11.1. Systemansvarlig kan træffe afgørelse om, at der kan ske overførsel af personoplysninger til tredjelande eller internationale organisationer.
11.2. Partnerne er ansvarlig for iagttagelsen af kravene i databeskyttelsesforordningens kapitel V, såfremt der sker overførsel af personoplysninger til tredjelande eller internationale organisa- tioner.
12. Klager
12.1. Partnerne er hver især ansvarlige for behandlingen af eventuelle klager fra registrerede, hvis klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen, for hvilke den dataansvarlige efter denne aftale er ansvarlig.
12.2. Hvis én af partnerne modtager en klage, som rettelig bør behandles af en anden part, over- sendes klagen til denne dataansvarlige snarest muligt (også jf. afsnit 4).
12.3. Hvis én af partnerne modtager en klage, hvor en del af klagen rettelig bør behandles af en anden part, oversendes denne del til besvarelse hos parten snarest muligt.
12.4. Den registrerede skal, i forbindelse med oversendelse af en klage eller en del heraf til anden part, oplyses om det væsentligste indhold af denne aftale.
13. Orientering af den anden part
13.1. Parterne orienterer hinanden om væsentlige forhold, der har betydning for den fælles be- handling og denne aftale.
14. Ikrafttræden og ophør
14.1. Denne aftale træder i kraft ved partnernes underskrift heraf.
14.2. Aftalen er gældende, så længe de omhandlede oplysninger behandles, eller indtil aftalen af- løses af en ny aftale, som fastsætter ansvarsfordelingen i forbindelse med behandlingen.
14.3. Underskrifter:
Organisation | Organisation |
Navn: | Navn: |
Stilling: | Stilling: |
Dato: | Dato: |
Underskrift | Underskrift |
15. Kontaktpersoner hos de dataansvarlige
1. Parterne kan kontakte hinanden via nedenstående kontaktpersoner/afdelinger.
2. Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontaktperso- ner/afdelinger.
Organisation: Afdeling: Navn: Stilling:
Telefonnummer: E-mail:
Bilag A: Oplysninger om behandlingen
A.1. Formålet med behandling af personoplysninger på vegne af de dataansvarlige
Formålet med behandling af personoplysninger i partnerskabet er at sikre adgang til velstrukturerede, validerede og opdaterede datagrundlag til brug for kvalitetssikring og -udvikling af uddannelserne udbudt under SOSU H, Københavns Professionshøjskole, Bornholm Sundheds- og Sygeplejeskole og Diakonisse- stiftelsen.
Det primære udgangspunkt for det fælles kvalitetsarbejde er de dele af uddannelserne, som foregår i praktik (praktikforløb), samt sikring af koblinger mellem praktikforløb og uddannelsernes andre forløb (her- under overgange, deltager- og vejlederforudsætninger mv.). Kvalitetsarbejdet er i denne sammenhæng konstitueret af to forskellige overordnede opgaver; kvalitetssikring hhv. kvalitetsudvikling. For professi- onsbacheloruddannelser gælder det, at professionshøjskolen er lovmæssigt forpligtet til at kvalitetssikre alle dele af uddannelserne. For erhvervsuddannelserne gælder det, at praktikstedet er forpligtet til at kva- litetssikre praktikdelen af uddannelserne. Ved at samles i partnerskabet og databehandle i partnerskabet fremfor som enkeltinstitutioner er ambition rent datamæssigt at opnå datakvalitet uden øget ressourcefor- brug (alle partnerne arbejder i forvejen med kvalitetssikring og -udvikling med dertil hørende omkostnin- ger).
A.2. Behandling af personoplysninger på vegne af de dataansvarlige
Personoplysninger på studerende, elever og medarbejdere anvendes kun som metadata ifm. aggregerede afrapporteringer og analyser, hvor der kobles til andre data, og anvendes ikke på individniveau.
Personoplysninger på studerende, elever og medarbejdere indhentet i regi af partnerskabet kan kun tilgås af ganske få medarbejdere tilknyttet administrative afdelinger hos den systemansvarlige partner (KP) hhv. det fælles partnerskabssekretariat samt tredjepartsdatabehandlere, hvor der foreligger databehandleraf- tale med KP.
A.3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede
Der behandles ikke følsomme data. Personoplysninger som behandles er:
Evalueringssvar (både kvantitative og kvalitative), navn, studienummer2, personnummer3, medarbejder- ID4, uddannelse og undervisningshold, praktik-/ansættelsessted, arbejdsområde, kontaktoplysninger.
A.4. Behandlingen omfatter følgende kategorier af registrerede
Nuværende og tidligere studerende/elever. Nuværende og tidligere ansatte.
2 For studerende på KP, Diakonissestiftelsen og Bornholms Sundheds- og Sygeplejeskole. 3 For elever på SOSUH, Bornholms Sundheds- og Sygeplejeskole og Diakonissestiftelsen. 4 For praktikvejledere.
A.5. Behandling af personoplysninger på vegne af de dataansvarlige kan påbegyndes efter disse bestem- melsers ikrafttræden. Behandlingen har følgende varighed:
For studerende gælder det, at personoplysninger i relation til evalueringer gennemført under partnerskabet slettes 3 år efter afsluttet uddannelse, og data kan i hele perioden anvendes til databehandling med for- målet som beskrevet i bilag A.
For elever og ansatte gælder det, at personoplysninger i relation til evalueringer gennemført under part- nerskabet slettes, når evalueringen ef afsluttet og afrapporteret, minimum hvert halve år.
Bilag B: Databehandlere under KP’s ansvar
En gang årligt gennemfører en uafhængig revisor tilsyn med KP’s databehandlere, Arcanic A/S og Rambøll A/S. Revisionen følger en international standard, som anvendes til revision og erklæringsopgaver med høj grad af sikkerhed om kontroller hos serviceleverandører, herunder it-serviceleverandører5.
B.1. Oversigt over databehandlere under KP’s ansvar
NAVN | CVR | ADRESSE | BESKRIVELSE AF BEHANDLING | TILSYN |
Arcanic A/S | 25826477 | Xxxxxxxxx 000, 0. sal Ø, 2800 Kgs. Lyngby | Anvender personoplysninger ifm. distribution af spørgeske- maer, indsamling, systematise- ring samt opbevaring af rådata. | ISAE 3402 |
Danmarks Statistik | 17150413 | Sejrøgade 11 2100 København Ø | Anvender personoplysninger ifm. analyser baseret på rådata og registerdata. | ISAE 3000 |
Xxxxxxx A/S | 60997918 | Xxxx Xxxxxx Allé 20, 8200 Aarhus N | Anvender personoplysninger ifm. distribution af spørgeske- maer, indsamling, systematise- ring samt opbevaring af rådata. | ISAE 3000 |
Microsoft | 13612870 | Kanalvej 7 2800 Kongens Lyngby | Anvender personoplysninger ifm. udveksling og opbevaring af rådata. | Fra Microsoft får vi løbende opdateret certifikationsporte- følje (ISO27001, ISO27017, ISO27018 og ISO27701) samt dokumenteret uaf- hængigt 0.xxxxx tilsyn (SOC2/TYPE II eller tilsvarende) |
Oversigten opdateres årligt samt efter anmodning fra en eller flere dataansvarlige. Alle partnere orienteres 30 dage inden databehandlere tilføjes eller udskiftes.
5 Se mere om anvendte revisionsstandarder: xxxxx://xxx.xxxx.xx/xxxxxxxxxxxxxx-xx-xxxxxxxxxxxxx/xxxxxxxxxxxxxx-xx- studieadministrative-systemer/anvendte-revisionsstandarder
Bilag C: Parternes regulering af andre forhold
C.1. Solidarisk hæftelse i tilfælde af erstatningsansvar
For god ordens skyld nævnes det her, at partnerne er indforståede med Databeskyttelsesforordningens bestemmelse om solidarisk hæftelse i tilfælde af et erstatningsansvar (Art. 82, stk. 4).
Bilag D: Håndtering af oplysningspligt og registreredes rettigheder
Ved starten af alle evalueringer gennemført i regi af PSU oplyses respondenten om sine rettigheder som registreret. Dette sker i form af en kortfattet tekst direkte i sammenhæng med, at spørgeskemaet åbnes. Her fremgår det tydeligt, hvor man kan henvende sig for at udøve sine rettigheder. Teksten oplyser end- videre om undersøgelsens formål og indeholder link både til PSU’s aftale om fælles dataansvar samt til KP’s databeskyttelsespolitik, således at oplysningspligten opfyldes.
En registreret kan henvende sig til hvilken som helst af partnerne for at udøve sine rettigheder til indsigt og berigtigelse. Nedenfor fremgår proceduren for håndtering af sådanne henvendelser kombineret med en klar opgave/ansvarsfordeling mellem partnerne.
Procedure for afklaring af ansvar for behandling
Procestrin | Aktivitet/hændelse | Opgave/ansvar |
1 | En partner modtager en anmodning om indsigt og berigtigelse med rela- tion til PSU | Pågældende partner kvitterer for modtagelse. |
2 | Det undersøges, om anmodningen drejer sig om interne data i eget hus, hos en anden partner eller data in- denfor PSU | Pågældende partner undersøger, hvilke data anmod- ningen mere konkret drejer sig om. |
3 | Det besluttes, hvor anmodningen skal behandles | Mulighed 1: Hvis anmodningen vurderes at dreje sig om interne data i eget hus, behandles anmodningen internt. Mulighed 2: Hvis anmodningen vurderes at dreje sig om interne data hos en anden partner, videresendes anmodningen til kontaktpersonen hos den pågæl- dende partner (oplyst i dataansvarsaftalens afsnit 15). |
4 | Anmodningen behandles | Ansvaret for behandling af anmodningen overgår til den part, som modtager anmodningen ifm. pro- cestrin 3. Hvis anmodningen skal behandles i partnerskabsse- kretariatet (mulighed 3), sker dette jf. fast trin-for- trin-procedure (se nedenfor) |
5 | Anmodningen besvares | Anmodningen besvares af den behandlende part. Dette skal i udgangspunktet ske inden for 4 uger ef- ter den registrerede afsendte den. Såfremt behandlingen forventes at tage mere end 4 uger, skal den registrerede informeres herom med forklaring og besked om, hvornår et svar er klar. |
Trin-for-trin-procedure når partnerskabssekretariatet behandler anmodning om indsigt og be- rigtigelse
Procestrin | Aktivitet/hændelse | Opgave/ansvar |
1 | Anmodning modtages i sekretaria- tets systempostkasse | Vagthavende sekretariatsmedarbejder kvitterer for modtagelse |
Procestrin | Aktivitet/hændelse | Opgave/ansvar |
2 | Det undersøges, hvordan anmodnin- gen bedst muligt behandles | Vagthavende sekretariatsmedarbejder kontakter DPC hos den systemansvarlige partner (KP) Xxxx Xx- xxx-Xxxxxx (51632699; xxxx@xx.xx) eller Xxxxx Xxxxxxxxx Xxxxx;41897043, xxx@xx.xx) og aftaler, hvordan anmodningen konkret skal behandles. Opgaven noteres og lægges ind i sekretariatets op- gaveportefølje. |
3 | Anmodningen behandles | Sekretariatet sikrer at anmodningen behandles jf. aftale med KP’s DPC. Dette vil typisk indebære føl- gende opgaver: 1. Kontakt til databehandler Arcanic vedr. den del af anmodningen, som omfatter data i Ar- canics systemer, 2. Kontakt til KP’s DPC vedr. den del af anmod- ningen, som omfatter data i KP’s systemer, 3. Kontakt til den/de praktikpartnere vedr. den del af anmodningen, som omfatter data i de- res systemer (kontaktpersoner fremgår af dataansvarsaftalens afsnit 15), 4. Udarbejdelse af oversigt over registreringer, 5. Samling af data omfattet af anmodningen i PDF-format |
4 | Anmodningen besvares | Sekretariatet besvarer anmodningen via Sikker Post. |
Bilag E: Sikkerhedsforanstaltninger
Dette dokument beskriver konkrete foranstaltninger til fremme af sikkerheden ifm. databehandling i regi af PSU. Udover de her nævnte foranstaltninger gælder det, at Københavns Professionshøjskoles databe- skyttelsespolitik og underliggende sikkerhedsprocedurer finder anvendelse i de dele af databehandlingen, hvor KP’s IT-systemer anvendes qua KP’s rolle som systemansvarlig partner. KP’s databeskyttelsespolitik kan findes her: xxx.xx.xx/xxxxxxxxxxxxxxxxxxxxxxx
1. Begrænset adgang til personoplysninger
Personoplysninger er kun tilgængelige i kildesystemets rådata. Adgang til rådata kræ- ver et datatræk, som der skal gives særlig adgang til. Der kan kun gives adgang til rådata for ledelsesudpegede medarbejdere i partnerskabet og ifm. konkrete opgaver samt under hensyntagen til KP’s retningslinjer for databehandling i evalueringssyste- merne, herunder at ingen personer med tilknytning til de konkrete undervisnings- og praktikforløb, som evalueres, gives adgang. Det er et ufravigeligt krav, at den enkelte person er i ansættelse i en af de organisationer, som har delt dataansvar i PSU.
2. Tildeling og styring af adgang til rådata
Adgang til rådata gives af partnerskabssekretariatet . Rettigheder tildeles kun efter skriftlig aftale mellem sekretariatslederen og leder for personen, som får adgang, og kun såfremt formålet retfærdiggør adgang. Der gives endvidere kun rettigheder til an- satte i en partnerorganisation. Evt. tvivlsspørgsmål tages op i styregruppen.
Brugere slettes, når aftalen om deres adgang ophører. Sekretariatet er ansvarlig for, at dette sker.
3. Løbende kontrol med brugerrettigheder
En gang hvert halve år gennemgås listen over personer med adgang til rådata af part- nerskabssekretariatet for at opdatere brugerlisten og slette brugere, som ikke længere skal have adgang. Rettighederne fjernes fra brugere, som jf. pkt. 2 ovenfor ikke læn- gere skal have adgang.
4. Behandling af personoplysninger hos specialiserede databehandlere under
KP’s ansvar
I tilfælde, hvor personoplysninger skal behandles i større omfang, beriges med andre personoplysninger mv. anvendes specialiserede databehandlere under KP’s ansvar til arbejdet (fx Danmarks Statistik, EVA o. lign). Der arbejdes således efter et ”armslæng- deprincip”, som dels ligger i forlængelse af ønsket om at beskytte respondenternes identitet, dels sikrer at databehandlingen sker i overensstemmelse med de højeste standarder på området.
5. Udveksling af personoplysninger
For elever gælder det, at der sker udveksling af personoplysninger mellem systeman- svarlig og andre partnerorganisationer for at evalueringer kan gennemføres. Det samme gælder oplysninger på ansatte i partnerorganisationer, som systemansvarlig ikke selv har adgang til. Udvekslingen sker mellem lederudpegede medarbejdere i partnerorganisationen. Partnerskabssekretariatet har ansvar for at personoplysninger, som ikke længere tjerner et formål ifm. evaluering, slettes i de anvendte systemer un- der bilag B.