Aftale vedrørende fælles dataansvar
Aftale vedrørende fælles dataansvar
Mellem
Københavns Professionshøjskole
CVR 30891732
Humletorvet 3
1799 København V og
Københavns Kommune
CVR 64942212
Xxxxxxxxxxxxx 00
2200 København N og
Region Hovedstaden, Center for HR og Uddannelse
CVR 29190623
Kongens Vænge 2
3400 Hillerød og
SOSU-H
CVR 33284101
Xxxxxxxxxxx 0
1717 København V
og
Ishøj Kommune
CVR 11931316
Ishøj Store Torv 20 2635 Ishøj
og
Halsnæs Kommune
CVR 29188416
Rådhuspladsen 1
3300 Frederiksværk
Side 1 af 22
Udarbejdet af sekretariatet for Partnerskabet om Sammenhængende Uddannelser Marts-oktober 2020
Godkendt af styregruppen for Partnerskabet om Sammenhængende Uddannelser
8. oktober 2020
Indholdsfortegnelse
2. Overordnet ansvarsfordeling 5
3. Principper og behandlingshjemmel 5
4. De registreredes rettigheder 6
5. Behandlingssikkerhed og dokumentation for overholdelse af databeskyttelsesforordningen 6
6. Anvendelse af databehandlere og underdatabehandlere 7
8. Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden 8
9. Underretning om brud på persondatasikkerheden til den registrerede 8
10. Konsekvensanalyse vedrørende databeskyttelse og forudgående høring 9
11. Overførsel af personoplysninger til tredjelande eller internationale organisationer 9
13. Orientering af den anden part 10
15. Kontaktpersoner hos de dataansvarlige 12
Bilag A: Oplysninger om behandlingen 14
Bilag B: Underdatabehandlere 16
Bilag C: Parternes regulering af andre forhold 17
Bilag D: Håndtering af oplysningspligt og registreredes rettigheder 18
Bilag E: Sikkerhedsforanstaltninger 20
1.1. Denne aftale fastsætter ansvarsfordelingen mellem de dataansvarlige i forbindelse med be- handling af data1 i Partnerskabet om Sammenhængende Uddannelser (PSU), jf. nedenfor:
• Partnerskabet om Sammenhængende Uddannelser er en fælles organisering af de nævnte dataansvarlige organisationer med formålet at systematisere og kvalificere arbej- det med og samarbejdet om kvalitetssikring og udvikling af uddannelserne udbudt under Københavns Professionshøjskole hhv. SOSU-H, herunder særligt med fokus på praktikele- menter af en varighed over 4 uger, som foregår hos en af partnerne.
• Grundlaget for samarbejdet er fastlagt i rammeaftalen for PSU, som bl.a. indeholder stan- darder for evaluering af praktikforløb i et fælles evalueringsdesign og i samme evalue- ringssystemer.
• Evalueringssystemernes funktion er:
o at indsamle, systematisere og opbevare rå evalueringsdata (inkl. metadata herunder personoplysninger) for alle KP-studerende hhv. SOSU-elever ifm. gennemførelse af praktikforløb med en varighed over 4 uger samt fra ansatte med vejlederansvar på tværs af partnerorganisationerne ifm. en årlig vejlederevaluering,
o at præsentere resultaterne af evalueringerne i standardiserede og anonymiserede opgørelser på en fælles platform med adgang for alle relevante medarbejdere og stu- derende/elever i partnerorganisationerne,
• Det fælles partnerskabssekretariat for PSU foranstalter endvidere jf. rammeaftalen samt på anmodning fra partnerskabets styregruppe, særanalyser, krydsanalyser m.m. Analyser, som inkluderer andre personoplysninger, foretages af underdatabehandler (fx Danmarks Statistik). I sådan sammenhæng oversendes ikke-anonymiserede rådata på sikker og kryp- teret vis til underdatabehandleren til videre behandling jf. databehandlingsaftale mellem den systemansvarlige (se mere i afsnit 1.3 og 2.2) eller PSU og databehandleren. Dataflow er illustreret i bilag F.
o Opgavefordelingen mellem partnerne og underdatabehandlere kan i denne sammen- hæng overordnet opdeles som følger:
Hvem | Opgave |
Partnerskabssekretariatet | Administration af brugerrettigheder, kontrol og rensning af kvalitative data (jf. afsnit 3 og 5 i KP’s retningslinjer for databehandling i Københavns Professi- onshøjskoles system til evaluering af |
1 I Databeskyttelsesforordningens artikel 4, stk 2 defineres begrebet databehandling på følgende møde: ”enhver akti- vitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, op- bevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse”.
undervisnings- og praktikforløb samt undervisere på grunduddannelserne | |
Andre partnere i PSU | Indlæser personoplysninger (metadata) på ikke-KP-respondenter (SOSU-H-ele- ver, vejledere) |
Den systemansvarlige (KP) | Sikrer drift af evalueringssystemer, her- under at de rette personoplysninger udveksles korrekt. |
Underdatabehandlere | Behandler personoplysninger ifm. xxx- xxxxxxxxxx gennemførelse, systematise- ring og opbevaring af rådata samt udar- bejdelse af analyser. |
1.2. Efter databeskyttelsesforordningens artikel 26 foreligger der et fælles dataansvar, når to eller flere dataansvarlige i fællesskab fastlægger formålene med og hjælpemidlerne til behandling.
Såfremt der foreligger et fælles dataansvar, skal de fælles dataansvarlige på en gennemsigtig måde fastlægge deres respektive ansvar for overholdelse af forpligtelserne i henhold til da- tabeskyttelsesforordningen, navnlig hvad angår udøvelse af den registreredes rettigheder og deres respektive forpligtelser til at fremlægge de oplysninger, der er omhandlet i artikel 13 og 14, ved hjælp af en ordning imellem dem, medmindre og i det omfang de dataansvarliges respektive ansvar er fastlagt i EU-ret eller medlemsstaternes nationale ret, som de dataan- svarlige er underlagt.
Ordningen skal efter databeskyttelsesforordningens artikel 26, stk. 2, på behørig vis afspejle de fælles dataansvarliges respektive roller og forhold til de registrerede. Det væsentligste indhold af ordningen skal ligeledes gøres tilgængeligt for de registrerede.
Den registrerede kan dog, uanset ordningens udformning, udøve sine rettigheder i medfør af databeskyttelsesforordningen med hensyn til og over for den enkelte dataansvarlige.
Den ”interne” ansvarsfordeling i aftalen om fælles dataansvar hindrer ligeledes ikke, at til- synsmyndigheden kan udøve sine beføjelser overfor alle de dataansvarlige parter.
1.3. Der er mellem de dataansvarlige enighed om, at der i forbindelse med behandling af data i PSU foreligger et fælles dataansvar. Ved vurderingen heraf er der bl.a. lagt vægt på:
• At der bag PSU er samarbejde mellem 6 specifikke organisationer, som hver især har et lovmæssigt hhv. samfundsmæssigt ansvar for de omfattede uddannelsers indhold og kva- litet, og organisationerne i regi af PSU i fællesskab fastlægger formålene med og hjælpe- midlerne til databehandlingen, jf. art. 26.
• De dataansvarlige har aftalt en fælles organisering omkring arbejdet i PSU, herunder op- rettelsen af et partnerskabssekretariat samt udpegning af én institution (Københavns Pro- fessionshøjskole) til rollen som systemansvarlig. Den systemansvarlige stiller IT-infrastruk- tur til rådighed samt sikrer overholdelse af denne aftale for de tværgående ansvarsområ- der (jf. afsnit 2 nedenfor).
1.4. Denne aftale er udformet med henblik på, at de dataansvarlige kan efterleve kravene til fælles dataansvar i databeskyttelsesforordningens artikel 26. I aftalen fastlægges de dataansvarliges respektive ansvar for overholdelse af forpligtelserne i henhold til databeskyttelsesforordnin- gen, navnlig hvad angår udøvelse af den registreredes rettigheder og forpligtelsen til at frem- lægge de oplysninger, der er omhandlet i artikel 13 og 14.
2. Overordnet ansvarsfordeling
2.1. Styregruppen for partnerskabet har besluttet en fælles organisering omkring driften af eva- lueringssystemet samt løbende monitorering, evaluering og udvikling af de strategiske ram- mer omkring partnerskabet (se rammeaftalen for detaljer). Driftsorganisering består grund- læggende af følgende to elementer (jf. afsnit 1.3 ovenfor):
2.2. En systemansvarlig (KP), som stiller IT infrastruktur og kapacitet til rådighed, indgår databe- handleraftaler med leverandører og ved tilsyn med leverandør sikrer overholdelse af kravene til databehandler jf. forordningens artikel 28. Den systemansvarlige er endvidere ansvarlig for at føre fortegnelse, jf. artikel 30, for de behandlingsaktiviteter, som finder sted i den fælles løsning. Den systemansvarlige foretager endvidere anmeldelse af eventuelle databrud opstået i PSU-regi. Københavns Professionshøjskole er systemansvarlig partner.
2.3. Et fælles partnerskabssekretariat, som sekretariatsbetjener partnerskabets styregruppe og implementerer rammeaftalens fællesdele (fx udarbejdelse af tværgående årlige statusser mv.). Medarbejdere tilknyttet sekretariatet kan tildeles administratorrettigheder til evalue- ringssystemet, og er dermed de eneste, udover evt. tredjeparter, som kan tilgå ikke-anony- miserede rådata. Sekretariatstilknyttede medarbejdere skal overholde den systemansvarliges procedurer for evalueringssystemet (instruks).
2.4. Den enkelte dataansvarlige opfylder den registreredes rettigheder jf. pkt. 4 og foretager an- meldelse af databrud opstået som konsekvens af egen anvendelse af data fra PSU.
3. Principper og behandlingshjemmel
3.1. Hver partner har ansvar for at sikre, at der foreligger et gyldigt behandlingsgrundlag for behandlingen af de data, de leverer til den fælles behandling, og skal kunne dokumentere dette overfor eksempelvis tilsynsmyndigheden.
Alle partnere har hjemmel til databehandlingen jf. Databeskyttelsesforordningens art. 6, stk. 1, litra e.
Hver part har derudover selv ansvaret for at kunne dokumentere hjemmel for myndigheds- udøvelsen i eventuel særlovgivning, fx i internt notat.
3.2. De dataansvarlige er hver især ansvarlige for at overholde principperne for behandling af personoplysninger, i det omfang at reglerne finder anvendelse på den pågældende partners ansvarsområder ifølge denne aftale.
3.3. Udover denne aftale finder Københavns Professionshøjskoles databeskyttelsespolitik anven- delse for så vidt gælder den databehandling og de IT-systemer, som anvendes i regi af KP’s
rolle som systemansvarlig. KP’s databeskyttelsespolitik kan findes her: xxx.xx.xx/xxxxxx- skyttelsespolitik.
4. De registreredes rettigheder
4.1. De dataansvarlige er ansvarlige for sikringen af de registreredes rettigheder gennem iagtta- gelse af nedenstående regler i databeskyttelsesforordningen:
• oplysningspligt ved indsamling af personoplysninger hos den registrerede,
• oplysningspligt, hvis personoplysninger ikke er indsamlet hos den registrerede,
• den registreredes indsigtsret,
• ret til berigtigelse,
• ret til sletning (retten til at blive glemt),
• ret til begrænsning af behandling,
• underretningspligt i forbindelse med berigtigelse eller sletning af personoplysninger eller begrænsning af behandling,
• ret til dataportabilitet (dog ikke for offentlige myndigheder) og
• ret til indsigelse mod en behandling.
4.2. Parterne er ansvarlige for at bistå hinanden i det omfang, at dette er relevant og nødvendigt for, at begge parter kan efterleve forpligtelserne over for de registrerede.
Som eksempel: Såfremt en dataansvarlig modtager en anmodning eller henvendelse fra en registreret vedrørende forhold, der ligger under en anden dataansvarligs område, jf. oven- stående, oversendes denne til besvarelse hos pågældende dataansvarlige snarest muligt.
4.3. Den systemansvarlige skal sikre, at der foreligger konkrete procedurer for håndteringen af de forskellige forhold. Se bilag D for den gældende procedure.
5. Behandlingssikkerhed og dokumentation for overholdelse af databeskyt- telsesforordningen
5.1. Den systemansvarlige er ansvarlig for, under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, at gennemføre passende tekni- ske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med databeskyttelsesforordningen. Foranstaltningerne skal om nødvendigt revideres og ajourføres løbende (databeskyttelsesforordningens artikel 24). Dette kan eksempelvis indebære, at den systemansvarlige udarbejder procedurer for håndtering af sikkerhedsbrister, anmodninger om indsigt, opfyldelse af oplysningspligten, sletteprocedurer mv.
5.2. Den systemansvarliges foranstaltninger skal, hvis det står i rimeligt forhold til behandlings- aktiviteterne, omfatte implementeringen af passende databeskyttelsespolitikker.
5.3. Den systemansvarlige er ansvarlig for iagttagelse af reglen om databeskyttelse gennem de- sign og databeskyttelse gennem standardindstillinger i databeskyttelsesforordningens artikel 25 (herunder dataminimering).
5.4. Den systemansvarlige er ansvarlig for at iagttage kravet i databeskyttelsesforordningens ar- tikel 32 om behandlingssikkerhed. Dette indebærer, at den systemansvarlige, under hensyn- tagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sand- synlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører pas- sende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der pas- ser til disse risici.
Den systemansvarlige skal derfor foretage (og kunne dokumentere) en risikovurdering, og herefter gennemføre foranstaltninger for at begrænse de identificerede risici.
5.5. Bilag E og F skitserer de konkrete sikkerhedsforanstaltninger og dataflowet mere detaljeret.
6. Anvendelse af databehandlere og underdatabehandlere
6.1. Den systemansvarlige er berettiget til at anvende databehandlere og/eller eventuelle under- databehandlere i tilknytning til den fælles behandling.
6.2. Ved eventuel anvendelse af databehandlere og/eller underdatabehandlere skal den system- ansvarlige efterleve kravene i databeskyttelsesforordningens artikel 28. Den systemansvar- lige er herefter bl.a. forpligtet til:
• alene at anvende databehandlere, der kan stille de fornødne garantier for, at de gen- nemfører de passende tekniske og organisatoriske på en sådan måde, at behandling op- fylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder,
• at sikre, at der foreligger en gyldig databehandleraftale mellem den systemansvarlige og databehandleren, og
• at sikre, at der foreligger en gyldig underdatabehandleraftale mellem databehandleren og en eventuel underdatabehandler.
6.3. Alle dataansvarlige som indgår i denne fælles dataansvarsaftale skal efter anmodning herom gøres bekendt med, om oplysningerne behandles af databehandlere og evt. underdatabe- handlere.
6.4. Hvis oplysningerne behandles af databehandlere og evt. underdatabehandlere, skal alle da- taansvarlige som indgår i denne fælles dataansvarsaftale efter anmodning herom gøres be- kendt med indholdet at aftalerne mellem den systemansvarlige og databehandleren/under- databehandleren.
6.5. Bilag B til denne aftale indeholder oversigt over anvendte underdatabehandlere. Oversigten opdateres som udgangspunkt én gang om året af den systemansvarlige samt efter anmodning fra en eller flere dataansvarlige.
7.1. Den systemansvarlige er ansvarlig for at iagttage kravet i databeskyttelsesforordningens ar- tikel 30 om fortegnelser over behandlingsaktiviteter. Dette indebærer, at den systemansvar- lige udarbejder en fortegnelse over den behandling, som parterne er fælles dataansvarlige for.
7.2. Den systemansvarlige orienterer de øvrige dataansvarlige om indholdet af ovennævnte for- tegnelse.
7.3. Alle dataansvarlige, som indgår i denne fælles dataansvarsaftale, udarbejder – på baggrund af indholdet i den systemansvarliges fortegnelse - egen fortegnelse over den af aftalen om- handlede behandlingsaktivitet.
8. Anmeldelse af brud på persondatasikkerheden til tilsynsmyndigheden
8.1. Den systemansvarlige har et overordnet og koordinerende ansvar for efterlevelsen af data- beskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden til til- synsmyndigheden.
8.2. Konstaterede brud på persondatasikkerheden i PSU anmeldes som udgangspunkt af KP’s af- deling Forretnings-IT efter koordinering med partnerskabssekretariatet. KP’s DPO kan have en rådgivende rolle i sådan sammenhæng.
8.3. Ved anmeldelse af databrud orienteres den organisation, som bruddet omhandler. I tilfælde af databrud af mere alvorlig karakter orienteres partnerskabets styregruppe samt evt. de enkelte partnerorganisationers kontaktpersoner oplistet i denne aftales afsnit 15.
8.4. Konstateres persondatabrud relateret til PSU af en af de øvrige dataansvarlige end den sy- stemansvarlige, meddeles dette indenfor 24 timer til partnerskabssekretariatet samt KP’s af- deling Forretnings-IT.
9. Underretning om brud på persondatasikkerheden til den registrerede
9.1. Den systemansvarlige (hos KP-afdelingen Forretnings-IT) skal sikre iagttagelsen af databe- skyttelsesforordningens artikel 34 vedrørende underretning om brud på persondatasikkerhe- den til den registrerede.
9.2. Der skal foreligge en procedure for underretning fra den systemansvarlige til den registrerede.
9.3. Som udgangspunkt er det KP, som orienterer databrud til registrerede. I tilfælde hvor data- bruddet omhandler medarbejdere ansat i en partnerorganisation kan det dog være hensigts- mæssigt, at orienteringen kommer fra egen organisation. Dette aftales i dialog mellem part- nerne ifm. en konkret hændelse.
10. Konsekvensanalyse vedrørende databeskyttelse og forudgående høring
10.1. Den systemansvarlige er ansvarlig for iagttagelsen af kravet i databeskyttelsesforordningens artikel 35 om konsekvensanalyse vedrørende databeskyttelse. Dette indebærer, at den sy- stemansvarlige, hvis en type behandling, navnlig ved brug af nye teknologier og i medfør af sin karakter, omfang, sammenhæng og formål, sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, forud for behandlingen foretager en ana- lyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysnin- ger.
10.2. Den systemansvarlige er ligeledes forpligtet til at iagttage kravet i databeskyttelsesforordnin- gens artikel 36 om forudgående høring af tilsynsmyndigheden, når dette er aktuelt.
11. Overførsel af personoplysninger til tredjelande eller internationale orga- nisationer
11.1. Der må ikke ske overførsel af personoplysninger til lande uden for EU eller internationale organisationer, uden at det er aftalt af partnerne i fællesskab i regi af partnerskabets styre- gruppe.
11.2. Alle dataansvarlige, som indgår i denne fælles dataansvarsaftale, er ansvarlige for iagttagel- sen af kravene i databeskyttelsesforordningens kapitel V, såfremt der sker overførsel af per- sonoplysninger til tredjelande eller internationale organisationer.
12.1. Partnerne er hver især ansvarlige for behandlingen af eventuelle klager fra registrerede, hvis klagerne omhandler overtrædelse af bestemmelser i databeskyttelsesforordningen, for hvilke den dataansvarlige efter denne aftale er ansvarlig.
12.2. Hvis én af partnerne modtager en klage, som rettelig bør behandles af en anden part, over- sendes klagen til denne dataansvarlige snarest muligt (også jf. afsnit 4).
12.3. Hvis én af partnerne modtager en klage, hvor en del af klagen rettelig bør behandles af en anden part, oversendes denne del til besvarelse hos parten snarest muligt.
12.4. Den registrerede skal, i forbindelse med oversendelse af en klage eller en del heraf til anden part, oplyses om det væsentligste indhold af denne aftale.
13. Orientering af den anden part
13.1. Parterne orienterer hinanden om væsentlige forhold, der har betydning for den fælles be- handling og denne aftale.
14.1. Denne aftale træder i kraft ved partnernes underskrift heraf.
14.2. Aftalen er gældende, så længe de omhandlede oplysninger behandles, eller indtil aftalen af- løses af en ny aftale, som fastsætter ansvarsfordelingen i forbindelse med behandlingen.
Københavns Professionshøjskole | Københavns Kommune |
Navn: Xxxxx Xxxxxx | Xxxx: Xxx Xxxxxxx |
Stilling: Dekan | Stilling: Chef |
Dato: | Dato: |
Underskrift | Underskrift |
Region-H | SOSU-H |
Navn: Xxxxxxxxx Xxxx | Navn: Xxxxx Xxxxxxxxx Xxxxxxx |
Stilling: Enhedschef | Stilling: Direktør |
Dato: | Dato: |
Underskrift | Underskrift |
Ishøj Kommune | Halsnæs Kommune |
Navn: Xxxxxx Xxxxx | Navn: Xxxxx Xxxx |
Xxxxxxxx: Direktør | Stilling: Direktør |
Dato: | Dato: |
Underskrift | Underskrift |
15. Kontaktpersoner hos de dataansvarlige
1. Parterne kan kontakte hinanden via nedenstående kontaktpersoner/afdelinger.
2. Parterne er forpligtet til løbende at orientere hinanden om ændringer vedrørende kontaktperso- ner/afdelinger.
Organisation: Københavns Professionshøjskole Organisation: Københavns Professionshøjskole
Afdeling: Forretnings-IT Afdeling: Kvalitet og Analyse
Navn: Xxxx Xxxxx-Xxxxxx Xxxx: Xxxxx Xxxxx Xxxxxx
Stilling: Projektleder og DPC Stilling: Projektleder og specialkonsulent
Telefonnummer: 0000 0000 Telefonnummer: 0000 0000
E-mail : xxxx@xx.xx E-mail: xxxx@xx.xx
Organisation: SOSU-H Organisation: SOSU-H
Afdeling: Skelbækgade Afdeling:
Navn: Xxx Xxxxxx Xxxxxx Navn: Stilling: Specialkonsulent og intern DPO Stilling:
Telefonnummer: 0000 0000 Telefonnummer:
E-mail : xxx@xxxxx.xx E-mail:
Organisation: Region Hovedstaden Organisation: Region Hovedstaden Afdeling: Ledelsesbetjening og kommunikation Afdeling: Enhed for Uddannelse Navn: Xxxxxxxx Xxxxxxxxxx Xxxxxxx Navn: Xxxxx Xxxxxxx
Stilling: DPO - Databeskyttelsesrådgiver Stilling: Specialkonsulent Telefonnummer: 51162935 Telefonnummer: 00000000
E-mail : xxxxxxxx.xxxxxxxxxxx.xxxxxxx@xxxxxxx.xx E-mail: xxxx0000@xxxxxxx.xx
Organisation: Halsnæs Kommune Organisation: Halsnæs Kommune
Afdeling: Koncernsekretariatet Afdeling: Personaleservice
Navn: Xxxxx Xxxxxx Xxxx: Xxx Xxxxxx
Stilling: Sekretariatschef Stilling: Personaleleder
Telefonnummer: 20267507 Telefonnummer: 00000000
E-mail : xxxx@xxxxxxxx.xx E-mail: xxxx@xxxxxxxx.xx
Organisation: Ishøj Kommune Organisation: Ishøj kommune
Afdeling: It & digitalisering Afdeling:
Navn: Xxxxx Xxxxx Navn:
Stilling: Leder af it & digitalisering Stilling:
Telefonnummer: 00000000 Telefonnummer:
E-mail : xxxxx@xxxxx.xx E-mail:
Organisation: Københavns Kommune Organisation: Frederiksberg Kommune
Afdeling: SUF, Uddannelse og Arbejdsmiljø Afdeling:
Navn: Xxxxxx Xxxxxxxxx Navn:
Stilling: Administrationsleder Stilling:
Telefonnummer: 0000 0000 Telefonnummer:
E-mail : XX00@xx.xx E-mail: xxxxxxxxxxxxxxx@xxxxxxxxxxxxx.xx
Bilag A: Oplysninger om behandlingen
A.1. Formålet med behandling af personoplysninger på vegne af de dataansvarlige
Formålet med behandling af personoplysninger i partnerskabet er at sikre adgang til velstrukturerede, vali- derede og opdaterede datagrundlag til brug for kvalitetssikring og -udvikling af uddannelserne udbudt under SOSU-H hhv. Københavns Professionshøjskole.
Det primære udgangspunkt for det fælles kvalitetsarbejde er de dele af uddannelserne, som foregår i praktik (praktikforløb), samt sikring af koblinger mellem praktikforløb og uddannelsernes andre forløb (herunder overgange, deltager- og vejlederforudsætninger mv.). Kvalitetsarbejdet er i denne sammenhæng konstitue- ret af to forskellige overordnede opgaver; kvalitetssikring hhv. kvalitetsudvikling. For professionsbachelorud- dannelser gælder det, at professionshøjskolen er lovmæssigt forpligtet til at kvalitetssikre alle dele af uddan- nelserne. For erhvervsuddannelserne gælder det, at praktikstedet er forpligtet til at kvalitetssikre praktikde- len af uddannelserne. Ved at samles i partnerskabet og databehandle i partnerskabet fremfor som enkeltin- stitutioner er ambition rent datamæssigt at opnå datakvalitet uden øget ressourceforbrug (alle partnerne arbejder i forvejen med kvalitetssikring og -udvikling med dertil hørende omkostninger).
A.2. Behandling af personoplysninger på vegne af de dataansvarlige
Personoplysninger på studerende, elever og medarbejdere anvendes kun som metadata ifm. aggregerede afrapporteringer og analyser, hvor der kobles til andre data, og anvendes ikke på individniveau.
Personoplysninger på studerende, elever og medarbejdere indhentet i regi af partnerskabet kan kun tilgås af ganske få medarbejdere tilknyttet administrative afdelinger hos den systemansvarlige partner (KP) hhv. det fælles partnerskabssekretariat samt tredjepartsdatabehandlere, hvor der foreligger databehandleraftale med KP.
A.3. Behandlingen omfatter følgende typer af personoplysninger om de registrerede
Der behandles ikke følsomme data. Personoplysninger som behandles er:
Evalueringssvar (både kvantitative og kvalitative), navn, studienummer2, personnummer3, medarbejder-ID4, uddannelse og undervisningshold, praktik-/ansættelsessted, arbejdsområde, kontaktoplysninger.
A.4. Behandlingen omfatter følgende kategorier af registrerede
Nuværende og tidligere studerende/elever.
2 For KP-studerende.
3 For SOSU-H-studerende.
Nuværende og tidligere ansatte.
A.5. Behandling af personoplysninger på vegne af de dataansvarlige kan påbegyndes efter disse bestem- melsers ikrafttræden. Behandlingen har følgende varighed:
Der gemmes ikke følsomme data, men personoplysninger gemmes for at kunne udarbejde statistikker til brug i kvalitetssikring og -udvikling. Resultatet af sådanne analyser vil aldrig kunne spores tilbage til konkrete per- soner.
For studerende og elever gælder det, at personoplysninger gemmes i 3 år efter afsluttet uddannelse, og data kan i hele perioden anvendes til databehandling med formålet som beskrevet i bilag A.
For ansatte gælder det, at personoplysninger gemmes i op til 3 år efter evalueringens gennemførelse, og data kan i hele perioden anvendes til databehandling med formålet som beskrevet i bilag A.
B.1. Oversigt over underdatabehandlere
NAVN | CVR | ADRESSE | BESKRIVELSE AF BE- HANDLING |
Arcanic A/S | 25826477 | Xxxxxxxxx 000, 0. sal Ø, 2800 Kgs. Lyngby | Anvender personoplys- ninger ifm. distribution af spørgeskemaer, ind- samling, systematise- ring samt opbevaring af rådata (praktikevalue- ring). |
Danmarks Statistik | 17150413 | Sejrøgade 11 2100 København Ø | Anvender personoplys- ninger ifm. analyser ba- seret på rådata og regi- sterdata. |
Xxxxxxx A/S | 60997918 | Xxxx Xxxxxx Allé 20, 8200 Aarhus N | Anvender personoplys- ninger ifm. distribution af spørgeskemaer, ind- samling, systematise- ring samt opbevaring af rådata (vejlederevalue- ring). |
Oversigten opdateres årligt samt efter anmodning fra en eller flere dataansvarlige.
Bilag C: Parternes regulering af andre forhold
C.1. Solidarisk hæftelse i tilfælde af erstatningsansvar
For god ordens skyld nævnes det her, at partnerne er indforståede med Databeskyttelsesforordningens bestemmelse om solidarisk hæftelse i tilfælde af et erstatningsansvar (Art. 82, stk. 4).
Bilag D: Håndtering af oplysningspligt og registreredes rettigheder
Ved starten af alle evalueringer gennemført i regi af PSU oplyses respondenten om sine rettigheder som registreret. Dette sker i form af en kortfattet tekst direkte i sammenhæng med, at spørgeskemaet åbnes. Her fremgår det tydeligt, hvor man kan henvende sig for at udøve sine rettigheder. Teksten oplyser end- videre om undersøgelsens formål og indeholder link både til PSU’s aftale om fælles dataansvar samt til KP’s databeskyttelsespolitik. Endelig fungerer teksten som samtykke.
En registreret kan henvende sig til hvilken som helst af partnerne for at udøve sine rettigheder til indsigt, berigtigelse og/eller anmode om sletning af data. Nedenfor fremgår proceduren for håndtering af sådanne henvendelser kombineret med en klar opgave/ansvarsfordeling mellem partnerne.
Procedure for afklaring af ansvar for behandling
Procestrin | Aktivitet/hændelse | Opgave/ansvar |
1 | En partner modtager en anmodning om indsigt, berigtigelse og/eller slet- ning af data med relation til PSU | Pågældende partner kvitterer for modtagelse. |
2 | Det undersøges, om anmodningen drejer sig om interne data i eget hus, hos en anden partner eller data in- denfor PSU | Pågældende partner undersøger, hvilke data anmod- ningen mere konkret drejer sig om. |
3 | Det besluttes, hvor anmodningen skal behandles | Mulighed 1: Hvis anmodningen vurderes at dreje sig om interne data i eget hus, behandles anmodningen internt. Mulighed 2: Hvis anmodningen vurderes at dreje sig om interne data hos en anden partner, videresendes anmodningen til kontaktpersonen hos den pågæl- dende partner (oplyst i dataansvarsaftalens afsnit 15). |
4 | Anmodningen behandles | Ansvaret for behandling af anmodningen overgår til den part, som modtager anmodningen ifm. pro- cestrin 3. Hvis anmodningen skal behandles i partnerskabsse- kretariatet (mulighed 3), sker dette jf. fast trin-for- trin-procedure (se nedenfor) |
5 | Anmodningen besvares | Anmodningen besvares af den behandlende part. Dette skal i udgangspunktet ske inden for 4 uger ef- ter den registrerede afsendte den. Såfremt behandlingen forventes at tage mere end 4 uger, skal den registrerede informeres herom med forklaring og besked om, hvornår et svar er klar. |
Trin-for-trin-procedure når partnerskabssekretariatet behandler anmodning om indsigt, berig- tigelse og/eller sletning
Procestrin | Aktivitet/hændelse | Opgave/ansvar |
1 | Anmodning modtages i sekretaria- tets systempostkasse | Vagthavende sekretariatsmedarbejder kvitterer for modtagelse |
2 | Det undersøges, hvordan anmodnin- gen bedst muligt behandles | Vagthavende sekretariatsmedarbejder kontakter DPC hos den systemansvarlige partner (KP) Xxxx Xx- |
xxx-Xxxxxx (51632699; xxxx@xx.xx) eller Mette Ad- ler Nielsen (41898754; xxx@xx.xx) og aftaler, hvordan anmodningen konkret skal behandles. Opgaven noteres og lægges ind i sekretariatets op- gaveportefølje. | ||
3 | Anmodningen behandles | Sekretariatet sikrer at anmodningen behandles jf. aftale med KP’s DPC. Dette vil typisk indebære føl- gende opgaver: 1. Kontakt til underdatabehandler Arcanic vedr. den del af anmodningen, som omfatter data i Arcanics systemer, 2. Kontakt til KP’s DPC vedr. den del af anmod- ningen, som omfatter data i KP’s systemer, 3. Kontakt til den/de praktikpartnere vedr. den del af anmodningen, som omfatter data i de- res systemer (kontaktpersoner fremgår af dataansvarsaftalens afsnit 15), 4. Udarbejdelse af oversigt over registreringer, 5. Samling af data omfattet af anmodningen i PDF-format |
4 | Anmodningen besvares | Sekretariatet besvarer anmodningen via Sikker Post. |
Bilag E: Sikkerhedsforanstaltninger
Dette dokument beskriver konkrete foranstaltninger til fremme af sikkerheden ifm. databehandling i regi af PSU. Udover de her nævnte foranstaltninger gælder det, at Københavns Professionshøjskoles databe- skyttelsespolitik og underliggende sikkerhedsprocedurer finder anvendelse i de dele af databehandlingen, hvor KP’s IT-systemer anvendes qua KP’s rolle som systemansvarlig partner. KP’s databeskyttelsespolitik kan findes her: xxx.xx.xx/xxxxxxxxxxxxxxxxxxxxxxx
1. Begrænset adgang til personoplysninger
Personoplysninger er kun tilgængelige i kildesystemets rådata samt via en særlig adgang til KP’s datawarehouse (KPEVA – se bilag F om dataflow). For begge gælder det, at der skal tildeles særlige brugerrettigheder til de pågældende systemer, før der opnås ad- gang.
Der kan gives adgang til personer med formel tilknytning til sekretariatet og ifm. kon-
krete opgaver samt under hensyntagen til KP’s retningslinjer for databehandling i evalue- ringssystemerne, herunder at ingen personer med tilknytning til de konkrete undervis- nings- og praktikforløb, som evalueres, gives adgang. Det er et ufravigeligt krav, at den enkelte person er i ansættelse i en af de organisationer, som har delt dataansvar i PSU.
2. Tildeling og styring af brugerrettigheder til kildesystem og KPEVA
Brugerrettigheder tildeles af projektlederen for evaluering i partnerskabssekretariatet på mandat fra styregruppen for Partnerskabet om sammenhængende uddannelser. Ret- tigheder tildeles kun efter skriftlig aftale mellem projektlederen og nærmeste leder for personen, som får rettigheder, og kun såfremt formålet retfærdiggør adgang. Der gives endvidere kun rettigheder til ansatte i en partnerorganisation. Evt. tvivlsspørgsmål tages op i styregruppen.
Brugere slettes, når formålet med deres adgang ophører. Projektlederen er ansvarlig for, at dette sker. For ikke-KP-ansatte brugere gælder det, at brugerrettighederne tildeles på midlertidig basis (typisk max et kvartal ad gangen). Hvis omstændighederne tilsiger det, kan perioden forlænges efter aftale mellem projektlederen og brugerens nærmeste le- der.
Styring af rettigheder sker vha. KP-credentials. Såfremt der skal tildeles rettigheder til en person, som ikke er ansat i KP, oprettes en KP-bruger til formålet.
3. Løbende kontrol med brugerrettigheder
En gang hvert kvartal gennemgås brugerlisten af projektlederen i partnerskabssekretaria- tet for at opdatere brugerlisten og slette brugere, som ikke længere skal have adgang.
Næste gennemgang er d. 1.12.2021. Rettighederne fjernes fra brugere, som jf. pkt. 2 ovenfor ikke længere skal have adgang, fx når den konkrete opgave, rettighederne blev tildelt i forbindelse med, er afsluttet.
4. Behandling af personoplysninger hos specialiserede underdatabehandlere
I tilfælde, hvor personoplysninger skal behandles i større omfang, beriges med andre personoplysninger mv. anvendes specialiserede underdatabehandlere til arbejdet (fx
Danmarks Statistik, EVA o. lign). Der arbejdes således efter et ”armslængdeprincip”, som dels ligger i forlængelse af ønsket om at beskytte respondenternes identitet, dels sikrer at databehandlingen sker i overensstemmelse med de højeste standarder på området.
Kommenterede [LDJ1]: Diagrammet vil blive opdateret når en- delig teknisk løsningfor indlæsning af SOSU-H-elevdata er på plads (forventeligt september-oktober). Samtidig vil diagrammet blive delt op, sådan at vejlederoplysninger har sit eget flow, da disse ikke læ- ses ind hos Arcanic, i det vejlederevaluering foretages håndholdt af KP via Survey Xact
Bilag F: Dataflow
I nedenstående diagram dækker betegnelsen ”SOSU-H-respondenter” over elever samt deres praktikvejledere fra Region-H og partnerkommuner. På samme måde dækker betegnelsen KP-respondenter over studerende samt deres praktikvejledere fra Region-H og partnerkommuner.
Side 22 af 22