Avdelningen för studieadministrativa system
Avdelningen för studieadministrativa system
Datum 2020-04-06
1
Diarienummer V 2021/691
Svar på ärende "Förslag till nytt Konsortialavtal för Ladokkonsortiet"
Bakgrund
Ladokkonsortiet styrelse har tagit fram ett förslag till nytt konsortialavtal för Ladok som vi har beretts tillfälle att yttra oss över senast 9 april. Lunds Universitet ser allvarliga brister i detta avtal enligt nedanstående.
Synpunkter
1. Avtalets uppbyggnad
Avtalet saknar enhetlig användning (definitioner) av viktiga termer – det är oklart vad som menas med extern intressent, associerad part, konsortieförvaltning, system, tjänster Ladokprodukt etc.
Rollerna är otydligt beskrivna vilket gör att det inte går att tydligt bedöma vem som har ansvar för de olika momenten.
2. Konsortiets organisation
Konsortiet refereras till som egen juridisk person t.ex. ”konsortiet ska bära kostnaderna”, och detta är ju inte är fallet. Det framgår inte vem som ingår i Stämman eller vad ”förvaltning av konsortiet” skulle innebära.
Det bör tydligare framgå hur beslut fattas och vem som fattar beslut, hur man kallar till möte etc. En otydlighet finns idag mellan rollerna ordförande och konsortiechef.
Avtalet reglerar att ”förvaltningschef eller motsvarande” har rösträtt vid stämman och att ledamöterna i styrelsen ska vara förvaltningschefer. Detta torde inte kunna regleras i avtal utan i varje lärosätes delegationsording.
Inget universitet är utpekat som koordinator eller liknande vilket normalt görs i sådana här samarbeten. De facto har Umeå universitet enligt uppgift många av de samordnande uppgifterna, detta borde tydliggöras i avtalet, nu anges bara att de ansvarar för den ekonomiska redovisningen för konsortiet.
Postadress Lunds universitet Avdelningen för Studieadministrativa system Box 117 221 00 LUND Besöksadress Matematikhuset, Xxxxxxxxxx 00 X, Xxxx
Centrala studiestödsnämnden anges på hemsidan som en av ägarna men finns inte angiven som part.
3. Personuppgiftshantering
Var och en av parterna är personuppgiftsansvariga för sin egna data, men det framgår inte i vilken situation de blir biträden till varandra. Enligt det personuppgiftsbiträdesavtal som finns idag ska ”konsortiet” fungera som biträde till lärosätena. Konsortiet består av parterna och detta gör alltså parterna biträde till sig själva vilket inte är hållbart juridiskt.
Terminologin verkar inte överensstämma i konsortieavtalet resp. PUBA och viss reglering i konsortieavtalet om rättning av information mm hör egentligen hemma i ett PUBA.
PUBA är vidare en förutsättning för att parterna ska kunna leva upp till de åtaganden som framgår av avsnitt 1.2, t.ex. rörande kvalitets- och registeransvar enligt studiedokumentationsförordningen 1993:1153 och enligt annan relevant lagstiftning. Men också för att partshögskolorna ska kunna ansvara för en korrekt informationssäkerhetshantering (utifrån säkerhetsaspekterna konfidentialitet, riktighet och tillgänglighet).
Se också punkt 4 om oklarheter i var datan faktiskt behandlas.
4. Systemförvaltning och ansvar Var finns systemet rent fysiskt?
Om något går fel har parterna ingen leverantör att rikta krav mot.
Vem står för utvecklingen och hur är rättigheterna i samband med denna reglerad?
Det saknas utfästelser kring service level vad gäller drift och support, och är oklart vilka delar lärosätena själva ska stå för.
Sammanfattning av risker för LU
Utifrån storleken på verksamheten och de frågor som konsortiet hanterar är det viktigt att klargöra ansvarsförhållanden inom konsortiet och de grupper och funktioner som satts upp inom detta. Verksamheten fungerar just nu bra men med den komplexitet som finns i verksamheten och de personuppgifter som förvaltas behöver överenskommelsen vara mycket tydligare än den är idag. Det innebär en stor risk för lärosätena som bär ansvaret för sin egen användning av Ladok och personuppgifterna i denna utan att kunna kontrollera organisationen av dessa och det finns inget giltigt
personuppgiftsbiträdesavtal (eftersom ”Konsortiet” inte kan vara part)
Xxxxxxx Xxxxxxx Avdelningschef