Datatilsynet finder IT-Universitetets brug af tilsynsprogram ved online eksamen acceptabel

Denne bekendtgørelse fastsætter nye og opdaterede krav til de studieadministrative IT-systemer (SA-systemer), der anvendes på en bred vifte af danske uddannelsesinstitutioner, herunder erhvervsskoler, gymnasier, VUC, FGU og udbydere af arbejdsmarkedsuddannelser. Bekendtgørelsen træder i kraft den 1. januar 2024 og erstatter den hidtidige bekendtgørelse fra maj 2023.

Hovedformål og centrale krav

Bekendtgørelsens primære formål er at sikre, at SA-systemerne er stabile, sikre og i overensstemmelse med gældende lovgivning, især i forhold til korrekt datahåndtering, tilskudsberegning og databeskyttelse. De centrale krav er:

• Obligatorisk Systemrevision: Institutioner må kun anvende SA-systemer, der er omfattet af en systemrevisionserklæring uden modifikationer. Denne erklæring skal udarbejdes af en statsautoriseret eller registreret revisor.
• Internationale Standarder: Revisionen skal leve op til anerkendte standarder:
  • ISAE 3402 (Type 2): Dokumenterer kontroller relateret til finansiel rapportering og tilskudsadministration.
  • ISAE 3000 (Høj grad af sikkerhed): Dokumenterer, at behandlingen af personoplysninger overholder gældende databeskyttelsesregler (GDPR).
• Offentliggørelse: Styrelsen for It og Læring (STIL) fører og offentliggør en liste over de SA-systemer, der opfylder kravene.

Væsentlige ændringer

I forhold til den tidligere bekendtgørelse er der foretaget flere justeringer, blandt andet på baggrund af høringssvar.

IT-Instruks og grænseflader

Bekendtgørelsens bilag 1, "It-instruks", indeholder en omfattende liste af specifikke kontrolmål og kontroller, som SA-systemerne skal overholde. Dette dækker alt fra regelovervågning, adgangsstyring og behandling af personoplysninger til change management og tekniske grænseflader mod en lang række centrale, statslige IT-systemer, herunder:

• CØSA (Det Centrale Oplysnings- og Styringssystem for Afklaring)
• Datavarehuset
• Eksamensdatabasen
• Optagelse.dk
• Ungedatabasen
• Lærepladsen.dk
• Unilogin

Ikrafttrædelse og overgangsordning

Bekendtgørelsen træder i kraft den 1. januar 2024. Systemrevisionserklæringer, der er udarbejdet i henhold til de tidligere bekendtgørelser fra 2022 og 2023, bevarer deres gyldighed i 2 år fra datoen for revisors underskrift, hvilket sikrer en glidende overgang for både institutioner og systemleverandører.