Lovguiden Logo

Command Palette

Search for a command to run...

Nye krav til systemrevision og datasikkerhed for studieadministrative IT-systemer på uddannelsesinstitutioner

Myndighed

Styrelsen for It og Læring

Publiceringsdato

4. oktober 2023

Område

Myndighedens it

Type

Bekendtgørelser

Ikrafttrædelsesdato

1. januar 2024

Relaterede love

Systemrevisionsbekendtgørelsen

Børne- og Undervisningsministeriet

Tilknyttede dokumenter

Udkast til systemrevisionsbekendtgørelse

Klik for at åbne

Høringsbrev inkl. høringsliste

Klik for at åbne

Høringsnotat

Klik for at åbne

Høringssvar

Klik for at åbne
  • Ny bekendtgørelse træder i kraft 1. januar 2024 og erstatter tidligere regler fra maj 2023 om krav til studieadministrative IT-systemer.
  • Det er et krav, at alle anvendte studieadministrative IT-systemer skal have en systemrevisionserklæring uden modifikationer, udarbejdet af en statsautoriseret eller registreret revisor.
  • Systemrevisionserklæringen skal omfatte en ISAE 3402-erklæring for finansiel rapportering og en ISAE 3000-erklæring for overholdelse af databeskyttelsesregler.
  • Fristen for revisors underskrivelse af systemrevisionserklæringen er udvidet fra én til to måneder efter erklæringsperiodens afslutning.
  • En systemrevisionserklæring er gyldig i to år, og Styrelsen for It og Læring (STIL) offentliggør en liste over godkendte systemer.
  • Bekendtgørelsen indeholder en detaljeret IT-instruks (bilag 1) med specifikke kontrolmål for bl.a. sikkerhed, databehandling og integration med en lang række nationale systemer.
  • Eksisterende systemrevisionserklæringer, udstedt under tidligere bekendtgørelser, bevarer deres gyldighed i to år fra udstedelsesdatoen.

    • Denne bekendtgørelse fastsætter nye og opdaterede krav til de studieadministrative IT-systemer (SA-systemer), der anvendes på en bred vifte af danske uddannelsesinstitutioner, herunder erhvervsskoler, gymnasier, VUC, FGU og udbydere af arbejdsmarkedsuddannelser. Bekendtgørelsen træder i kraft den 1. januar 2024 og erstatter den hidtidige bekendtgørelse fra maj 2023.

    Hovedformål og centrale krav

    Bekendtgørelsens primære formål er at sikre, at SA-systemerne er stabile, sikre og i overensstemmelse med gældende lovgivning, især i forhold til korrekt datahåndtering, tilskudsberegning og databeskyttelse. De centrale krav er:

    • Obligatorisk Systemrevision: Institutioner må kun anvende SA-systemer, der er omfattet af en systemrevisionserklæring uden modifikationer. Denne erklæring skal udarbejdes af en statsautoriseret eller registreret revisor.
    • Internationale Standarder: Revisionen skal leve op til anerkendte standarder:
      • ISAE 3402 (Type 2): Dokumenterer kontroller relateret til finansiel rapportering og tilskudsadministration.
      • ISAE 3000 (Høj grad af sikkerhed): Dokumenterer, at behandlingen af personoplysninger overholder gældende databeskyttelsesregler (GDPR).
    • Offentliggørelse: Styrelsen for It og Læring (STIL) fører og offentliggør en liste over de SA-systemer, der opfylder kravene.

    Væsentlige ændringer

    I forhold til den tidligere bekendtgørelse er der foretaget flere justeringer, blandt andet på baggrund af høringssvar.

    OmrådeTidligere regelNy regelIkrafttrædelse
    Frist for revisors underskriftSenest 1 måned efter erklæringsperiodens afslutningSenest 2 måneder efter erklæringsperiodens afslutning1. januar 2024
    Gyldighed af erklæring2 år2 år (uændret)1. januar 2024

    IT-Instruks og grænseflader

    Bekendtgørelsens bilag 1, "It-instruks", indeholder en omfattende liste af specifikke kontrolmål og kontroller, som SA-systemerne skal overholde. Dette dækker alt fra regelovervågning, adgangsstyring og behandling af personoplysninger til change management og tekniske grænseflader mod en lang række centrale, statslige IT-systemer, herunder:

    • CØSA (Det Centrale Oplysnings- og Styringssystem for Afklaring)
    • Datavarehuset
    • Eksamensdatabasen
    • Optagelse.dk
    • Ungedatabasen
    • Lærepladsen.dk
    • Unilogin

    Ikrafttrædelse og overgangsordning

    Bekendtgørelsen træder i kraft den 1. januar 2024. Systemrevisionserklæringer, der er udarbejdet i henhold til de tidligere bekendtgørelser fra 2022 og 2023, bevarer deres gyldighed i 2 år fra datoen for revisors underskrift, hvilket sikrer en glidende overgang for både institutioner og systemleverandører.

    Lignende afgørelser