Forside Lovforslag & Høringer Høringsportalen Myndighedens it

Ny bekendtgørelse om skærpede krav til studieadministrative it-systemer på uddannelsesinstitutioner fra 2025

Myndighed

Styrelsen for It og Læring

Dato

1. oktober 2024

Område

Myndighedens it

Type

Bekendtgørelser

Ikrafttrædelse

1. januar 2025

Kilde

Høringsportalen

Tilknyttede dokumenter

Dokument	Type
	PDF
	PDF
	PDF
	PDF

Bekendtgørelsen træder i kraft 1. januar 2025 og omfatter en bred vifte af uddannelsesinstitutioner, herunder erhvervsuddannelser, gymnasier og voksenuddannelser
Der indføres nye sikkerhedskrav, herunder obligatorisk flerfaktor-autentifikation og strengere password-politik
Systemerne skal kunne håndtere direkte dataudveksling med centrale systemer uden brug af tredjepartssystemer
Institutioner kan kun anvende it-systemer med gyldig systemrevisionserklæring uden modifikationer
Nye uddannelsestyper som EUD10 og 20/20-ordning tilføjes under erhvervsuddannelsesområdet
Systemrevisionserklæringer skal fornyes hver andet år og underskrives af autoriseret revisor
Der stilles specifikke krav til håndtering af personoplysninger og databeskyttelse gennem ISAE 3000-erklæring
Eksisterende systemrevisionserklæringer bevarer deres gyldighed i to år fra underskrivelsesdatoen

Baggrund og formål

Styrelsen for It og Læring har udsendt et udkast til en ny bekendtgørelse om krav til studieadministrative it-systemer, der skal erstatte den nuværende bekendtgørelse nr. 1300 af 17. november 2023. Bekendtgørelsen skal sikre en forsvarlig og sikker håndtering af data på tværs af uddannelsesinstitutioner.

Omfattede institutioner og uddannelser

Bekendtgørelsen dækker en bred vifte af uddannelsesinstitutioner:

Institutioner for erhvervsrettet uddannelse
Institutioner for almengymnasiale uddannelser og voksenuddannelse
Private institutioner for gymnasiale uddannelser
Institutioner for forberedende grunduddannelse

Væsentlige ændringer og nye krav

Sikkerhed og autentifikation

Der introduceres nye sikkerhedskrav, herunder:

Obligatorisk flerfaktor-autentifikation for medarbejdere
Skærpede krav til password-kvalitet og -håndtering
Kontrol mod negativlister for passwords
Forbud mod transmission af engangskoder via email eller SMS

Systemintegration og datahåndtering

Krav om direkte kommunikation mellem systemer uden brug af tredjeparter
Udvidet håndtering af værgeoplysninger og forældremyndighed
Præcisering af krav til dataudveksling med centrale systemer

Dokumentation og revision

Systemrevisionserklæringer skal udarbejdes af autoriseret revisor
To-årig gyldighedsperiode for systemrevisionserklæringer
Krav om både ISAE 3402-erklæring for systemrevision og ISAE 3000-erklæring for databeskyttelse

Implementering og overgangsordning

Bekendtgørelsen træder i kraft 1. januar 2025. Eksisterende systemrevisionserklæringer bevarer deres gyldighed i to år fra underskrivelsesdatoen. Styrelsen for It og Læring kan i særlige tilfælde dispensere fra kravene om gyldig systemrevisionserklæring.

Betydning for institutionerne

Institutionerne skal sikre, at deres it-systemer lever op til de nye krav og har gyldig dokumentation herfor. Dette indebærer potentielt behov for systemopgraderinger og nye sikkerhedsprocedurer, særligt omkring brugeradgang og authentication.

Læs også

Relaterede nyheder fra ministerierne

Explore the modern facade of Paul Loebe House with its striking architectural design in Berlin.

Økonomistyrelsen

15. januar 2026

Digitalisering+2

Økonomistyrelsens ledelseserklæring for 2025 er nu tilgængelig

Med ledelseserklæringen får de selvejende institutioner – som er underlagt krav om ekstern revision – hjælp til at dokumentere sikkerheden i de fælles digitale løsninger i staten

Relaterede afgørelser

Myndighedens it•4. oktober 2023

Høring

Nye krav til systemrevision og datasikkerhed for studieadministrative IT-systemer på uddannelsesinstitutioner

Denne bekendtgørelse fastsætter nye og opdaterede krav til de studieadministrative IT-systemer (SA-systemer), der anvendes på en bred vifte af danske uddannelsesinstitutioner, herunder erhvervsskoler, gymnasier, VUC, FGU og udbydere af arbejdsmarkedsuddannelser. Bekendtgørelsen træder i kraft den 1. januar 2024 og erstatter den hidtidige bekendtgørelse fra maj 2023.

Hovedformål og centrale krav

Bekendtgørelsens primære formål er at sikre, at SA-systemerne er stabile, sikre og i overensstemmelse med gældende lovgivning, især i forhold til korrekt datahåndtering, tilskudsberegning og databeskyttelse. De centrale krav er:

Andre relevante lovforslag

Forslag til Lov om foranstaltninger til sikring af et højt cybersikkerhedsniveau (NIS 2-loven)

Ministeriet for Samfundssikkerhed og Beredskab7. februar 2025

Lov om ændring af SU-loven m.fl. (SU til adgangskurser, nye regler for studielån, udvidet udlandsstipendium og fælles dataansvar)

Flere lignende afgørelser

Fortolkning af forordning om sikkerhedselementer i pas: Angivelse af fødenavn

EU-Domstolen1. oktober 2014

Krav om direkte interesse: Afvisning af EDPS' anmodning om intervention i WhatsApps appelsag om Databeskyttelsesrådets afgørelse

EU-Domstolen20. juli 2023

Dokument

Type

PDF

Baggrund og formål

Væsentlige ændringer og nye krav

Sikkerhed og autentifikation

Der introduceres nye sikkerhedskrav, herunder:

Obligatorisk flerfaktor-autentifikation for medarbejdere

Skærpede krav til password-kvalitet og -håndtering

Kontrol mod negativlister for passwords

Forbud mod transmission af engangskoder via email eller SMS

Systemintegration og datahåndtering

Krav om direkte kommunikation mellem systemer uden brug af tredjeparter

Udvidet håndtering af værgeoplysninger og forældremyndighed

Præcisering af krav til dataudveksling med centrale systemer

Dokumentation og revision

Systemrevisionserklæringer skal udarbejdes af autoriseret revisor

To-årig gyldighedsperiode for systemrevisionserklæringer

Krav om både ISAE 3402-erklæring for systemrevision og ISAE 3000-erklæring for databeskyttelse

Område	Tidligere regel	Ny regel	Ikrafttrædelse
Frist for revisors underskrift	Senest 1 måned efter erklæringsperiodens afslutning	Senest 2 måneder efter erklæringsperiodens afslutning	1. januar 2024
Gyldighed af erklæring	2 år	2 år (uændret)	1. januar 2024

Ny bekendtgørelse om skærpede krav til studieadministrative it-systemer på uddannelsesinstitutioner fra 2025

Baggrund og formål

Omfattede institutioner og uddannelser