Bekendtgørelse om Uddannelses- og Forskningsstyrelsens anvendelse af kunstig intelligens eller lignende digitale løsninger til at understøtte sagsbehandling efter SU-loven

I medfør af § 39 a i SU-loven, jf. lovbekendtgørelse nr. 395 af 13. april 2023, som ændret ved lov nr 674 af 17. juni 2025, fastsættes:

Kapitel 1

Anvendelsesområde m.v.

Uddannelses- og Forskningsstyrelsen (styrelsen) kan efter bestemmelserne i denne bekendtgørelse anvende kunstig intelligens eller lignende digitale løsninger til behandling af personoplysninger indgivet i forbindelse med ansøgninger eller anden behandling af oplysninger vedrørende statens uddannelsesstøtte, når det er nødvendigt af hensyn til at understøtte styrelsens sagsbehandling.

Stk. 2. Behandling af oplysninger efter denne bekendtgørelse har til formål at optimere sagsbehandlingsprocesser i styrelsen.

Styrelsen er dataansvarlig myndighed for den behandling af personoplysninger, der sker ved hjælp af kunstig intelligens eller lignende digitale løsninger efter denne bekendtgørelse og er herunder ansvarlig for sikring af de registreredes rettigheder.

Styrelsen kan behandle følgende typer af personoplysninger ved anvendelse af kunstig intelligens eller lignende digitale løsninger i medfør af denne bekendtgørelse:

1. Navne-, adresse- og kontaktoplysninger.

2. CPR-numre.

3. Uddannelsesoplysninger.

4. Helbredsoplysninger.

5. Beskæftigelses- og indkomstoplysninger.

6. Familieforhold.

7. Statsborgerskab.

8. Oplysninger om den uddannelsessøgendes tidligere SU-tildelinger.

9. Oplysninger om private-, sociale- eller strafbare forhold.

Kapitel 2

Betingelser for anvendelse af kunstig intelligens eller lignende digitale løsninger

Behandling af oplysninger kan foretages af styrelsen, jf. lovens § 39 a, når det er nødvendigt for styrelsens udvikling og drift af kunstig intelligens eller lignende digitale løsninger, som kan understøtte styrelsens sagsbehandling ved tildeling, beregning og tilbagebetaling af uddannelsesstøtte efter SU-loven.

Stk. 2. Behandling kan foretages til brug for udvikling eller forbedring af metoder og modeller, som bruges i forbindelse med de i stk. 1 nævnte behandlinger.

Behandling i medfør af § 4 skal finde sted under anvendelse af passende tekniske og organisatoriske sikkerhedsforanstaltninger, således at styrelsen, jf. § 2, og eventuelle databehandlere er i stand til at opfylde deres databeskyttelsesretlige forpligtelser, herunder ved kryptering og adgangsstyring.

Stk. 2. De dataansvarlige myndigheder skal til enhver tid kunne påvise, at stk. 1 overholdes.

Styrelsen offentliggør på www.su.dk, i hvilke tilfælde styrelsen anvender kunstig intelligens eller lignende digitale løsninger til at understøtte sagsbehandlingen.

Kapitel 3

Informationskilder

Der kan behandles personoplysninger ved anvendelse af kunstig intelligens eller lignende digitale løsninger til at understøtte sagsbehandlingen fra følgende informationskilder:

1. De registre og ESDH-systemer m.v., som styrelsen anvender ved tildeling, beregning og tilbagebetaling af uddannelsesstøtte.

2. De registre, systemer m.v., som styrelsen indhenter oplysninger fra, jf. lovens § 39, stk. 1, ved tildeling, beregning og tilbagebetaling af uddannelsesstøtte.

3. Offentligt tilgængelige informationskilder.

Stk. 2. Anvendelse af oplysninger fra kilder omfattet af stk. 1 skal ske i overensstemmelse med de regler, der måtte være fastsat herom ved lov eller i henhold til lov.

Kapitel 4

Opbevaring og sletning af oplysninger

Oplysninger, der behandles efter § 4, opbevares af styrelsen.

Stk. 2. Personoplysninger, der behandles ved anvendelse af kunstig intelligens eller lignende digitale løsninger til at understøtte sagsbehandlingen, opbevares så længe, det er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

Kapitel 5

Sikkerhedsforanstaltninger

Styrelsen er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, og skal gennemføre passende tekniske og organisatoriske foranstaltninger i den forbindelse.

Stk. 2. Styrelsen er ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 25 om databeskyttelse gennem standardindstillinger.

Stk. 3. Styrelsen udarbejder risikovurderinger og gennemfører foranstaltninger for at begrænse eventuelle risici samt eventuel konsekvensanalyse.

Stk. 4. Styrelsen skal kunne påvise, at styrelsens behandling af oplysningerne er i overensstemmelse med databeskyttelsesforordningen, jf. databeskyttelsesforordningens artikel 24, stk. 1.

Stk. 5. Styrelsen reviderer periodisk de løsninger, som styrelsen implementerer efter denne bekendtgørelse, jf. databeskyttelsesforordningens artikel 23, stk. 2, litra d.

Kapitel 6

Ikrafttræden m.v.

Bekendtgørelsen træder i kraft den 1. juli 2025.

Uddannelses- og Forskningsstyrelsen, den 21. juni 2025

Mikkel Leihardt

/ Pernille Ann Kjersgaard