Styrelsen for It og Læring stiller som databehandler den digitale identifikationsløsning Unilogin til rådighed for kommuner og institutionerne på undervisningsområdet til brug for styring af elevers, forældres og medarbejderes adgange til pædagogiske og administrative tjenester. Unilogin bruges som identifikationsløsning ved en lang række digitale tjenester på undervisningsområdet, såsom de nationale test, Børne- og Undervisningsministeriets digitale prøveafviklingssystem, de nationale trivselsmålinger m.v. Endvidere bruges Unilogin i institutionernes egne lokale løsninger, såsom digitale læremidler og digitale lærings- og samarbejdsløsninger.

Da Unilogin (i samspil med Styrelsen for It og Lærings Skolegrunddata) anvendes til styring af adgangsrettigheder – for eksempel i forbindelse med digitale prøver – er det vigtigt, at der kan ske en entydig identifikation af den pågældende bruger.

Dataklassifikation

De oplysninger, der behandles i Unilogin-systemet, er alene almindelige personoplysninger: Det vil sige identifikationsoplysninger om blandt andet navn, adresse, telefonnumre, e-mail, cpr-numre, uddannelsesoplysninger (for eksempel skole, afdeling, klasse) om elever og kontaktpersoner (for eksempel. forældre eller værger) samt om medarbejdere ved institutionerne. Der behandles ikke følsomme personoplysninger i Unilogin-systemet.

Nyt Unilogin

Styrelsen for It og Læring sætter i uge 8 2020 et nyt og forbedret Unilogin i drift. Det nye Unilogin skal anvendes på alle undervisningsområder, der anvender Unilogin. Brugerne omfatter både elever, lærere og forældre. Formålet med det nye Unilogin er at forbedre sikkerheden omkring login på børneområdet.

Ny politik for adgangskoder

Det nye Unilogin omfatter blandt andet en ny politik for adgangskoder. Det betyder, at brugerne i højere grad end i dag skal foretage løbende skift af adgangskoder. Adgangskoderne målrettes elevernes alder og bliver sværere i takt med, at eleverne bliver ældre. Alle brugere af Unilogin vil få en ny adgangskode, når det nye Unilogin sættes i drift i uge 8.

Øget sikkerhed når børn skal tilgå følsomme oplysninger

Det nye Unilogin vil desuden omfatte en løsning, som gør det muligt for elever uden NemID at logge ind med en mere sikker løsning, hvor en voksen verificerer elevens identitet. Unilogin fremtidssikres dermed, da der bliver stadig større behov for højere sikkerhed i de løsninger, som eleverne anvender i deres skolehverdag. Lærerne får i den forbindelse et nyt værktøj, Elevadgang, som understøtter elevernes mere sikre login. Forældre skal derimod anvende deres NemID, når de skal hjælpe deres barn med at få øget sikkerhed.

Endelig udvikles der, som en del af det nye Unilogin, en login-fordeler for id-løsninger. Dette medvirker til, at skoler og kommuner får mulighed for at anvende egne id-løsninger, som deres brugere kan anvende, når de tilgår de tjenester mv., som Unilogin giver adgang til.

Den dataansvarliges ansvar

Institutionerne og kommunerne er dataansvarlige for behandling af personoplysninger i Unilogin. Det er den dataansvarliges ansvar at sikre, at følsomme personoplysninger ikke bliver registreret i Skolegrunddata og dermed heller ikke i Unilogin-systemet. Det er ligeledes den dataansvarlige, der står for styring og administration af tildeling af adgange og rettigheder til egne brugere samt den periodiske kontrol og revurdering af de tildelte adgange.

De dataansvarlige vedligeholder i overvejende grad Skolegrunddata via deres lokale skole- og studieadministrative systemer. Tjenesteudbydere og offentlige myndigheder kobler sig på Unilogin-systemet via standardiserede webservices. Hovedparten af tjenesteudbyderne, der tilkobler sig Unilogin er private tjenesteudbydere, som efter aftale med den dataansvarlige, via Styrelsen for It og Lærings system Tilslutning, anvender den dataansvarliges data til de formål, der er aftalt med denne. Et eksempel på en tjenesteudbyder er et forlag, som anvender oplysninger om elever- og læreres navne og klassetilhørsforhold i den digitale løsning, som den dataansvarlige har købt adgang til.

Tilslutning (tilslutning.stil.dk) er indrettet således, at en administrator hos hver dataansvarlig i systemet skal markere til hvilke tjenester, hvor Unilogin skal kunne bruges som en digital identifikationsløsning. Her styrer de dataansvarlige, hvem der får adgang til oplysningerne i Skolegrunddata. Tilsvarende kan en rettighed let fjernes igen, ligesom den enkelte dataansvarlige i Tilslutning kan få et overblik over, hvilke tjenester der er tildelt rettigheder. 

Tildeling af en rettighed til data i Tilslutningssystemet udgør en fælles aftale om dataadgang mellem en institution og en tjenesteudbyder. Dette sikrer, at Styrelsen for It og Læring må give en tjeneste adgang til den dataansvarliges data i Skolegrunddata. Ud over aftalen om dataadgang, skal den enkelte dataansvarlige også indgå en databehandleraftale med den tjenesteudbyder (eksempelvis et forlag) der skal anvende data i Skolegrunddata.

Den enkelte dataansvarlige skal, jf. lov om kommunal indsats for unge under 25 år, § 15 g, stk. 4, ikke indgå en databehandleraftale med Styrelsen for It og Læring.

Databehandlerens ansvar

Styrelsen for It og læring er databehandler på vegne af institutionerne og kommunerne, som er dataansvarlige for behandling af personoplysninger i Unilogin.

Som databehandler forpligter Styrelsen for It og Læring sig til at overholde databeskyttelsesforordningen og databeskyttelseslovens bestemmelser om behandling af personoplysninger, jf. forordning 2016/679 af 27. april 2016 og lov nr. 502 af 23. maj 2018.

Som databehandler handler Styrelsen for It og Læring alene efter instruks fra den dataansvarlige institution, jf. forordningens artikel 28, stk. 3, litra a og § 15 g stk. 2 i ungeindsatsloven. Det er således Styrelsen for It og Lærings ansvar at træffe de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger mod at oplysningerne i Skolegrunddata og i Unilogin-systemet hændeligt eller ulovligt tilintetgøres, fortabes eller forringes.

Endvidere skal Styrelsen for It og Læring sikre, at personoplysningerne ikke kommer til uvedkommendes kendskab, misbrug eller behandles i strid med reglerne i databeskyttelsesforordningen og databeskyttelsesloven. Herunder er det Styrelsen for It og Lærings ansvar at sikre, at der kun tildeles adgang til Styrelsen for It og Lærings personale ud fra et arbejdsbetinget behov.

Såfremt Styrelsen for It og Læring benytter underleverandører (underdatabehandler), hæfter Styrelsen for It og Læring for underdatabehandlerens forhold på samme måde som for egne forhold. Al kommunikation mellem den dataansvarlige og underdatabehandleren foretages via Styrelsen for It og Læring. Styrelsen for It og Læring skal påse, at underdatabehandleren træffer de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger, og skal føre kontrol med underdatabehandlerens informationssikkerhedsstyring. Styrelsen for It og Læring implementerer nødvendige og tilstrækkelige sikkerhedsforanstaltninger med udgangspunkt i en it-risikovurdering, ISO27001 samt lovgivningsmæssige krav. Styrelsen for It og Læring foretager løbende vurderinger af, om trusselsbilledet ændrer sig og foretager på baggrund heraf eventuelle justeringer af sikkerhedsforanstaltningerne.

De nærmere opgaver og ansvar for Styrelsen for It og Læring som databehandler er udmøntet i Bekendtgørelse om den digitale identifikationsløsning Unilogin og opgaver og ansvar for de dataansvarlige og for Styrelsen for It og Læring som databehandler. Bekendtgørelsen fungerer i stedet for en databehandleraftale mellem Styrelsen for It og Læring og de dataansvarlige institutioner og kommuner.

Databehandlers anvendelse af oplysninger fra Skolegrunddata

Styrelsen for It og Læring kan anvende oplysninger fra Skolegrunddata og Unilogin i de tilfælde, hvor en sådan anvendelse er fastsat ved lov eller bekendtgørelse, til statistikformål, complianceanalyser, lovbestemt afrapportering og lignende opgaver i samfundets interesse og opgaver, der henhører under offentlig myndighedsudøvelse, som Styrelsen for It og Læring har fået pålagt. I det omfang Styrelsen for It og Læring anvender personoplysninger til egne formål, bliver Styrelsen for It og Læring selv dataansvarlig for disse anvendelser.

Når brugerne logger på en tjeneste med sit Unilogin, bliver de ’autentificeret’. Det vil sige, at systemet dokumenterer over for tjenesten, at brugeren er den, han/hun udgiver sig for at være.

Unilogins systemlandskab består af en række elementer, herunder:

  • Unilogin autentifikation
  • Unilogin autorisation og elevregister
  • Tilslutningssystem

Du kan læse mere om de enkelte dele på viden.stil.dk.

 Grafiske brugergrænseflader (GUI’s):

Sidst opdateret: 28. januar 2020