Historisk - ikke gyldig version
Sikkerhedsbestemmelser, databehandling af personoplysninger
Aarhus Universitets sikkerhedsbestemmelser af 7. august 2007 for databehandling af personoplysninger ved Aarhus Universitet.
I henhold til § 5 i Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000 om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning, fastsættes:
Kapitel 1 : Bestemmelsernes område
Kapitel 2 : Sikkerhedsorganisation
Kapitel 3 : Sikkerhedsforanstaltninger
Kapitel 4 : Fysisk sikring
Kapitel 5 : Registrerede personers adgang til oplysninger om sig selv
Kapitel 6 : Videregivelse af oplysninger
Kapitel 7 : Ikrafttræden
Bilag 1 : Anmeldelser til Datatilsynet
Bilag 2 : Andre registre med Aarhus Universitet som dataansvarlig
Bilag 3 : Regler og vejledninger
Bilag 4 : skitse af It-organisationen ved Aarhus Universitet
Kapitel 1
Bestemmelsernes område
§ 1. Sikkerhedsbestemmelserne omfatter al behandling af personoplysninger, helt eller delvist ved hjælp af elektronisk databehandling, hvor Aarhus Universitet er dataansvarlig myndighed.
§ 2. Sikkerhedsbestemmelserne har til formål at beskrive og uddybe de regler, der fremgår af Persondatalovens §§ 41-42 samt Justitsministeriets bekendtgørelse nr. 528 af 15. juni 2000, som ændret ved bekendtgørelse nr. 201 af 22. marts 2001, om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning. Reglerne fremgår af bilag 3.
§ 3. Aarhus Universitet behandler kun personoplysninger, der er nødvendige for varetagelsen af universitetets opgaver.
Stk. 2. For personoplysninger, hvor behandlingen er anmeldt til Datatilsynet, jf. bilag 1, behandles de oplysninger, der fremgår af anmeldelsen.
Kapitel 2
Sikkerhedsorganisation
§ 4. Rektor for Aarhus Universitet har det overordnede ansvar for, at sikkerhedsbestemmelserne overholdes, herunder for opfølgning og ajourføring af bestemmelserne.
Stk. 2. Universitetsdirektøren udpeger en eller flere ledende medarbejdere til at være systemansvarlige på det administrative område, hvilket blandt andet indebærer ansvar for hele eller dele af sikkerheden ved behandling af administrative personoplysninger.
Stk. 3. En systemansvarlig kan udpege en eller flere dataansvarlige medarbejdere til at have ansvar for iværksættelse af og tilsyn med overholdelse af sikkerhedsbestemmelserne vedrørende bestemte lokaliteter, funktioner mv.
Stk. 4. Rektor nedsætter et informationssikkerhedsudvalg med universitetets it-chefsom formand. Informationssikkerhedsudvalget har ansvaret for, at universitetets informationssikkerhedspolitik følger standarden DS 484, og at der mindst én gang årligt foretages en risikoanalyse og efterfølgende revision af politikken. Udvalget påser, at politikken opfylder Persondatalovens krav om logisk og fysisk sikring af informationsaktiver, samt at den klart definerer informationssikkerhedsorganisationen.
Stk. 5. It-chefen udpeger en informationssikkerhedskoordinator, der har det daglige og praktiske ansvar for arbejdet med universitetets sikkerhedspolitik på informationsområdet. Det er desuden sikkerhedskoordinatorens ansvar, at kendskab til politikkens principper og konkrete retningslinjer udbredes til den relevante personkreds.
Stk. 6. Aarhus Universitets it-organisation og it-sikkerhedsorganisation er beskrevet i bilag 4.
Kapitel 3
Sikkerhedsforanstaltninger
§ 5. Personoplysninger i de af Aarhus Universitets administrerede registre må kun behandles af ansatte, der er autoriseret hertil.
§ 6. Den systemsansvarlige, jf. § 4, stk. 2, og bilag 4, sikrer, at der ikke registreres urigtige eller vildledende personoplysninger. Forekommer der alligevel oplysninger af den art i registret, skal oplysningerne straks slettes eller berigtiges.
Stk. 2. Personoplysninger i registre skal ajourføres løbende.
§ 7. Universitetets personalechef har ansvaret for, at alle medarbejdere, der kan forventes at få kendskab til AU's informationsaktiver, ved ansættelsen gøres bekendt med den tavshedspligt, der påhviler dem ifølge lovgivningen. Dette gælder hvad enten de er fastansatte, periodisk ansatte eller på anden måde relateret til AU i et ansættelseslignende forhold.
§ 8. Informationssikkerhedskoordinatoren, jf. § 4, stk. 4 er ansvarlig for, at der udarbejdes og implementeres sikkerhedsmæssige retningslinjer for de enkelte organisatoriske funktioner, også i det omfang funktionerne varetages af personer uden et egentligt ansættelsesforhold til AU. Informationssikkerhedskoordinatoren kan uddelegere ansvaret for udarbejdelsen og implementeringen af de konkrete retningslinjer til andre dele af it-sikkerhedsorganisationen.
§ 9. Det skal fremgå af de sikkerhedsmæssige retningslinjer for de relevante organisatoriske funktioner, hvilket ansvar den organisatoriske enhed har i forhold til modtagelse, opbevaring, anvendelse og sletning af persondata.
§ 10. Informationssikkerhedskoordinatoren har ansvaret for at udarbejde retningslinjer for change management procedurer, systemdokumentation og brugervendte hjælpemidler, der tilsammen sikrer, at udvikling, ændringer og tests ikke kompromitterer sikkerheden i de it-systemer og arbejdsgange, hvori indgår behandling af persondata.
Kapitel 4
Fysisk sikring
§ 11. For at sikre persondatas integritet, fortrolighed og tilgængelighed, uanset om de forefindes i elektronisk eller anden form, skal det sikres at:
- Lokaler der benyttes til opbevaring eller behandling af persondata sikres ved adgangskontrolordninger, der hindrer uautoriseret adgang
- Lokaler, hvor der opbevares persondata, indrettes med relevante beskyttelses- og alarmordninger, der sikrer aktiverne mod beskadigelse eller tilintetgørelse
- Der etableres funktionsadskillelse mellem de forskellige miljøer – udvikling, test, drift og backup – hvorfra persondata kan tilgås
- Der etableres procedurer for rettidig sletning af de forskellige typer persondata
- Der etableres og dokumenteres procedurer for tildeling, vedligeholdelse og terminering af adgange til registre med persondata, samt for logning af tilgang og transaktioner i disse registre
- Sikkerhedskopiering og procedurer for genetablering af data tilrettelægges jf. AU’s informationssikkerhedspolitik
- Destruktion af databærende medier (uanset deres form, herunder også papir) følge sikkerhedspolitikkens forskrifter
- Bærbare datamedier (herunder også udskrifter, bærbare pc'er og pda'er) behandles efter indeværende sikkerhedsbestemmelser
Kapitel 5
Registrerede personers adgang til oplysninger om sig selv
§ 12. Registrerede personer har adgang til oplysninger om sig selv, i det omfang det fremgår af persondatalovens kapitel 9 samt Datatilsynets rettighedsvejledning, jf. oversigten over regler i bilag 3.
Stk. 2. Udlevering af oplysninger må kun ske, når vedkommende har legitimeret sig, eller når der på anden måde er skabt sikkerhed for, at den der fremsætter begæring herom er identisk med den person, oplysningerne vedrører. Fremsættes begæringen af en anden end den registrerede, skal den dataansvarlige sikre sig, at den pågældende er berettiget til at handle på den registreredes vegne.
Kapitel 6
Videregivelse af oplysninger
§ 13. Personoplysninger må ikke videregives til private personer og virksomheder, medmindre dette følger af § 12, §§ 15-16, Persondataloven eller det ved anden lov er fastsat, at oplysninger skal videregives.
§ 14. Oplysninger må videregives til andre offentlige myndigheder til brug i konkrete retsforhold, hvis myndigheden har en retlig interesse i af få de pågældende oplysninger, der klart overstiger hensynet til oplysningernes hemmeligholdelse. Eventuelle særlige tavshedsforskrifter, fastsat ved lov, skal respekteres.
§ 15. Oplysninger må videregives til såvel private som til offentlige myndigheder, når den oplysningerne angår, har givet samtykke, eller hvis oplysningerne i forvejen er offentligt tilgængelige.
Stk. 2. Samtykke skal meddeles skriftligt og skal indeholde oplysninger om
1) hvilke typer oplysninger der må videregives
2) hvem oplysningerne må videregives til og
3) hvorledes oplysningerne må anvendes af den angivne modtager
Stk. 3. Samtykke bortfalder senest efter 1 års forløb.
§ 16. Oplysninger må endvidere videregives til brug ved konkrete forskningsprojekter på nærmere angivne vilkår og efter indhentet tilladelse fra Datatilsynet.
§ 17. En systemansvarlig kan fastsætte supplerende regler for videregivelse. Rektor orienteres om eventuelle regler fastsat af den eller de systemansvarlige. Reglerne offentliggøres i universitetets regelsamling.
Kapitel 7
Ikrafttræden
§ 18. Sikkerhedsbestemmelserne træder i kraft den 15. august 2007.
Stk. 2. Sikkerhedsbestemmelserne gennemgås mindst én gang om året af informationssikkerhedsudvalget med henblik på at sikre, at bestemmelserne stadig er fyldestgørende og afspejler de faktiske forhold på Aarhus Universitet. Udvalget er ansvarlig for, at alle anmeldelser til Datatilsynet, jf. bilag 1 og 2, samt alle supplerende regler og bilag udarbejdet i medfør af bestemmelserne mindst én gang om året gennemgås med henblik på en eventuel revision. Udvalget foretager indstilling til rektor, hvis der er behov for revision af reglerne.
Aarhus Universitet, den 7. august 2007
| Lauritz B. Holm-Nielsen rektor | Stig Møller universitetsdirektør |
Bilag 1
Anmeldelser til Datatilsynet
Behandling af persondata – administrative registre anmeldt af Aarhus Universitet
| Administration af studiemæssige forhold i henhold til lovgivningen og universitetets interne regler |
| Grønlandsk domsregister (slettet) |
Bilag 2
Andre registre med Aarhus Universitet som dataansvarlig
Behandling af persondata – registre anmeldt af institutter eller centre ved Aarhus Universitet
pr. 10. januar 2006
| Dataansvarlig | Behandlingens navn |
| Aarhus Universitets Retsmedicinske Instituts administrative system. | |
Herudover er en række behandlinger af persondata anmeldt som privat forskning (der findes ingen særskilt anmeldelsesblanket til offentlig forskning), ligesom Aarhus Universitet indgår i behandlinger anmeldt af andre Dataansvarlige, f.eks. Århus Universitetshospital, se fortegnelsen over anmeldelser på www.datatilsynet.dk.
En søgning i Datatilsynets fortegnelse på søgeordene "Aarhus Universitet" og "Århus Universitet" gav den 14. juni 2007 39 resultater. Der findes derudover en lang række anmeldelser om privat forskning.
Ud over de af Aarhus Universitet registeret anmeldelser findes der endvidere anmeldelser fra de uddannelsesinstitutioner som Aarhus Universitet har fusioneret med.
Ved en søgning på Handelshøjskolen i Århus den 14. juni 2007 fremkom 10 fortegnelse. For så vidt angår Danmarks Miljøundersøgelser fremkom der den 14. juni 2007 1 fortegnelse. Danmarks Pædagogiske Universitet havde den 14. juni 2007 fortegnelser registreret hos datatilsynet. Danmarks Jordbrugsforskning havde den 14. juni ingen fortegnelser registreret.
Bilag 3
Regler og vejledninger
Persondataloven, Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger
Datatilsynets vejledning nr. 126 af 10. juli 2000 om registreredes rettigheder efter reglerne i kapitel 8-10 i lov om behandling af personoplysninger ( Rettighedsvejledningen)
Datatilsynets vejledning nr. 37 af 2. april 2001 omsikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning ( Sikkerhedsvejledningen)
Datatilsynets vejledning nr. 125 af 10. juli 2000 om anmeldelse i henhold til kapitel 12 i lov om behandling af personoplysninger( Vejledning om anmeldelse)
Datatilsynets vejledning nr. 17 af 19. januar 2001 om offentlige myndigheders indberetning af skyldnere til kreditoplysningsbureauer
Forvaltningsloven Lov nr. 571 af 19. december 1985
Offentlighedsloven Lov nr. 572 af 19. december 1985 om offentlighed i forvaltningen
Straffelovens bestemmelser om tavshedspligt, kapitel 16, §§ 152 - 152 f
Aarhus Universitets retningslinier af 15. september 2002 for medarbejdere og administrative enheders behandling af personoplysninger på studenterområdet, der kan opnås eller er opnået kendskab til i kraft af udførelse af tjenstligt arbejde på/for Aarhus Universitet.
Bilag 4
It-organisationen ved Aarhus Universitet er som skitseret i diagrammet nedenfor. Det overordnede ansvar for it-organisationen og it-sikkerhedsorganisationen ved Aarhus Universitet påhviler rektor og universitetsdirektør - disse rådgives af en særligt udpeget it-rådgiver.
Rektor har nedsat et rådgivende it-udvalg med ledelsesrepræsentanter fra fakulteterne og fællesområdet. Rektors it-rådgiver er formand for udvalget. It-udvalget har en række underudvalg, som forestår den faglige koordinering af it-anliggender på tværs af universitetet.
Udvalget skal sikre, at de lokale it-anliggender, med udgangspunkt i den fælles it-strategi, koordineres i et samspil med de fælles systemer. Udvalgets medlemmer forudsættes at repræsentere ledelsesniveauet ved de udpegende enheder, således at udvalgets indstillinger og eventuelle dissenser er egnet til at udgøre et retvisende beslutningsgrundlag for rektor og universitetsdirektør. I sin rådgivning af ledelsen vedrørende sikkerhedsspørgsmål fungerer it-sikkerhedsudvalget som et autonomt udvalg, der ikke er underkastet it-udvalgets eller dets formands instruktion.
I it-sikkerhedsorganisationen indgår dels et ledelsesmæssigt niveau og dels et teknikerniveau.
Det ledelsesmæssige niveau repræsenteres af it-sikkerhedsudvalget. Teknikerniveauet repræsenteret af Infrastrukturudvalget.
It-chefen indgår endvidere som formand i systemejerudvalget som sikre, at universitetets administrative it-systemer
- opfylder myndighedskrav
- kan generere relevant ledelsesinformation og systemunderstøtter statistikker m.v. bl.a. som kvantitativt grundlag for universitetets forhandling om og afrapportering af udviklingskontrakten
- tilgodeser ønsker fra centrale og decentrale brugere under hensyntagen til systemets generelle funktionsduelighed, fejlrisici, vedligeholdelsesbehov, kompleksitet og økonomi, herunder således at væsentlige administrative processer på alle organisationsniveauer så vidt muligt systemunderstøttes
- giver og begrænser brugernes autorisation til applikationer og data i overensstemmelse med gældende interne og eksterne regler for datasikkerhed
- løbende tilrettes i takt med ændrede eksterne og interne krav og ønsker
- underkastes større revisioner efter behov eller erstattes med nye systemer efter udvalgets indstilling til it-koordineringsudvalget.
Historisk - ikke gyldig version