Fælles dataansvar for fællesstatslige it-systemer

Fælles dataansvar tydeliggør ansvarsdelingen på persondataområdet mellem Moderniseringsstyrelsen og de institutioner, som benytter de fællesstatslige it-systemer.

Moderniseringsstyrelsen og Datatilsynet har i samarbejde udarbejdet en cirkulæreskrivelse om fælles dataansvar. Cirkulæret tydeliggør ansvarsdelingen på persondataområdet mellem Moderniseringsstyrelsen og de institutioner, som benytter de fællesstatslige systemer.

Cirkulæreskrivelsen sikrer en dokumenteret og klar ansvarsdeling mellem Moderniseringsstyrelsen og institutionerne efter databeskyttelsesforordningens artikel 26 om fælles dataansvar. Institutionerne er helt overordnet fortsat ansvarlig for de data, som de selv registrerer i systemerne, og for de processer, der ligger lokalt i institutionen.

Gå til cirkulæreskrivelse om fælles dataansvar på retsinformation.dk

Hvilke systemer er omfattet af cirkulæreskrivelsen?

Cirkulæreskrivelsen omfatter p.t. alle versioner af følgende systemer:

  • Statens Lønløsning (SLS/HR-løn/BSL/SP)
  • Navision Stat
  • IndFak
  • RejsUd
  • Det Lokale Datavarehus (LDV)
  • PENSAB
  • CAMPUS
  • ØDUP
  • Job-i-Staten og Statens eRekruttering
  • Statens Koncernsystem (SKS)
  • Statens HR

Overordnet ansvarsdeling

Den overordnede ansvarsfordeling er ikke ændret med cirkulæret. Det er i øvrigt den enkelte institutions ansvar at efterleve ansvarsdelingen i cirkulæreskrivelsen og bedst muligt understøtte den registreredes rettigheder.

Det betyder at Moderniseringsstyrelsen er ansvarlig for at:

  • Stille de fællesstatslige systemer til rådighed
  • Indgå databehandleraftaler med leverandører
  • Stå for leverandørstyring og opfølgning på revisionserklæringer
  • Sikre, at den tekniske og administrative sikkerhed for systemerne er i orden

Den enkelte institution er ligeledes ansvarlig for at:

  • Gennemføre relevante sikkerhedsforanstaltninger, som knytter sig til institutionens anvendelse af systemerne. Fx vedrørende fysisk sikkerhed og egne processer
  • Føre egne fortegnelser over de af aftalen omhandlede behandlingsaktiviteter
  • Håndtere databrud, der skyldes uberettiget anvendelse af systemerne eller i forbindelse med behandlingsaktiviteten hos institutionen
  • Iagttage den registreredes rettigheder. Fx vedrørende oplysningspligt, indsigtsret og sletning, når det henføres til institutionens brug af systemerne

Varetagelsen af den registreredes rettigheder – oplysningspligten

Den enkelte institution er ansvarlig for egne data og ansvarlig for behandlingen af anmodninger eller henvendelser fra de registrerede.

Får institutionen henvendelser, som den ikke kan besvare uden Moderniseringsstyrelsens bistand, så kan den henvende sig til Moderniseringsstyrelsen via:

Håndtering af databrud

Den enkelte institution er ansvarlig for efterlevelsen af databeskyttelsesforordningens krav om anmeldelse af databrud (artikel 33), såfremt et brud skyldes uberettiget anvendelse af systemerne eller i forbindelse med behandlingsaktiviteten hos institutionen.

Den enkelte institution er derudover ansvarlig for iagttagelsen af databeskyttelsesforordningens krav vedrørende underretning til den registrerede om brud på persondatasikkerheden (artikel 34), såfremt et brud på persondatasikkerheden skyldes uberettiget anvendelse af systemerne eller i forbindelse med behandlingsaktiviteten hos institutionen.

Moderniseringsstyrelsen vil om nødvendigt bistå institutionen med oplysninger, som er nødvendige for, at institutionen kan overholde sine forpligtelser over for den registrerede. I så fald kontaktes .

Sker der databrud hos Moderniseringsstyrelsen, som Moderniseringsstyrelsen eller Datatilsynet vurderer, kan have betydning for institutionerne, sørger Moderniseringsstyrelsens for at underrette de pågældende institutioner.

Generelt om fortegnelser under fælles dataansvar

Den enkelte institution skal føre fortegnelse over egne behandlingsaktiviteter. Dette indebærer ikke en fortegnelse over Moderniseringsstyrelsens systemer, men de processer med persondata, som systemerne understøtter hos institutionerne.

En fortegnelse indeholder:

  • Navn og kontaktoplysninger
  • Formål med behandlingen. Moderniseringsstyrelsen kan være behjælpelige med input til generelle formål for systemerne, som I de fleste tilfælde finder anvendelse hos institutionen
  • Kategorier af registrerede. Moderniseringsstyrelsen kan være behjælpelig med input til faste kategorier for systemerne, som I de fleste tilfælde finder anvendelse hos institutionen
  • Kategorier af personoplysninger. Moderniseringsstyrelsen kan være behjælpelig med input til faste kategorier for systemerne, som I de fleste tilfælde finder anvendelse hos institutionen
  • Kategorier af modtagere ved videregivelse. Moderniseringsstyrelsen videreformidler i visse tilfælde data til andre myndigheder på primært aggregeret niveau. Fx til Danmarks Statistik, Udbetaling Danmark og Rigsarkivet.
  • Overførsel til tredjelande og internationale organisationer. Hvis der sker overførsel til tredjelande, så vil det fremgå for det enkelte system i servicebeskrivelsen og skal fremgå af institutionens fortegnelse.
  • Slettefrister. Sletning er som udgangspunkt bestemt af kravene for de enkelte systemer og behandlingsaktiviteter, herunder fx regnskabslovgivningen, arkivlov, dokumentationsbehov osv.
  • Tekniske og organisatoriske foranstaltninger. Moderniseringsstyrelsen varetager og dokumenterer egne tekniske og organisatoriske foranstaltninger. I institutionens fortegnelse beskrives alene de tekniske og organisatoriske foranstaltninger for egne processer.

Relevante informationer til brug for institutionernes fortegnelser vil fremgå af Moderniseringsstyrelsens servicebeskrivelser. Hvis du har brug for nærmere information herom kan du rette henvendelse til .

Se i øvrigt Datatilsynets vejledning om fortegnelse for nærmere information om udarbejdelsen af fortegnelser.

Sikkerhed, dokumentation og tilsyn

Moderniseringsstyrelsen er ansvarlig for at foretage passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risiciene for behandlingen i de forskellige systemer.

Den enkelte institution er ansvarlig for den behandling af personoplysninger, som finder sted i forbindelse med anvendelsen af systemerne, herunder korrekt indsamling og registrering af oplysninger. Den enkelte institution er derudover ansvarlig for passende tekniske og organisatoriske foranstaltninger i forbindelse med egne processer og opbevaring af data udenfor systemerne.

Moderniseringsstyrelsen og den enkelte institution dokumenterer selv egne forhold internt og i forhold til relevante revisioner og tilsyn.