Undervisningsudvalget 2018-19 (1. samling)
UNU Alm.del
Offentligt
NOTAT
Status på programmet for BPI - Fællesoffentlige styre-
gruppe for infrastruktur i Brugerportalsinitiativet, den
6. december 2016
1. Scope
1.1. Sikkerhedsarkitektur
Det indstilles på mødet den 6. december at den fællesoffentlige styregruppe
for infrastruktur i Brugerportalsinitiativet godkender PwCs leverancer på
baggrund af ledelsesresumeet og indstiller det til godkendelse i styregrup-
pen for IT i folkeskolen den 12. december 2016. Leverancerne omfatter:
•
Data Protection Impact Assessment – DPIA:
Udgør sammen med
Trusselsvurderingen foranalysen som ligger til grund for udarbejdel-
se af en sikkerhedsarkitekturen.
•
Trusselsvurdering:
En identificering og vurdering af trusler.
•
Sikkerhedsarkitektur:
Beskrivelse af gavnligt samarbejde ifm.
sikkerhed. Sikkerhedsarkitekturen er struktureret omkring både ge-
neriske sikkerhedsarkitektoniske overvejelser og konkrete anbefa-
linger til kommunerne.
1.2. Juridisk afklaring og henvendelse til Datatilsynet
Der er fastsat et møde med Datatilsynet den 11. januar 2017, hvor KL, STIL
og KOMBIT deltager. På nuværende tidspunkt er der særligt fokus på sik-
kerhedsniveauet for Aula på grund af det forestående udbud.
Det er afgørende, at sikkerhedsniveauet for BPI fastsættes korrekt, så der
sikres lovmedholdelighed samtidig med at brugervenlighed og sikkerhed
balanceres. Udgangspunktet for en fastsættelse af sikkerhedsniveauet for
Aula er, at der som udgangspunkt kun i begrænset omfang skal behandles
følsomme persondata, da der bl.a. ikke er tale om et sagsbehandlingssy-
stem. Udvalgte områder af systemet skal bl.a. kunne rumme følsomme per-
sondata, hvilket skal håndteres i henhold til Persondataloven og Databeskyt-
telsesforordningen. I praksis vil håndtering af følsomme persondata kræve
to-faktor login iht. Datatilsynets anbefalinger.
./.
Fra andre systemer og løsninger har man erfaring med, at et krav om to-
faktor login har en væsentlig negativ indflydelse på brugervenligheden, og
ydermere på brugernes anvendelse af løsninger. Endvidere findes der pt.
ikke et to-faktor login til børn, og det forventes heller ikke at være tilfældet på
tidspunktet for idriftsættelse af Aula. En brugervenlig løsning vil derfor på
nuværende tidspunkt forventes at skulle isolere behovet for to-faktor login til
de områder, der er beregnet til følsomme persondata. Som bilag findes log-
inmatrix for Aula.
Selvom det kun vil være begrænset omfang, er det på nuværende tidspunkt
forventningen at det ift. noget indhold i Aula vil være nødvendigt at anvende
to-faktor login. Der vil dog blive lagt vægt på at løsningen i høj grad under-
støtter særligt medarbejderne i dette, så de belastes mindst muligt.
Dato: 28. november 2016
Sags ID: SAG-2016-06318
Dok. ID: 2276828
Direkte: 3370 3301
Weidekampsgade 10
Postboks 3370
2300 København S
www.kl.dk
Side 1 af 6