Til systemejere

Hvis du er systemejer for et system, der behandler personoplysninger, skal dit system overholder reglerne i databeskyttelsesforordningen (GDPR) og -loven. Ud over kendskab til lovgivningen, skal ud også kende til AU’s politikker og retningslinjer på området. Find mere information her. 


Databehandleraftaler

Hvis du er systemejer for et system, der indeholder personoplysninger, der bliver udvekslet med eksterne databehandlere, kræver det en skriftlig aftale mellem AU og den eksterne databehandler. Det kan fx være i forbindelse med drift-, hosting- eller cloud-løsninger eller andre indkøbte konsulentopgaver. Læs mere om databehandleraftaler. 

Fortegnelse over behandlinger af personoplysninger

AU skal have et overblik over alle behandlinger af personoplysninger. Disse oplysninger samles i en fortegnelse.

Hvis du som systemejer er ansvarlig for et nyt system og derfor en ny behandling af personoplysninger, skal du før påbegyndelsen af behandlingen kontakte AU's Databeskyttelsesenhed på fortegnelse@au.dk og orientere dem om behandlingen. 

Konsekvensanalyse

Hvis du som systemejer kan svare 'ja' til minimum 'et af argumenterne i herunder, skal du udarbejde en konsekvensanalyse. 

  • Er der sandsynlighed for høj risiko for fysiske personers rettigheder og frihedsrettigheder ved behandling af personoplysninger? 
  • Er der taget ”nye teknologier” i brug? Og anvendes ny teknologi som fx robotter, biometriske og genetiske metoder på en ny måde i forhold til behandling af personoplysninger? 
  • Sker der en systematisk og omfattende vurdering af personlige forhold vedrørende fysiske personer, der er baseret på automatisk behandling, herunder profilering?
  • Behandles følsomme personoplysninger i stort omfang og hvem omfatter det? Fx børn, ældre, studerende, psykisk syge eller andet i stor mængde, stort antal personer, lang varighed herunder permanent, stor geografisk udstrækning.
  • Er der sket ændringer i behandlingsaktiviteten, som dermed øger risikoen? 
  • Er der tale om en fælles applikation/et IT-system eller behandlingsplatform, hvor I er flere dataansvarlige, som har planlagt fælles behandlingsform på tværs af AU? 
  • Er beskrivelser for og tildeling af rettigheder for personer der behandler personoplysninger i systemet uafklaret? 

Ved at udarbejde en konsekvensanalyse kan du på et oplyst grundlag tage stilling til, om behandlingen af personoplysninger – på trods af de risici der er identificeret herved – skal påbegyndes.     

Hvis du har spørgsmål til konsekvensanalysen, kan du kontakte Databeskyttelsesrådgiveren på dpo@au.dk. 

 

Forhåndsgodkendelse af Datatilsynet

I nogle situationer er AU forpligtet til at få en fremtidig behandling af personoplysninger forhåndsgodkendt af Datatilsynet. Kontakt databeskyttelsesrådgiveren på dpo@au.dk, hvis du har spørgsmål. 

Forpligtelser ift. brugerne

Som systemejer er du ansvarlig for, at brugerne af systemet får den fornødne vejledning til systemet og hvilke regler og forpligtelser, der er forbundet med brugen af systemet. Læs desuden mere under 'Oprydning/aktualisering'.  

De registreredes rettigheder

Som systemejer er det relevant på forhånd af få afklaret hvilke rettigheder det pågældende system skal kunne leve op til. Læs mere om registreredes rettigheder.

Oprydning /aktualisering

Som systemejer er du desuden ansvarlig for, at systemet er opdateret med hensyn til de personoplysninger som behandles. Denne forpligtelser vil typisk blive lagt over til brugerne af systemet, og det er derfor vigtigt, at brugerne løbende orienteres om deres opgaver og pligter samt ændringer generelt.

Sikkerhedsbrud

Som systemejer er du den primære person og involveret hvis der skulle forekomme et sikkerhedsbrud på dit system. Det kan være du selv opdager fejlen, bliver orienteret af en bruger af systemet eller bliver kontaktet af en ekstern person eller leverandør. Når det sker, skal du anmelde sikkerhedsbruddet via denne formular eller ved at kontakte den lokale IT-support.