Som ansvarlig myndighed for systemet er Styrelsen for It og Læring ansvarlig for at iagttage kravet i databeskyttelsesforordningens artikel 32 om behandlingssikkerhed. Styrelsen foretager en risikovurdering og gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder blandt andet, alt efter hvad der er relevant, kryptering og logning.
Stk. 2 Fastsættelsen af de i stk. 1 omhandlede foranstaltninger sker under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.
Stk. 3 Styrelsen for It og Læring sørger som minimum for at iværksætte følgende sikkerhedsforanstaltninger:
-
1) Styrelsen fastsætter interne retningslinjer for informationssikkerhed, herunder retningslinjer for organisatoriske forhold, logisk og fysisk sikring, herunder administration af adgangskontrolanordninger og autorisationsanordninger samt kontrol af autorisationer jf. § 5.
-
2) Styrelsen instruerer de efter § 5 autoriserede medarbejdere i reglerne om interne arbejdsgange og sikkerhedsforanstaltninger, herunder sikkerhedsforanstaltninger ved evt. anvendelse af hjemmearbejdsplads og mobilt udstyr.
-
3) Styrelsen anvender et almindeligt anerkendt standardrammeværktøj, såsom ITIL, til at understøtte stabil og sikker drift.
-
4) Styrelsen etablerer et informationssikkerhedsledelsessystem baseret på ISO27001-standarden, herunder en it-sikkerhedspolitik, områdepolitikker, passende kontroller samt relevante retningslinjer og procedurer i forhold til informationssikkerheden.
Stk. 4 Den dataansvarlige kommunalbestyrelse er ansvarlig for at gennemføre egne relevante organisatoriske og tekniske sikkerhedsforanstaltninger, som knytter sig til den dataansvarliges anvendelse af systemet.