Beschaffung von Softwarelösungen und Apps für die Universität: Neuer Freigabeprozess / Procurement of software solutions and apps for the University: new approval process
Software ist ein wichtiger Bestandteil unserer Infrastruktur für Forschung, Lehre und Verwaltung. Wir sind bestrebt, die Beschaffung zu vereinfachen und gleichzeitig den steigenden Anforderungen bezüglich Informationssicherheit, Datenschutz und Compliance gerecht zu werden. Hierzu wurde ein digitaler Workflow entworfen, der uns dabei unterstützen wird.
Ab sofort ist für Beschaffung und Einsatz von Software dieser Workflow im Intranet zu verwenden. Dabei wird eine Bewertung in Bezug auf den Datenschutz und die Informationssicherheit durchgeführt. Die Neuregelung umfasst auch den Einsatz von Software, die von der Universität kostenlos beschafft werden kann oder deren Bezug nur über eine Auslagenerstattung möglich ist.
Anhand einer Black-/Whitelist kann innerhalb des Formulars schnell identifiziert werden, ob für die zu beschaffende Softwarelösung bereits eine Prüfung durch Datenschutz, Informationssicherheit und GWDG stattgefunden hat. Diese wird kontinuierlich ergänzt. Für Software, die bisher nicht geprüft worden ist, wird über das Formular ein Prozess zur Prüfung angestoßen. Nach erfolgter Prüfung erhalten Sie über das Formular die Information, ob und wie Sie die Software einsetzen können. Dieser Schritt ist notwendig, da die Universität verpflichtet ist, sicherzustellen, dass eingesetzte Soft- und Hardware dem aktuellen Stand der Technik genügt und alle relevanten Vorschriften erfüllt werden.
Innerhalb dieses Workflows übernehmen wir für Sie die Prüfung des Herstellers und der Software in Bezug auf die Einhaltung der rechtlichen Rahmenbedingungen des Exportkontrollrechts. Das heißt, die Prüfung der Sanktionslisten wird ebenfalls mit der Genehmigung der Software bestätigt.
Im Forschungsumfeld kann es erforderlich sein, eine Software einzusetzen, welche die Prüfung grundsätzlich nicht besteht beziehungsweise bestehen würde. In diesem Fall stehen Ihnen der Datenschutz- und Informationssicherheitsbeauftragte als Ansprechpartner zur Verfügung, um eine individuelle Freigabe oder Ausnahme zu prüfen.
Weitere Informationen zu einzelnen Produkten und weiteren Themen rund um den Bereich Datenschutz und Informationssicherheit sind immer aktuell unter https://uni-goettingen.de/dsis zu finden.
Prof. Dr. Ramin Yahyapour
Chief Information Officer der Universität Göttingen
Software is an important part of our infrastructure for research, teaching and administration. We are endeavouring to simplify procurement and at the same time meet the increasing requirements in terms of information security, data protection and compliance. A digital workflow has been designed to support us in this endeavour.
With immediate effect, this workflow should be used on the intranet for the procurement and use of software. An assessment will be carried out with regard to data protection and information security. The new regulation also includes the use of software that can be procured free of charge by the University or that can only be obtained via reimbursement of expenses.
Using a blacklist/whitelist, it can be quickly identified within the form whether the software solution to be procured has already been checked by data protection, information protection and GWDG. This list is continuously updated. For software that has not yet been reviewed, a review process is initiated via the form. Once the check has been completed, you will receive information via the form as to whether and how you can use the software. This step is necessary as the University is obliged to ensure that the software and hardware used is state of the art and fulfils all relevant regulations.
As part of this workflow, we check the manufacturer and the software for compliance with the legal framework of export control law. This means that the review of the sanctions lists is also confirmed with the approval of the software.
In the research environment, it may be necessary to use software that does not or would not pass the test. In this case, the data protection and information security officer is available to you as a contact person to check an individual approval or exception.
Further information on individual products and other topics relating to data protection and information security can always be found at https://uni-goettingen.de/dsis.
Professor Ramin Yahyapour
Chief Information Officer at the University of Göttingen