Download - Feide fagdag 10.6.15 personvern og sikkerhet
Personvern og sikkerhet
Tommy Tranvik
Agenda
• Presentere foreløpige vurderinger vedr. Connect, personvern og sikkerhet
– bruke piloten (og erfaringene derfra) til å utforme endelige løsninger
Utgangspunkt• Connect innebærer behandling av opplysninger om sluttbrukerne
• Behandling av opplysninger om sluttbrukerne skjer hos
– vertsorganisasjonene (interne systemer)
– Connect drift (innsamles og behandles i plattformen)
– tjenesteleverandørene (innsamles og behandles i tjenesten, samt brukerregistrerte opplysninger og atferdslogging)
• Reguleres primært i personopplysningsloven med forskrift
Personopplysninger i Connect• Brukernavn, e-postadresse, eventuelt portrettbilde
• Bruker-ID
• Organisasjonstilhørighet
• Utvidet personinfo – fødsels- og telefonnummer, rolle (student, elev, osv.)
• Gruppetilhørighet (fag, enme, studieretning, trinn, klasse, osv.)
• Nettjenester som brukes
To bruksmåter
Selvvalgt bruk (nytt)• Sluttbrukerne velger selv (og på
eget initiativ) hvilke nettjenester de ønsker å bruke
• Vertsorganisasjonene legger ingen føringer for valgene
• Vertsorganisasjonene legger til rette for selvvalgt bruk
• Aldersgrense
Institusjonell bruk (jf. Feide)• Vertsorganisasjonene velger
hvilke nettjenester som tilbys sluttbrukerne
• Bruken trenger ikke å være obligatorisk i streng forstand
• Nok at vertsorganisasjonene bestemmer at «dette skal vi tilby våre sluttbrukere»
Innebygd personvern
• Tilrettelegge for etterlevelse av personvernrettslige krav i selve løsningen
• Fordeler
– mindre FUT (frykt, usikkerhet, tvil)
– mindre jobb på siden av løsningen
– høyere grad av regeletterlevelse
– raskere regeletterlevelse
Hva bygges inn?• Mal for risikovurderinger
• Forslag til databehandleravtaler mellom
– vertsorganisasjonen og Connect drift– vertsorganisasjonen og nettjenesteleverandører– løsning for elektronisk avtaleinngåelse/-forvaltning (?)
• Samtykkeløsning ved selvvalgt bruk
– informasjon til sluttbrukerne– «kvittering» til utdanningsinstitusjonene– administrasjon av samtykke
• Løsninger for
– innsyn (Connect drift)– retting (Connect drift)– sletting (Connect drift)
• Informasjon til vertsorganisasjoner, eventuelt også nettjenesteleverandører, om hva de selv må passe på