Regler om personvern og avtaler ved bruk av tjenester med Feide-innlogging

o databehandleravtaler o risikovurderinger

o utenlandske tjenester

Tommy TranvikSenter for IKT i utdanningen

Tjenester med Feide-innlogging

Reglene om personvern gjelder for alle eksterne tjenester, blant annet internasjonale skytjenester

Forutsetning – tjenestene behandler opplysninger om elever, ansatte eller foreldre

Eksempler

Personopplysningslovgivningen

Personopplysningsloven med forskrift

• den som opplysningene gjelder skal ha innflytelse over og kontroll med bruken av dem

• gjelder ved elektronisk behandling av personopplysninger

• gjelder personopplysninger som inngår i manuelle personregistre

• basert på EUs personverndirektiv (95/46/EC)

Personopplysninger

Alle opplysninger og vurderinger som kan knyttes til en bestemt enkeltperson

• tekst, bilder, lyd og video • sensitive opplysninger • alminnelige opplysninger

Visse unntak fra konsesjons- og meldeplikten

Typiske personopplysninger i Feide-tjenester

Opplysninger hentet fra Feide-katalogen

Brukerproduserte opplysninger

Aktivitetslogging i tjenesten

Roller og ansvar

Skoleeier er ansvarlig for all bruk av personopplysninger hos leverandører av Feide-tjenester

• skoleeier – behandlingsansvarlig

• leverandør – databehandler

• de registrerte (elever, ansatte, osv.)

Tjenesteleverandører blir databehandlere når skoleeier, for eksempel Feide-administrator, har bestemt at tjenesten skal brukes

Skoleeier skal da følge visse regler, spesielt:

• personopplysningsloven §§ 13 og 15• personopplysningsforskriften kapittel to

Leverandører av Feide-tjenester har et selvstendig ansvar for informasjonssikkerheten («tilfredsstillende»)

Opplysningskontroll

Skoleeier skal – på vegne av de registrerte (elever, ansatte, osv.) – ha kontroll med personopplysningene

Kontrollen skal omfatte hele behandlingskjeden

• Utredningsplikto vurdere om opplysningene blir tilfredsstillende sikret hos leverandøren og eventuelle

underleverandører (risikovurdering)

• Avtaleplikt o stille skriftlige krav til leverandøren og eventuelle underleverandører om bl.a. sikringen av

opplysningene (databehandleravtaler)

• Oppfølgingsplikto sjekke av avtalevilkårene overholdes

Utredningsplikten

Vurdere risikoen for uønskede hendelser

• konfidensialitetsbrudd – uvedkommende får tilgang til opplysningene

• integritetsbrudd – uautorisert registrering, endring eller sletting av opplysninger

• tilgjengelighetsbrudd – rette vedkommende får ikke tilgang til opplysningene

Krever informasjon om

• (i) hvordan tjenesten er oppbygd og fungerer, (ii) hvilke sikringstiltak leverandøren har etablert og (iii) bruken av eventuelle underleverandører

Eksempler på uønskede hendelser

Tjenesten bruker opplysningene til formål ikke godkjent av skoleeier

Lagring av feil dokument med sensitive opplysninger

Manglende internettilgang – tjenesten er borte

Manglende kompetanse/oversikt – lagrer opplysninger på feil plass

Endring av bruker-/avtalevilkår uten påvirkning fra skoleeier

Utkopiering av opplysninger fra tjenesten – uønsket spredning via sosiale medier

Trafikk til tjenesten avlyttes

Tjenesten utleverer opplysninger til tredjepart uten godkjenning fra skoleeier

Risikohåndtering

Iverksette tiltak der hvor risikoen (S/K) vurderes å være uakseptabel høy

• interne tiltak (greit?)

• eksterne tiltak (vanskelig?)

Avtaleplikten

Skoleeier må selv passe på at nødvendige avtaler inngås med tjenesteleverandørene

• sjekk at leverandørene tilbyr databehandleravtaler

• sjekk innholdet i databehandleravtalene, jf. mal for databehandleravtaler

• sjekk spesielt om leverandørene og eventuelle underleverandører flytter opplysningene til tredjeland

Avtaleinnhold 1

Avtalene bør inneholde

• leverandøren skal bare behandle opplysningene etter instruks fra skoleeier

o leverandøren (og eventuelle underleverandører) skal ikke bruke opplysningene til egne formål

• informasjon (i) om hvilke underleverandører som anvendes og (ii) i hvilke land underleverandørene er etablert

o om amerikanske leverandører og underleverandører er tilsluttet Safe Harbor

• hvordan leverandøren håndterer krav om utlevering av personopplysninger til politi- eller justismyndigheter

• varsling ved alvorlige brudd på opplysningenes konfidensialitet

Avtaleinnhold 2

Avtalene bør inneholde

• hvordan de registrertes rettigheter ivaretas

o retting, sletting, sperring og eksport

• hvordan leverandører og underleverandørene ivaretar informasjonssikkerheten

o beskrivelser av tilgangsstyringen hos leverandøren

o informasjon om (i) logging av autorisert og forsøk på uautorisert bruk av tjenesten og (ii) at skoleeier sikres tilgang til loggene

o sikring av at opplysninger tilhørende ulike kunder ikke blandes sammen

• tilgang til rapporter fra sikkerhetsrevisjoner hos leverandøren og underleverandører

• hva som skjer med opplysningene når bruken av tjenesten opphører

Utenlandske tjenester

«Vanlige» regler dersom leverandører og underleverandører

• behandler opplysningene innenfor EØS-området• behandler opplysninger i land godkjent av EU

Egne regler for ikke-godkjente land

• EUs standardkontrakt for overføring av personopplysninger til ikke-godkjente land bør benyttes

Oppfølgingsplikten

Skoleeier skal jevnlig forsikre seg om at

• opplysningene fortsatt er tilfredsstillende sikret mot uønskede hendelser

Motta og gjennomgå rapporter fra sikkerhetsrevisjoner hos leverandøren

Ressurser

Veileder i risikovurdering og mal for databehandleravtalerhttps://feide.iktsenteret.no/node/234

Datatilsynets veileder for skytjenesterhttps://www.datatilsynet.no/Teknologi/Skytjenester---Cloud-Computing/

EU-godkjente land http://ec.europa.eu/justice/data-protection/document/international-transfers/adequacy/index_en.htm

EUs standardkontrakt for overføring av personopplysninger til databehandlere (leverandører) i ikke-godkjente landhttp://www.datatilsynet.no/Global/04_skjema_maler/kontraktsvilkaar_overforing_ENG.pdf

Amerikanske selskaper tilsluttet Safe Harborhttps://safeharbor.export.gov/list.aspx