personvern og databehandleravtaler
TRANSCRIPT
www.iktsenteret.nowww.iktsenteret.no
Personvern og databehandleravtaler ved bruk
av tjenester med Feide-innlogging
Harald TorbjørnsenSenter for IKT i utdanningen
Feide-samling for administratorer 9.3.2016
www.iktsenteret.no
Tjenester med Feide-innlogging• Reglene om personvern gjelder for
alle eksterne tjenester, blant annet internasjonale skytjenester
• Forutsetning – tjenestene behandler opplysninger om elever, ansatte eller foreldre
www.iktsenteret.no
Eksempler
www.iktsenteret.no
Personopplysningslovgivningen• Personopplysningsloven med forskrift
– den som opplysningene gjelder skal ha innflytelse over og kontroll med bruken av dem
– gjelder ved elektronisk behandling av personopplysninger
– gjelder personopplysninger som inngår i manuelle personregistre
– basert på EUs personverndirektiv (95/46/EC)
www.iktsenteret.no
Personopplysninger• Alle opplysninger og vurderinger som
kan knyttes til en bestemt enkeltperson
– tekst, bilder, lyd og video – sensitive opplysninger – alminnelige opplysninger
• Visse unntak fra konsesjons- og meldeplikten
www.iktsenteret.no
Typiske personopplysninger i Feide-tjenester
• Innloggingsopplysninger
• Brukerproduserte opplysninger
• Aktivitetslogging i tjenesten
www.iktsenteret.no
Roller og ansvar • Skoleeier er ansvarlig for all bruk av personopplysninger hos leverandører av Feide-
tjenester
– skoleeier – behandlingsansvarlig
– leverandør – databehandler
– de registrerte (elever, ansatte osv.)
• Tjenesteleverandører blir databehandlere når skoleeier, for eksempel Feide-administrator, har bestemt at tjenesten skal brukes
• Skoleeier skal da følge visse regler, spesielt:
– personopplysningsloven §§ 13 og 15– personopplysningsforskriften kapittel to
• Leverandører av Feide-tjenester har et selvstendig ansvar for informasjonssikkerheten («tilfredsstillende»)
www.iktsenteret.no
Opplysningskontroll• Skoleeier skal – på vegne av de registrerte (elever, ansatte
osv.) – ha kontroll med personopplysningene
• Kontrollen skal omfatte hele behandlingskjeden
– Utredningsplikt• vurdere om opplysningene blir tilfredsstillende sikret hos leverandøren og
eventuelle underleverandører (risikovurdering)
– Avtaleplikt • stille skriftlige krav til leverandøren og eventuelle underleverandører om
bl.a. sikringen av opplysningene (databehandleravtaler)
– Oppfølgingsplikt• sjekke av avtalevilkårene overholdes
www.iktsenteret.no
Utredningsplikten • Vurdere risikoen for uønskede hendelser
– konfidensialitetsbrudd – uvedkommende får tilgang til opplysningene
– integritetsbrudd – uautorisert registrering, endring eller sletting av opplysninger
– tilgjengelighetsbrudd – rette vedkommende får ikke tilgang til opplysningene
• Krever informasjon om
– (i) hvordan tjenesten er oppbygd og fungerer, (ii) hvilke sikringstiltak leverandøren har etablert og (iii) bruken av eventuelle underleverandører
www.iktsenteret.no
Eksempler på uønskede hendelser– Tjenesten bruker
opplysningene til formål ikke godkjent av skoleeier
– Lagring av feil dokument med sensitive opplysninger
– Manglende internettilgang – tjenesten er borte
– Manglende kompetanse/oversikt – lagrer opplysninger på feil plass
– Endring av bruker-/avtalevilkår uten påvirkning fra skoleeier
– Utkopiering av opplysninger fra tjenesten – uønsket spredning via sosiale medier
– Trafikk til tjenesten avlyttes
– Tjenesten utleverer opplysninger til tredjepart uten godkjenning fra skoleeier
www.iktsenteret.no
Risikohåndtering• Iverksette tiltak der hvor risikoen
(S/K) vurderes å være uakseptabel høy
– interne tiltak (greit?)
– eksterne tiltak (vanskelig?)
www.iktsenteret.no
Avtaleplikten• Skoleeier må selv passe på at nødvendige
avtaler inngås med tjenesteleverandørene
– sjekk at leverandørene tilbyr databehandleravtaler
– sjekk innholdet i databehandleravtalene, jf. mal for databehandleravtaler
– sjekk spesielt om leverandørene og eventuelle underleverandører flytter opplysningene til tredjeland
www.iktsenteret.no
Avtaleinnhold 1• Avtalene bør inneholde
– leverandøren skal bare behandle opplysningene etter instruks fra skoleeier
• formålsbegrensning: leverandøren (og eventuelle underleverandører) skal ikke bruke opplysningene til egne formål
– informasjon (i) om hvilke underleverandører som anvendes og (ii) i hvilke land underleverandørene er etablert
– hvordan leverandøren håndterer krav om utlevering av personopplysninger til politi- eller justismyndigheter (lovpålagt, varsling)
– varsling ved alvorlige brudd på opplysningenes konfidensialitet
www.iktsenteret.no
Avtaleinnhold 2• Avtalene bør inneholde
– hvordan de registrertes rettigheter ivaretas
• innsyn, retting og sletting
– hvordan leverandører og underleverandørene ivaretar informasjonssikkerheten, for eksempel
• beskrivelser av tilgangsstyringen hos leverandøren• sikring av at opplysninger tilhørende ulike kunder ikke blandes sammen• informasjon om (i) logging av autorisert og forsøk på uautorisert bruk av tjenesten og (ii) at skoleeier
sikres tilgang til loggene
– tilgang til rapporter fra sikkerhetsrevisjoner hos leverandøren og underleverandører
– hva som skjer med opplysningene når bruken av tjenesten opphører
– https://www.google.com/work/apps/terms/dpa_terms.html
www.iktsenteret.no
Utenlandske tjenester• «Vanlige» regler dersom leverandører og
underleverandører
– behandler opplysningene innenfor EØS-området– behandler opplysninger i land godkjent av EU
• Egne regler for ikke-godkjente land
– EUs standardkontrakt for overføring av personopplysninger til ikke-godkjente land bør benyttes
www.iktsenteret.no
Overføring av personopplysninger til amerikanske tjenesteleverandører
• Den amerikanske tjenesteleverandøren er databehandler
– overføringer til USA har ofte skjedd med hjemmel i Safe Harbor
• EU-domstolen – Safe Harbor er ugyldig
– massiv amerikansk overvåking
• Enkleste alternativ: EUs standardkontrakt for overføring av personopplysninger til tredjeland
– risikovurdering og varsling til Datatilsynet
• Usikkert om hva som vil skje videre med
– EUs standardkontrakter– Safe Harbor 2.0
www.iktsenteret.no
Oppfølgingsplikten• Skoleeier skal jevnlig forsikre seg om
at
– opplysningene fortsatt er tilfredsstillende sikret mot uønskede hendelser
• Motta og gjennomgå rapporter fra sikkerhetsrevisjoner hos leverandøren
www.iktsenteret.no
Ressurser • Veileder i risikovurdering og mal for databehandleravtaler• https://feide.iktsenteret.no/node/234
• Datatilsynets veileder for skytjenester• https://www.datatilsynet.no/Teknologi/Skytjenester---Cloud-Comp
uting/
• EU-godkjente land • http://ec.europa.eu/justice/data-protection/document/internation
al-transfers/adequacy/index_en.htm
• EUs standardkontrakt for overføring av personopplysninger til databehandlere (leverandører) i ikke-godkjente land
• http://www.datatilsynet.no/Global/04_skjema_maler/kontraktsvilkaar_overforing_ENG.pdf