personvern og databehandleravtaler feide
TRANSCRIPT
Personvern og databehandleravtaler Feidetjenester
Feide-samling for administratorer 11.02.2015Harald Torbjørnsen
Formål
Rettslige krav som stilles når Feide-tjenester behandler opplysninger om elever og ansatte:
• viktige begreper og roller i personopplysningsloven
• risikovurderinger
• databehandleravtaler
Lovgivningen
Personopplysningsloven med forskrift
• Ivareta sentrale personvernhensyn (personlig integritet, privatlivets fred og datakvalitet)
• iverksetter direktiv 95/46/EF
• trådte i kraft i 2001• gjelder ved elektronisk behandling av personopplysninger
• individer, organisasjoner og institusjoner
Personopplysninger
Alle opplysninger og vurderinger som kan knyttes til en bestemt enkeltperson
• tekst, bilder, lyd og video • sensitive opplysninger• alminnelige opplysninger
Feide-tjenester vil vanligvis ikke behandle sensitive personopplysninger
Roller
Den registrerte • den som opplysningene sier noe om (elever og ansatte)
Behandlingsansvarlig • den som er hovedansvarlig for behandlingen av opplysninger
om elever og ansatte (skoleeier)• må ha lovlig grunn (samtykke, lovhjemmel eller nødvendighet)
Databehandler • den som behandler opplysninger om elever og ansatte på vegne
av skoleeier (leverandører av Feide-tjenester)
Databehandleravtaler – logikk
De registrerte (elever og ansatte) skal ha kontroll med og innflytelse over opplysninger om dem selv
Skoleeier skal ha kontroll med sin egen bruk av opplysningeneSkoleeier kan sette ut driftsoppgaver til leverandørerSkoleeier kan ikke delegere det rettslige ansvaret for driftsoppgavene til leverandørene
Kontrollmekanisme• inngåelse og oppfølging av databehandleravtaler
Databehandlere i skolen
Flere ulike typer, for eksempel:
1. Vertskommuner – kommuner som drifter elektroniske systemer på vegne av andre kommuner
2. Administrative systemer, for eksempel SAS eller LMS
3. Digitale nettressurser, for eksempel Feide-tjenester (NRK, TV2, Gyldendal, osv.)
Personopplysninger i Feide-tjenester
Opplysninger om elever og ansatte hentet fra skoleeiers Feide-katalog
• standardisert
Opplysninger om elever og ansatte som skapes ved bruk av Feide-tjenester
• varierer mellom ulike tjenester
Opplysninger om elever og ansatte som tjenesteleverandøren selv registrerer
Risikovurdering
Hva er det?
Hvordan gjennomføre?
Lovgivningen
Før databehandleravtaler inngås skal skoleeier risikovurdere Feide-tjenestene
• Personopplysningsloven § 13
• Personopplysningsforskriften, kapittel 2
Stilles ingen spesielle krav til risikovurderinger
1
0
Personopplysninger skal sikres
mot:
Brudd på konfidensialiteten• At ikke uvedkommende får tilgang på
opplysninger
Brudd på integriteten• At personopplysninger ikke endres eller
slettes av uvedkommende
Brudd på tilgjengeligheten• At personopplysninger er tilgjengelige for
personer som har rettmessig behov for tilgang
1
1
Uønskede hendelser – eksempler
Passordproblematikk – ID-tyveri
Ustabil internettilgang
Opplasting av sensitive personopplysninger
Uautorisert overføring av opplysninger mellom leverandører
Uautorisert tilgang til opplysninger under overføring
Forsvarlig sletting av opplysninger når elever avslutter skolegangen
Tjenesten avsluttes – tilbakeføring av opplysninger
Risikovurderinger
Dersom risikoen vurderes som uakseptabel høy, er skoleeier pliktig til enten å:
• iverksette sikringstiltak eller
• ikke å anvende tjenesten
Risikovurderingens 3 hovedfaser
1. Forberedelse
1. Gjennomføring
1. Oppsummering og
etterarbeid
1
4
Del 1: Forberedelse
Utarbeide prosjektbeskrivelse• Hensikt
• Omfang i timer
• Ressursbehov
• Periode
Forankre prosjektet• Avgjørende for resultatet!
• Viktig med involvering av alle ledd i organisasjonen
• Medspillere framfor motstandere
• Lokale retningslinjer1
5
Del 2: Gjennomføring
Risikovurderingsmøter kan deles i 6 faser:
1. Innledning – beskrivelse av hva risikovurdering er (ca.15 min.)
2. Deltakerne presenterer seg – anledning til å stille spørsmål (ca. 15 min.)
3. Gjennomgang av risikoområdet og eksempelhendelsene i dokumentet (ca. 30 min.)
4. Deltakerne skriver ned uønskede hendelser de har erfart, hørt om eller tenkt på (ca. 20 min.)
5. Diskutere, identifisere og notere uønskede hendelser (ca. 75 min.)
6. Risikovurderingen: deltakerne angir sannsynlighets- og konsekvensverdi for hver uønsket hendelse (ca. 15 min.)
1
6
Del 3: Oppsummering og etterarbeid
Formidle konklusjoner og anbefalinger• Finn din løsning
• Viktig at rektor, skoleeier/oppdragsgiver får rapporten
Skoleeier prioriterer tiltak.• Rutiner endres
• Dokumentasjon forbedres
• Løsninger forbedres
1
7
Databehandleravtaler
Databehandleravtaler
Skal inneholde disse hovedpunktene:
• avtalen skal etablere klare ansvars- og myndighetsforhold overfor leverandøren
• leverandøren kan ikke overføre opplysninger om elever og ansatte til andre uten at dette fremgår av avtalen
• avtalen skal forplikte leverandøren til å følge reglene om sikring av personopplysninger i personopplysningsloven med forskrift
Skoleeier skal ha kunnskap om sikkerheten hos leverandører og jevnlig forsikre seg om at den er tilfredsstillende
Databehandleravtaler
Inngås mellom skoleeier og tjenesten
Skoleeiers kontroll med tjenesten
Avtalemal for Feide-tjenester
Basert på Datatilsynets veiledning om databehandleravtaler og avtalemal
Tilpasset nettbaserte tjenester
Skoleeier må selv fylle inn informasjon i enkelte deler av avtalen
Skoleeier må selv følge opp at avtalene overholdes av leverandørene
NB:
• enkelte leverandører kan tilby egne databehandleravtaler
• enkelte leverandører kan overføre opplysningene til tredjeland
Innhold
HensiktFormålDatabehandlers plikterBruk av underleverandørerSikkerhet SikkerhetsrevisjonerVarighetSletting av dataLovvalg og verneting
Hensikt
Avtalen regulerer:
• rettigheter og plikter etter personopplysningsloven med forskrift
• leverandørens (databehandlerens) behandling av personopplysninger
Formål
Omfatter følgende momenter:
• hva leverandøren kan bruke personopplysningene til
• eventuell overføring av personopplysninger til underleverandører
• typer personopplysninger som leverandøren behandler på vegne av skoleeier
Databehandlerens plikter
Omfatter følgende momenter:
• skoleeiers instrukser
• statusen til avtalen
• Rettigheter
• dokumentasjon (sikkerhet)
• taushetsplikt
• Tilgangsstyring
• logging av bruk
Bruk av underleverandører
Omfatter følgende momenter:
• avtaler med underleverandører
• bekjentgjøring av avtalevilkår
• overføring av opplysninger til utlandet
• oversikt over underleverandører og avtaler med disse
Sikkerhet
Omfatter følgende momenter
• tilfredsstillende sikring av opplysningene
• overholdelse av sikkerhetsbestemmelsene
• avviksmeldinger
• segmentering av opplysninger
Sikkerhetsrevisjoner
Omfatter følgende momenter:
• utføres jevnlig
• tilgang til rapportene
• tredjepartsrevisjoner
Sletting av data
Omfatter følgende momenter:
• tilbakelevering av opplysninger
• sletting av brukerkontoer
• sletting av opplysninger hos leverandøren
• fordeling av kostnader
Etterarbeid
Følge opp avtalene – overholdes vilkårene?
Kreve at leverandører lukker eventuelle avvik fra vilkårene
Avslutte bruken og flytte opplysningene dersom vesentlige avvik ikke lukkes
Hva så da???
Risikovurderinger må gjentas jevnlig• Gjennomgang av tidligere identifiserte hendelser• Eventuelt fjerne dem fra listene• Identifisere nye hendelser og vurdere dem• Tidligere sikringstiltak gjennomgås for å vurdere effekten
Kontinuerlig forbedringsprosess!3
1
Feide-forvaltning, risikovurderinger,
rutiner og dokumentasjon
Gjør skolen bedre rustet til å utnytte IKT i hverdagen!
Er svært viktig for kvaliteten på utbytte av IKT i skolen.
3
2
