personvern og databehandleravtaler feide
TRANSCRIPT
Personvern og databehandleravtaler ved bruk av Feide-tjenester
Feide-samling for administratorer 2.4. 2014Tommy Tranvik
Formål
Rettslige krav som stilles når Feide-tjenester behandler opplysninger om elever og ansatte:
• viktige begreper og roller i personopplysningsloven
• risikovurderinger
• databehandleravtaler
Problemet
«Datatilsynets besøk ved XXX ungdomsskole har avdekket at det mest sannsynlig er et antall leverandører av digitale nettressurser som benyttes og som det skulle vært inngått avtaler med.»
«XXX kommune må inngå databehandleravtaler med tjenesteleverandører som behandler personopplysninger på vegne av kommunen.»
Lovgivningen
Personopplysningsloven med forskrift
• trådte i kraft i 2001
• reglene gjelder ved elektronisk behandling av personopplysninger
• ivareta sentrale personvernhensyn (personlig integritet, privatlivets fred og datakvalitet)
Personopplysninger
Alle opplysninger og vurderinger som kan knyttes til en bestemt enkeltperson
• tekst, bilder, lyd og video • sensitive opplysninger• alminnelige opplysninger
Feide-tjenester vil vanligvis ikke behandle sensitive personopplysninger
Roller
Den registrerte • den som opplysningene sier noe om (elever og ansatte)
Behandlingsansvarlig • den som er hovedansvarlig for behandlingen av opplysninger om elever og
ansatte (skoleeier)
• må ha lovlig grunn (samtykke, lovhjemmel eller nødvendighet)
Databehandler • den som behandler opplysninger om elever og ansatte på vegne av skoleeier
(leverandører av Feide-tjenester)
Skoleeiers plikter
Skal vurdere risikoen ved tjenestene før de tas i bruk
Skal inngå skriftlige avtaler med leverandørene
Avtalene skal inneholde krav til hvordan leverandørene behandler opplysningene
Ivareta de registrertes (elever og ansatte) rettigheter
Avtaler – logikk
Skoleeier behandler opplysninger om elever og ansatte
Enkelte av behandlingene settes ut til leverandører av Feide-tjenester
Dette innebærer tap av kontroll med opplysningene
Tapet av kontroll kompenseres gjennom avtaler med leverandørene
Avtalene skal omfatte hele behandlingskjeden, for eksempel underleverandører
Databehandlere i skolen
Flere ulike typer, for eksempel:
1. Vertskommuner – kommuner som drifter elektroniske systemer på vegne av andre kommuner
2. Administrative systemer, for eksempel SAS eller LMS
3. Digitale nettressurser, for eksempel Feide-tjenester (NRK, TV2, Gyldendal, osv.)
Personopplysninger i Feide-tjenester
Opplysninger om elever og ansatte hentet fra skoleeiers Feide-katalog
• standardisert
Opplysninger om elever og ansatte som skapes ved bruk av Feide-tjenester
• varierer mellom ulike tjenester
Databehandleravtaler
Skal inneholde disse hovedpunktene:
• avtalen skal etablere klare ansvars- og myndighetsforhold overfor leverandøren
• leverandøren kan ikke overføre opplysninger om elever og ansatte til andre uten at dette fremgår av avtalen
• avtalen skal forplikte leverandøren til å følge reglene om sikring av personopplysninger i personopplysningsloven med forskrift
Skoleeier skal ha kunnskap om sikkerheten hos leverandører og jevnlig forsikre seg om at den er tilfredsstillende
Risikovurderinger
Før databehandleravtaler inngås skal skoleeier risikovurdere Feide-tjenestene
Stilles ingen spesielle krav til risikovurderinger
Sannsynligheten for og konsekvensene av «uønskede hendelser»:
• uvedkommende får tilgang eller kjennskap til opplysninger om elever eller ansatte
• uvedkommende endrer eller sletter opplysninger om elever eller ansatte
• opplysningene er ikke tilgjengelige for elever eller ansatte når de trenger dem
Dersom risikoen vurderes som uakseptabel høy, er skoleeier pliktig til enten å:
• iverksette sikringstiltak eller
• ikke å anvende tjenesten
Uønskede hendelser – eksempler
Passordproblematikk – ID-tyveri
Ustabil internettilgang
Opplasting av sensitive personopplysninger
Uautorisert overføring av opplysninger mellom leverandører
Uautorisert tilgang til opplysninger under overføring
Forsvarlig sletting av opplysninger når elever avslutter skolegangen
Tjenesten avsluttes – tilbakeføring av opplysninger
Avtalemal
Basert på Datatilsynets veiledning om databehandleravtaler og avtalemal
Endret noe for å passe til Feide-tjenester
Skoleeier må selv fylle inn informasjon i enkelte deler av avtalen
Skoleeier må selv følge opp at avtalene overholdes av leverandørene
NB: Enkelte leverandører kan tilby egne databehandleravtaler
Innhold
HensiktFormålDatabehandlers plikterBruk av underleverandørerSikkerhet SikkerhetsrevisjonerVarighetSletting av dataLovvalg og verneting
Hensikt
Avtalen regulerer:
• rettigheter og plikter etter personopplysningsloven med forskrift
• leverandørens (databehandlerens) behandling av personopplysninger
Formål
Omfatter følgende momenter:
• hva leverandøren kan bruke personopplysningene til
• eventuell overføring av personopplysninger til underleverandører
• typer personopplysninger som leverandøren behandler på vegne av skoleeier
Databehandlerens plikter
Omfatter følgende momenter:
• skoleeiers instrukser
• statusen til avtalen
• Rettigheter
• dokumentasjon (sikkerhet)
• taushetsplikt
• Tilgangsstyring
• logging av bruk
Bruk av underleverandører
Omfatter følgende momenter:
• avtaler med underleverandører
• bekjentgjøring av avtalevilkår
• overføring av opplysninger til utlandet
• oversikt over underleverandører og avtaler med disse
Sikkerhet
Omfatter følgende momenter
• tilfredsstillende sikring av opplysningene
• overholdelse av sikkerhetsbestemmelsene
• avviksmeldinger
• segmentering av opplysninger
Sikkerhetsrevisjoner
Omfatter følgende momenter:
• utføres jevnlig
• tilgang til rapportene
• tredjepartsrevisjoner
Sletting av data
Omfatter følgende momenter:
• tilbakelevering av opplysninger
• sletting av brukerkontoer
• sletting av opplysninger hos leverandøren
• fordeling av kostnader
Gir en enklere digital skolehverdag!